Konfiguration

Um mit der Einrichtung zu beginnen, starten Sie den Veyon Configurator, sofern dies nach Abschluss der Installation nicht schon automatisch erfolgt ist. Mit diesem Programm kann eine lokale Veyon-Installation eingerichtet und angepasst werden. Die grafische Oberfläche ist dabei in verschiedene themen- bzw. komponentenbezogene Konfigurationsseiten untergliedert. Je nach installierten Plugins kann es zusätzliche Konfigurationsseiten geben.

../_images/configurator.png

In der Konfigurationsreferenz sind alle Konfigurationsseiten sowie alle Konfigurationsoptionen mit ihren jeweiligen Bedeutungen beschrieben.

Übersicht

Die grundlegenden Einstellungen in der Konfigurationsseite Allgemein betreffen alle Komponenten von Veyon. Dazu zählen Einstellungen zur Benutzeroberfläche, Logaufzeichnung, der Authentifizierung sowie das Netzwerkobjektverzeichnis, in welchem die Standorte und Computer gespeichert sind, die im Veyon Master angezeigt werden.

Die Einstellungen in der Konfigurationsseite Dienst beeinflussen die Funktionsweise des Veyon Service und dienen der Feineinstellung sowie der Anpassung zur Umsetzung spezieller Anwendungsszenarien. Für einen reibungslosen Betrieb sollten die vorgegebenen Einstellungen im Regelfall nicht geändert werden.

Alle Einstellungen in der Konfigurationsseite Master betreffen ausschließlich das Verhalten und die Funktionen des Veyon Masters und gelten systemweit für alle Benutzer.

Hinweis

Für einen Schnellstart zum Kennenlernen der Software müssen zunächst nur in der Konfigurationsseite Standorte & Computer ein Standort sowie einzelne Computer hinzufügt werden. Nachdem die Konfiguration auf alle Computer übertragen wurde, kann der Veyon Master bereits gestartet und genutzt werden. Es sollte sichergestellt werden, dass der bei der Anmeldung verwendete Benutzer mit gleichem Passwort auf allen Computern existiert.

Authentifizierung

Damit auf einen Computer zugegriffen werden kann, auf dem der Veyon-Dienst läuft, muss sich der zugreifende Benutzer zunächst authentifizieren, d. h. seine Identität und Nutzungsberechtigung nachweisen. Andernfalls wäre ein uneingeschränkter Zugriff von jedem Nutzer auf jeden Computer möglich, auf dem der Veyon-Dienst läuft. Ein Zugriff ohne Authentifizierung ist nicht möglich. Die Einrichtung erfolgt über die Konfigurationsseite Allgemein im Abschnitt Authentifizierung im Veyon Configurator.

Authentifizierungsmethoden

Grundlegend stehen in Veyon mit der Schlüsseldatei-Authentifizierung sowie der Anmelde-Authentifizierung zwei verschiedene Authentifizierungsmethoden Verfügung.

Die Schlüsseldatei-Authentifizierung basiert auf einem Public-Key-Verschlüsselungsverfahren, d. h. es kommen ein öffentlich bekannter Schlüssel sowie ein zugehöriger privater Schlüssel zum Einsatz, auf den nur bestimmte Benutzer Zugriff haben dürfen. Bei jeder Verbindungsanfrage sendet der Veyon-Dienst eine zufällige Zeichenfolge an den Veyon Master, die dieser mit Hilfe des privaten Schlüssels kryptografisch signieren muss. Die Signatur wird an den Veyon-Dienst zurückgesendet und anhand des öffentlichen Schlüssels überprüft. Diese Überprüfung ist nur dann erfolgreich, wenn die Signatur mit dem passenden privaten Schlüssel erzeugt wurde. Die Authentizität des Gegenübers ist dann sichergestellt. Schlägt die Signaturüberprüfung fehl, wird die Verbindung geschlossen.

Bei der Anmelde-Authentifizierung verschlüsselt Veyon Master den Benutzernamen und das Kennwort des zugreifenden Benutzers (z.B. Lehrer) und sendet diese Daten an den Veyon-Dienst auf dem entfernten Computer. Mit diesen Zugangsdaten initiiert der Veyon-Dienst anschließend eine interne Benutzeranmeldung am lokalen System. Wenn dieser Vorgang erfolgreich war, sind Benutzername und Kennwort korrekt, so dass die Authentizität des Gegenübers sichergestellt ist. Schlägt die Anmeldung fehl, wird die Verbindung geschlossen. Diese Methode setzt voraus, dass auf allen Computern identische Benutzerkonten existieren. Daher ist die Verwendung dieser Methode nur in Verbindung mit einem zentralen (Benutzer-)Verzeichnisdienst wie ActiveDirectory oder LDAP sinnvoll.

Beide Methoden haben Vor- und Nachteile, so dass die Wahl der richtigen Methode von der Umgebung, den Sicherheitsanforderungen und den Komfortwünschen abhängt.

Schlüsseldatei-Authentifizierung

Vorteile Nachteile
  • keine Anmeldung mit Benutzername und Passwort beim Start des Veyon Masters notwendig
  • Zugriff auf Computer kann über Zugriffsrechte auf private Schlüsseldatei einfach und zentral gesteuert werden
  • höherer Aufwand bei der Einrichtung
  • tatsächlicher Benutzer kann auch nach erfolgreicher Signaturprüfung nicht zweifelsfrei sichergestellt werden
  • systemweiter Austausch von Schlüsseldateien notwendig, wenn diese kompromittiert wurden

Anmelde-Authentifizierung

Vorteile Nachteile
  • einfache und aufwandsarme Einrichtung
  • zweifelsfreie Sicherstellung der Identität des Gegenübers, so dass Zugriffskontrollregeln verwendet werden können
  • Anmeldung mit Benutzername und Passwort bei jeder Verwendung des Veyon Masters notwendig

Die jeweilige Authentifizierungsmethode kann wie in der Konfigurationsreferenz im Abschnitt Authentifizierung beschrieben gewählt und eingerichtet werden.

Schlüsselverwaltung

Um die Schlüsseldatei-Authentifizierung zu nutzen, muss zunächst ein Schlüsselpaar bestehend aus einem privaten und öffentlichen Schlüssel erzeugt werden. Hierfür steht die Konfigurationsseite Authentifizierungsschlüssel zur Verfügung. Über die Schaltfläche Schlüsselpaar erzeugen wird ein neues Schlüsselpaar erzeugt. Als Name sollte eine kurze prägnante Bezeichnung wie lehrer gewählt werden. Anschließend muss sowohl für privaten als auch öffentlichen Schlüssel eine Zugriffsgruppe gesetzt werden. Der Zugriffsgruppe für den privaten Schlüssel dürfen nur Nutzer angehören, die über den Veyon Master auf andere Computer zugreifen dürfen sollen. Der öffentliche Schlüssel wiederum sollte einer globalen Zugriffsgruppe zugewiesen werden, so dass der Schlüssel für alle Benutzer und das Betriebssystem lesbar ist.

Sobald die Schlüsseldatei-Authentifizierung eingerichtet ist und mit einem Client-Computer funktioniert, können die Schlüssel auch auf einem gemeinsamen Netzlaufwerk abgelegt und die Schlüsseldateiverzeichnis angepasst werden. Auf den Client-Computern muss dann nur noch die Veyon-Konfiguration importiert werden, während die Schlüsseldateien nicht manuell importiert werden müssen.

Achtung

Die private Schlüsseldatei darf nur Nutzern zugänglich sein, denen der Zugriff auf andere Computer gestattet sein soll. Wenn die Datei auf einem Netzlaufwerk liegt, muss daher unbedingt darauf geachtet werden, dass der Zugriff per Datei-ACL o. ä. eingeschränkt wird!

Zugriffskontrolle

Mit Hilfe des Moduls Zugriffskontrolle kann detailliert festgelegt werden, welche Benutzer auf bestimmte Computer zugreifen dürfen. Die Zugriffskontrolle wird während der Verbindungsinitialisierung nach einer erfolgreichen Authentifizierung durchgeführt. Während die Authentifizierung die Authentizität eines zugreifenden Benutzers sicherstellt, schränkt die Zugriffskontrollfunktionalität den Computerzugriff auf autorisierte, d.h. berechtigte Benutzer wie beispielsweise Lehrer ein.

Die Einrichtung erfolgt über die Konfigurationsseite Zugriffskontrolle und ist in der Konfigurationsreferenz im Abschnitt Zugriffskontrollregeln ausführlich beschrieben.

Wichtig

Die Konfiguration der Zugriffskontrolle ist wie alle Einstellungen Teil der lokalen Veyon-Konfiguration. Die Konfiguration muss daher auf alle anderen Computer übertragen werden, um ordnungsgemäß zu funktionieren.

Standorte & Computer

In der Konfigurationsseite Standorte & Computer können die Standorte und Computer angelegt werden, die im Veyon Master angezeigt werden, wenn das Netzwerkobjektverzeichnis-Backend Eingebaut verwendet wird. Diese Informationen werden im Gegensatz zu Backends wie LDAP in der lokalen Konfiguration gespeichert und müssen daher auf alle Computer übertragen werden.

Die Konfigurationsseite besteht aus zwei Listen. In der linken Liste sind alle konfigurierten Standorte aufgeführt. Über die zwei Schaltflächen unterhalb der Liste können Standorte angelegt oder gelöscht werden. Bestehende Standorte können per Doppelklick bearbeitet und umbenannt werden.

In der rechten Liste sind alle Computer aufgeführt, die für den aktuell ausgewählten Standort hinterlegt sind. Über die zwei Schaltflächen unterhalb der Liste können Computer angelegt oder gelöscht werden. Die einzelnen Zellen in der Tabelle können per Doppelklick bearbeitet werden. Für jeden Computer muss ein Computername sowie ein Hostname/IP-Adresse angegeben werden. Um auf andere Instanzen des Veyon Servers als die der Standard-Sitzung (Multi session mode) zuzugreifen, müssen die entsprechenden Portnummern angehängt werden, z.B. myhost.example.org:11101. Soll die Funktion zum Einschalten von Computern via Wake-on-LAN verwendet werden, muss auch die zugehörige MAC-Adresse eingetragen werden. Andernfalls kann diese Spalte leer gelassen werden.

LDAP

Alle Informationen rund um die Anbindung von Veyon an einen LDAP-kompatiblen Server wie OpenLDAP oder Active Directory befinden sich im Kapitel LDAP/AD-Integration.

Import/Export der Konfiguration

Eine wichtige Voraussetzung für den Einsatz von Veyon ist eine identische Konfiguration auf allen Computern. Eine Übertragung der Veyon-Konfiguration auf einen anderen Computer kann dabei zunächst manuell erfolgen, sollte später aber automatisiert werden. Für beide Wege stehen verschiedene Methoden zur Verfügung.

Im Veyon Configurator befindet sich im Menü Datei der Eintrag Einstellungen in Datei speichern, über den der Export der aktuellen Konfiguration in eine Datei im JSON-Format möglich ist. Diese Datei kann auf einem anderen Computer im selben Menü über den Eintrag Einstellungen aus Datei laden importiert werden. Hierbei ist zu beachten, dass beim Import die Einstellungen in die Benutzeroberfläche geladen werden, aber erst nach Betätigung der Schaltfläche Anwenden übernommen und im System gespeichert werden.

Über das Modul Konfigurationsverwaltung der Kommandozeilenschnittstelle können sowohl Konfigurationsimport als auch -export automatisiert/scriptgesteuert durchgeführt werden.

Auch im Rahmen einer automatisierten Installation kann die Konfiguration ohne weitere Interaktion übernommen werden. Unter den Beispielen befindet sich auch ein Beispiel für den Installer-Parameter /ApplyConfig.

Konfiguration zurücksetzen

In einigen Fehlersituationen kann es ratsam sein, die Veyon-Konfiguration komplett zurückzusetzen, um anschließend mit den Vorgabewerten neu zu beginnen. Hierfür befindet sich im Veyon Configurator im Menü Datei der Eintrag Konfiguration zurücksetzen.

Alternativ kann die Konfiguration auch über das Modul Konfigurationsverwaltung der Kommandozeilenschnittstelle zurückgesetzt werden.

Weiterhin kann die gespeicherte Konfiguration auf Betriebssystemebene zurückgesetzt werden. Unter Linux muss dazu die Datei /etc/xdg/Veyon Solutions/Veyon.conf gelöscht werden, während unter Windows der Registry-Schlüssel HKLM\Software\Veyon Solutions mit allen Unterschlüsseln gelöscht werden muss.