M A S A R Y K O V A U N I V E R Z I T A F A K U L T A I N F O R M A T I K Y Principy používání počítačů ve veřejné síti pro testování studentů B A K A L Á Ř S K Á P R Á C E Petr Němec Brno, p o d z i m 2012 Prohlášení Prohlašuji, že tato bakalářská práce je mým původním autorským dílem, které jsem vypracoval samostatně. Všechny zdroje, prameny a literaturu, které jsem při vypracování používal nebo z nich čerpal, v práci řádně cituji s uvedením úplného odkazu na příslušný zdroj. Petr Němec i Poděkování Rád bych na tímto poděkoval svému vedoucímu Mgr. Šimonu Suchomelovi. Dále bych chtěl poděkovat zaměstnancům Centra informačních a komunikačních technologií Fakulty sociálních studií M U a jejich vedoucímu Mgr. Ing. Liboru Cahovi, kde jsem měl možnost v praxi vyzkoušet a aplikovat nové možnosti při využití počítačů při zkoušení studentů ii Klíčová slova E-learning, ASP.NET, PowerShell, IIS, zabezpečení při zkoušení, odpovědníky, odevzdávárny. i i i Shrnutí Cílem práce je představit možnosti elektronického zkoušení a jejich zabezpečení na Masarykově univerzitě.Představím používané nástroje pro elektronické zkoušení studentů, dále představím účty pro zkoušení a jejich zabezpečení používané na M U . V závěru bych rád rozšířil podporu pro tyto účty a vypracoval doporučený postupy pro elektronické zkoušení. iv Obsah 1 E-learning vii 1.1 E-learning na M U vii 1.2 Moodle viii 1.3 I S M U ix 2 IT prostředí na M U xi 3 Průběh zkoušky na pc xiii 4 Prostředí zkoušení na FSS M U xv 4.1 Vznik a vývoj zkouškových účtů xv 4.2 Implementace účtu Student xvii 4.3 Implementace účtu Zkouška,Elf xvii 4.4 Implementace aplikace pro správu připojení k internetu . . . xviii 4.5 Praktické poznatky z provozu xviii 5 Správa počítačových učeben xix 5.1 Požadavky na správu počítačových učeben xix 5.2 Použité technologie xix 5.3 Grafický návrh aplikace xx 5.4 Implementace xxi 5.4.1 Záznam událostí xxi 5.4.2 Správa uživatelů xxi 5.4.3 Přihlašování uživatelů xxii 5.4.4 Konfigurace učeben xxii 5.4.5 Ovládání připojení k síti xxiv 5.4.6 Ovládání počítačů xxiv 5.4.7 Automatizované přihlašování xxv 5.4.8 Protokol L D A P xxvi 5.5 Instalace aplikace xxvi 6 Závěr xxvii v Úvod Vzdělání je nedílnou součástí života člověka. Vzděláváme se od okamžiku kdy jsme schopni formulovat myšlenky až do své smrti. Nedílnou součásti procesu vzdělání je zkoušení a ověřování znalostí. Nejčastější forma zkoušení je ústní nebo písemná, případně jejich kombinace. Prudký rozvoj v oblasti informačních technologií se také odrazil i ve vzdělávání. Rád bych ve své práci shrnul e-learningové technologie které jsou používány na Masarykově univerzitě (MU) pro výuku a zkoušení studentů kde e-learning získává nezastupitelnou úlohu. Spolu s nástupem elektronického zkoušení, ale musí souviset i rozvoj zabezpečení při skládání zkoušek. S tímto problémem se velmi dobře vypořádali na Fakultě sociálních studií M U a rád bych tady prezentoval řešení jaké už několik let provozují. Toto řešení jsem pomáhal vypracovat a v praxi používat. Naše praxe ukázala že řešení je velmi vhodné pro zkoušení,ale navrhl jsem a vypracoval aplikaci pro správu počítačových učeben kterou bych rád blíže v této bakalářské práci popsal. Tato aplikace usnadňuje přípravu učebny pro zkoušení. vi 1 E-learning Dynamický rozvoj informačních technologií v posledních desetiletí a velká dostupnost Internetu vedlo k rozvoji formální i neformální elektronickému učení - e-learningu. Přesná definice e-learningu není jednoduchá protože se stále vyvíjí. Mezi nejpoužívanější patří cituji: E-learning je výuka s využitím výpočetní techniky a internetu. (Petr Korviny, Moodle (nejen) na OPF, OPF, 2005) E-learning je v podstatě jakékoli využívání elektronických materiálních a didaktických prostředků k efektivnímu dosažení vzdělávacího cíle s tím, že je realizován zejména/nejenom prostřednictvím počítačových sítí. V českém prostředí spojován zejména s řízeným studiem v rámci LMS. (Kamil Kopecký, Základy e-learningu, Net University s.r.o., U P v Olomouci, 2005) E-learning je vzdělávací proces, využívající informační a komunikační technologie k tvorbě kursů, k distribuci studijního obsahu, komunikaci mezi studenty a pedagogy a k řízení studia. (Jan Wagner, Nebojme se eLearningu, Česká škola, 2005) E-learning je forma vzdělávání využívající multimediální prvky - prezentace a texty s odkazy, animované sekvence, video snímky, sdílené pracovní plochy, komunikaci s lektorem a spolužáky, testy, elektronické modely procesů, atd. v systému pro řízení studia (LMS). (Virtuální Ostravská univerzita, 2005) [1] Výše byla zmíněna zkratka L M S což je Learning Managment System neboli systém pro řízení výuky. Z uvedených definic si lze představit elearning jako nástroj který v sobě zahrnuje množství dílčích aktivit. Mezi hlavní patří • evidenci a správu studentů • evidenci a správu kurzů • správu studijních materiálů • komunikační nástroje - diskuze, nástěnku, vývěsku • nástroje pro zkoušení studentů 1.1 E-learning na M U Masarykova univerzita zkoušela a využívala různé aplikace pro e-learningu rád bych zde uvedl několik událostí na kterých je možno sledovat vznik a vii rozvoj e-learningu na M U . Celkový přehled historie nasazování e-learningu je dostupný na [2]. 14.10.2002 na ÚVT se koná porada vedoucích fakultních LVT. E-learning je jedním ze čtyř projednávaných bodů, zájem jeví jen zástupci některých fakult (ESF, FF, FSpS, FSS, LF). 5.11.2002 proděkan Krob iniciuje kroky na úrovni celé Filozofické fakultě (FF), vedoucí k vytvoření pilotních kurzů a nakonec k nástupu prvního trvalého zaměstnance pro podporu e-learningu na FF. 2003 zahájen Transformační a rozvojový projekt (TRP) MSMT č. 91/2003: Zavedení e-learningu mezi standardní formy výuky na Masarykově univerzitě v Brně, hlavní řešitel doc. Matýska. únor 2004 do provozu uveden systém Elf - oficiální fakultní instalace systému Moodle pro FF. 30.6.2004 ukončen provoz celouniverzitní instalace L M S Moodle. Každá z fakult, která cítí potřebu využívat pokročilejších možností L M S systémů, bude dále provozovat a vyvíjet vlastní instalaci systému Mo­ odle. V roce 2004 byl platformou pro e-learning na M U zvolen informační systém Masarykovy univerzity (IS MU) který je dále dynamicky vyvíjen[3]. Kromě IS M U je na úrovní fakult provozován také systém Moodle. 1.2 Moodle Aktuálně jsou na M U provozovány dvě instalace open-source software Moodle (Modular Object-Oriented Dynamic Learning Environment - modulární objektově orientované dynamické prostředí pro výuku), což je softwarový nástroj pro tvorbu výukových systémů a elektronických kurzů na Internetu. [4] Tento systém je provozován na Filozofické fakultě, kde je znám jako ELF (https://elf.phil.muni.cz/elf2/) a na Pedagogické fakultě, kde je znám jako Moodlinka (https://moodlinka.ped.muni.cz/login/index.php). Moodle se skládá z řady charakteristických modulů: • diskusní fórum • studijní materiály ve formě H T M L stránek s možností Flash animací • úkoly pro účastníky kurzu viii • automaticky vyhodnocované testy složené z různých typů testových úloh • ankety I když je Moodle provozován jen na dvou fakultách M U , je v něm vyučováno cca 900 kurzů[5]. Zkoušení v rámci Moodlu probíhá pomocí Internetu, přesněji zkoušený prochází webovou stránku a odpovídá do připravených sekcí této stránky. Pro zabezpečení při zkoušení musí být znemožněn přístup k jiný programům na počítači a dostupnost jiných webových stránek než stránek moodle ve kterém probíhá zkoušení. A ani tento konkrétní moodle nemůže být dostupný celý, aby student nemohl využít integrované komunikačních nástroje moodlu (například diskuzní fórum). 1.3 IS M U IS M U je vyvíjen od roku 1998 a od roku 2005 je jeho součástí i podporu e-learningu. Tato podpora se neustále rozšiřuje. Mezi základní nástroje IS M U patří[6] : studijní materiály slouží vyučujícím ke zveřejňování různých typů výukových materiálů s propracovanými přístupovými právy. Kromě toho umožňuje studentům sdílení materiálu k předmětu. odevzdávárny součást studijních materiálu se speciálními oprávněními, která umožňuje studentům odevzdávat vypracované materiály učiteli. software proti plagiátům nástroj pro odhalování plagiátů určeným všem uživatelům IS M U . Lze navzájem srovnávat soubory (domácí úkoly, seminární práce a další dokumenty) vložené v IS M U . interaktivní osnovy rozcestník pro studenty kterým učitel organizuje výuku předmětu odpovědníky nástroj zaměřený na pochopení, procvičování a na zkoušení probrané látky. Odpovědníky generují zvláštní stránku v IS M U , kde uživatel přímo odpovídá na položené otázky a IS M U po ukončení odpovídání může (podle typu otázek) přímo automaticky vyhodnotit odpovědi. Učitel může vytvářet různé sady otázek a různě je kombinovat (například každý týden je k dispozici sada 50 ze kterých je náhodně vybráno 20 procvičovaných, s tím že několik z nich je z předcházejících sad, závěrečná zkouška může být náhodným výběrem ze ix všech sad). IS M U může náhodně skládat pořadí otázek i odpovědí k otázkám, čímž účinně brání opisování mezi studenty. skenování písemek rozšíření nástroje odpovědníku. Místo zobrazení odpovědníku v IS M U je možné nechat vygenerovat vhodný formát otázek k tisku. Student poté odpovídá do speciálního odpovědního listu, který je následně naskenován, zpracován IS M U a dále jsou odpovědi automaticky vyhodnoceny. Tímto způsobem zkoušení se ve své práci nebudu zabývat protože jeho zabezpečení se netýká zabezpečení počítačů ale fyzického dohlížení v učebně. Požadavky na zabezpečení jsou obdobné jako pro Moodl. Potřeba umožnit studentům přístup pouze do sekce odpovědníků IS M U . Tedy znepřístupnit lokální programyostatní sekce IS M U a zbytek Internetu. x 2 IT prostředí na M U Masarykova univerzita se skládá z 9 fakult a různých výzkumných ústavů a účelových zařízení. Odpovědným ústavem za informační a komunikační technologie (ICT) v rámci M U je Ústav výpočetní techniky (ÚVT) který v sobě sdružuje několik oddělení starající se o správu, zabezpečení a vývoj IT technologií. Přesněji se ÚVT stará na o bezpečnost a správu mezifakultní sítě, vývoj IS M U , provoz celouniverzitní počítačové studovny (CPS) a dále. Na fakultní úrovni se o IT vybavení a technologie starají fakultní ICT oddě­ lení. Fakultní IT vybavení se většinou skládá z pracovních stanic akademických i neakademických pracovníků, několika počítačových učeben, přednáškových místností a specializovaných pracovištích. Studentům jsou k dispozici učebny a některé specializované pracoviště. Vybavení učeben je na velmi podobné a většinově se jedná o klasické počítače architektury x86 s operačním systémem Microsoft (MS) Windows XP, případně novějším MS Windows 7. N a některých fakultách (například informatiky, přírodovědecké) jsou v některých učebnách nainstalovávaný různé distribuce operační systémy na bázi Unix či MacOS. Dále bych se zabýval pouze operačním systémem (OS) MS Windows, protože prostředí jiných OS je velmi různorodé a není zastoupeno ve větším počtu (MS Windows je několik stovek pc oproti několika desítkám pc s různými OS). Učebny s operačním systémem MS Windows jsou většinou ve správě pomocí Active Directory (AD) a zapojeny do domény ucn.muni.cz (dále jen ucn) kterou spravuje ÚVT. Díky tomuto systému mají uživatelé učeben jedno heslo pro přihlášení a jeden profil který se jim připojuje když pracují v prostředí ucn. Prostředí A D usnadňuje správu učeben a jejich softwaru pomocí politik GPO(Group Policy Object). Základní softwarové vybavení v doméně ucn je kancelářský balík MS Office 2003 případně MS Office 2010, správce souborů (Total Commander, Salamander), prohlížeč pdf souborů (Acrobat Reader, GhostView),internetové prohlížeče (Internet Explorer, Mozilla Firefox, Opera), antivirový software, vícejazyčný slovník WinGed a několik dalších drobných aplikací pro úpravu obrázků, textových souborů a přehrávačů. Kromě tohoto základního softwaru z ucn si fakulty mohou přidat softwary specifické pro jejich prostředí. Jedná se například o software pro statistickou analýzu (IBM SPSS, A M O D , Atlas.ti pro FSS) nebo matematiku (MatLab pro Přírodovědeckou fakultu). Síťová infrastruktura je na jednotlivých fakultách vyvedena v metalickém vedení s přenosovou rychlostí lOOMbps nebo lGbps. N a důležitých xi spojích je navýšena na rychlost lGbps(nebo i lOGbps) po optickém kabelu. Mezi fakultní spojení je na optickém kabelu s rychlostí lGbps nebo lOGbps a vyšší. Aktivní síťové prvky jsou od společnosti Cisco umožňující vzdálenou správu. Zjišťování o stavu sítě se provádí pomocí protokolu Simple Network Management Protocol (SNMP) z povolených počítačů. Kromě pevného připojení jsou fakulty vybaveny i bezdrátovou sítí, využívanou pro připojení notebooku a chytrých telefonů. xii 3 Průběh zkoušky na pc Zkouška probíhající na počítači se skládá z několik dílčích částí, které bych popsal v odstavcích dále. Autentizace Autentizace neboli proces ověření je potřeba provést jak u fyzické osoby (při vstupu) tak na počítači (přihlášení) abychom mohli nastavit správné pracovní prostředí. Předpokladem spravedlivé zkoušky jsou stejné pracovní podmínky všech zkoušených osob. Proto by nebylo vhodné aby zkoušení používali vlastní profily, ve kterých by mohli mýt nachystané materiály ke zkoušce. Distribuce zadání Ke zkoušce patří zadání bez kterého by studenti nevěděli co mají vykonat pro absolvování zkoušky. Tradiční forma písemného zadání, které studenti museli opsat se postupně nahrazuje distribucí souborů se zadáním vhodným nástrojem - nahráním z USB disku (pomalé, než se obejdou všechny pc v učebně tak to trvá v řádu desítek minut) nebo z Internetového úložiště (IS M U - studijní materiály předmětu) kde potřebujeme přístup na Internet po dobu stažení. Dalším způsobem distribuce zadání je vložení otázek do vhodného e-learningového nástroje - Moodle, IS M U kde zkoušející potřebuje Internet po celou dobu zkoušky. Pro distribuci tedy máme obecně dva způsoby - textový soubor nebo Internetovou stránku s formulářem pro psaní odpovědí. Vypracování odpovědí Zkoušející by měl mít k vypracování odpovědí dostupné jen nástroje, které specifikuje zkoušející. Tedy neměl by mít možnost využití nainstalovaných programů a Internetových možností - zdrojů informací, komunikační nástroje. Ale pokud naopak tvoří nějakou specifickou činnost například nějakou statistiku tak by měl mít možnost využít zkoušejícím povolené programy, ale ne Internet. xiii Sběr odpovědí Sběr odpovědí záleží na způsobu distribuce zadání. Pokud byl distribuován soubor, dostaneme od zkoušeného zase soubor a záleží na učiteli jak jej přijme. Pro využití odevzdávárny v IS M U nebo emailu musí být v okamžiku odevzdání přístupný Internet. V případě vypracování v Moodle, IS M U je potřeba mít Internet neustále pro přímé ukládání, ale musíme zamezit použití jiné stránky než s otázkami od zkoušejícího. Ukončení zkoušky Po odevzdání vypracovaných odpovědí by zkoušený měl opustit počítač a ten by se měl uvést do stavu vhodném k dalšímu provozu. Ať už k běžnému provozu učebny, tak případně další zkoušce. N a počítači by neměli zůstat žádné vypracované materiály nebo zadání, protože by mohla následovat zkouška stejného předmětu s jinými studenty a tito studenti by je mohli využít. Nepředvídatelné situace Během zkoušky na pc můžou vzniknout nepředvídatelné situace. Nejčastější situace je výpadek napájení nebo nedostupnosti Internetu. Obě situace mohou být velmi kritické, mohou způsobit ztrátu části, případně celé vypracované zkoušky a zabezpečení zkoušky by mělo aspoň mírnit následky. xiv 4 Prostředí zkoušení na FSS M U Informoval jsem se na fakultách M U na úroveň a na způsob zabezpečení zkoušek absolvovaných na počítačích a nejlepší řešení zabezpečení mají na FSS M U . Ostatní fakulty mají různé stupně ale ne kompletní zabezpečení, případně mají převzaté řešení z FSS M U . Toto řešení bych tady chtěl popsat. 4.1 Vznik a vývoj zkouškových účtů Vznik a použití speciálního účtu pro zkoušení se na FSS M U datuje na jarní semestr 2006, jak dokládá informační mail[7] a od 13.6.2006 je doporučeným způsoben pro elektronické zkoušení na FSS M U . Tento účet byl pojmenován Zkouška. V tomto řešení bylo použito politiky A D pro nastavení pracovního prostředí a w w w prohlížeče.Přesněji po přihlášení speciálního účtu Zkouška nebylo možné spustit jiný program než Internet Explorer (IE). IE je spouštěn v celoobrazovkovém režimu, má nastavenou domovskou stránku na https://is.muni.cz, nedostupnou lištu pro zadávání w w w adresy. Toto řešení byl počátek zabezpečení. Když se podíváme zpětně tak zabezpečení nebylo vysoké. Studenti se mohli přes IS M U dorozumívat emailem, mohli si dohledávat informace na Internetu pokud měli někde v poště uložen odkaz na příslušné zdroje. Tenkrát ještě v IS M U nebyl nijak zabezpečeno průběžné ukládání pro případ výpadku spojení. Náhodně se také v IE objevovalo místo stránky IS M U bílá stránka, ale jednalo se o chybu IE která nekorektně zobrazoval stránky IS M U . Problémy s IE vedli k testování jiných Internetových prohlížečů, testovali se nejběžnější prohlížeče Opera a Mozilla Firefox. Prohlížeč Opera byl z testování záhy vyloučen protože v aktuální verzi nepodporoval korektně zabezpečený protokol https.Jinak nabízel velké možnosti doplňků a dobrou konfigurovatelnost, i když ne pomocí politik (GPO) v A D . Testování prohlížeče Mozilla Firefox bylo až na několik drobností úspěšné. Podařilo se pomocí doplňků dosáhnout celoobrazovkového režimu, omezení na konkrétní adresu bez možnosti zadání. Pouze se nepovedlo zakázat otevírání nových záložek a to byl potenciální problém. Tento problém vyřešili přepsáním zdrojových souborů prohlížeče což vedlo k oddělení od nainstalované verze z ucn domény aby se neovlivnilo chování za normálního provozu. Konečné řešení tedy bylo použití speciální verze prohlížeče - portable neboli přenosné verze. Tato verze má tu výhodu že po instalaci doplňků, jejich nastavení a upravení zdrojových souborů se mohl portable Mozilla xv Firefoxe komprimovat a jednoduše při přihlášení účtu Zkouška skriptem po spuštění nakopírovat, rozbalit a spustit.Tímto se také urychlilo načítání profilu, zlomek dat (velikostí i počtem souborů) se přenášel sítí a zpracování už probíhalo na samostatných počítačích. Toto řešení je plně aplikovatelné dodnes pouze se změnili některé doplňky a již není potřeba nijak upravovat Mozilla Firefoxe. Využití Mozilla Firefoxe nebylo jediné vylepšení které se s účtem Zkouška stal. Byly zakázány nejen instalované programy ale i programy které se mohli spouštět z C D nebo usb disku. Což spolu s vývojem IS M U (bezpečnostní barevný pruh na obrazovce, průběžné ukládání) vedlo k dalšímu zvyšování zabezpečení zkoušení v pc učebnách. S úspěšnou aplikací účtu Zkouška byli na FSS M U požádáni o rozšíření možnosti zkoušet pomocí Moodlu. Což bylo vzápětí realizováno druhým zkouškovým účtem pojmenovaným Elf který měl stejné nastavení GPO jako účet Zkouška, ale lišil se v nastavení Mozilla Firefox. Tady bylo nastaveno výchozí stránka na vstup do Elfu na FF. Ne všichni zkoušející ale byly schopni vyjít s omezenými možnostmi otázek pokládaných pomocí IS M U nebo Moodlu. Přáli si využívat statistické programy (SPSS) a v případě státních závěrečných zkoušek i využití textového editoru Word. Těchto možností ale nebylo možno s účty Zkouška a Elf dosáhnout a proto byl vyvinut další účet. Byl pojmenován Student. Na tomto úctě byly povoleny lokálně nainstalované programy(definované zkoušejícím) a bylo možno odpojit od Internetu. Průběh takové zkoušky byl komplikovanější protože podpora studijních materiálů a odevzdávání ještě nebylo naplno implementováno v IS M U a dělo se tak přes usb disk, případně studenti posílali svoji práci emailem vyučujícímu po zapnutí internetu. Odpojování internetu byl také ze začátku problematické. Stávající infrastruktura sítě byla dostatečně zmapována, ale nejjednodušší možnost, jak odpojit síť Internetu od počítačové učebny, bylo odpojit fyzicky celou učebnu. Což se nelíbilo některým vyučujícím že při dozoru nad zkouškou se nemohou dostat na Internet a pracovat. Vedlo to k vyvinutí aplikace na ovládání připojení k síti pro učebny. Přesněji byla naprogramována webová stránka v jazyce P H P která byla schopná pomocí protokolu SNMP ovládat porty na aktivním switchi Cisco zajišťující připojení počítačové učebny k síti. N a této stránce bylo možné ovládat připojení jednotlivých počítačů, tedy velmi komfortní ovládání a zjednodušení průběhu zkoušky (ne všichni zkoušení využijí celý přidělený čas). xvi 4.2 Implementace účtu Student • účet je mandatorní - změna na účtu se nepřenese na uložený profil na profilovém serveru. Nové spuštění účtu nahraje pouze předem definovaný profil. • pomocí G P O specifikován seznam povolených softwarů, případně možnost nechat povoleny všechny. • zálohování při odhlášení uživatele. Jako ochrana před ztrátou vypracovaných odpovědí v případě špatného odevzdání. Zálohují se pouze soubory které jsou uloženy na ploše a v dokumentech. Nově v MS Windows 7 se archivuje i složka Stažené soubory - Downloads. • pro případ výpadku proudu zálohovací skripty se aplikují i při startu pc. Tedy kontrolují zda existuje profilu na lokálním disku a pokud ano, zálohují. • soubory se zálohami se ukládají na bezpečné místo, aby nedošlo k jejich náhodnému smazání. Archivy by měli být zaheslované, aby když je nějaký zvědavý student najde je nemohl použít. • otestování spuštění povolených programů i při vypnuté síti. Aby nebylo nutné v průběhu zkoušky pouštět připojení k síti. 4.3 Implementace účtu Zkouška,Elf Pomocí G P O znepřístupnit • spouštění všech lokálních programů • odstranění všech nabídek kromě možnosti odhlášení • přístup na externí ukládací zařízení (i automatické spouštění) - usb disky, C D mechaniky • povolit možnost změny klávesnice - česká, slovenská, anglická, případně předem specifikovaná. Doplňky pro Mozila Firefox portable • R-Kiosk - vypnutí všech menu, zablokování otevírání záložek, celoobrazovkový režim ze kterého se lze dostat pouze vypnutím prohlížeče. xvii • Blocksite - odstranění odkazů podle seznamu url. Je možno vybrat mezi seznamem povolených (whitelist) a zakázaných (blacklist) url. Odkazy jejichž url neodpovídá vzorům lze z internetové stránky odstranit a tím zneplatnit odkazy kterými by bylo možné se dostat mimo zkouškové prostředí. V tomto případě je vhodnější whitelist kde povolíme vykonávání javascriptů na stránce, zobrazení obrázků (jpeg, png a dalších), přehrávání video souborů (avi, wmv a další) a povolené url Elfu a IS M U . Vzorové url naleznete v příloze A Domovská stránka prohlížeče • pro Moodl na FF je to https://elf.phil.muni.cz/elf2/login/ • pro IS M U je to https:/ /is.muni.cz/auth/elearning/test_pruchod_el_student.pl 4.4 Implementace aplikace pro správu připojení k internetu Pro ovládání připojení k síti byla Bc. Mariánem Miškem naprogramována webová aplikace na ovládání aktivních switchů Cisco v počítačových učebnách. Aplikace běží na webovém serveru Apache, na kterém je omezen přístup pouze z kanceláří ICT a z jednoho počítače v každé učebně. Aplikace je napsána v programovacím jazyce PHP, využívá SNMP pro ovládání switche. Je možno ovládat jak jednotlivé počítače tak celou učebnu. Pro přístup k aplikaci se využívá univerzitního čísla osoby (UCO) a sekundárního hesla IS M U . 4.5 Praktické poznatky z provozu Několika letým provozen zkouškových účtů vedlo k jejich odladění. Posledním přetrvávajícím problémem je přihlašování zkouškových účtů které probíhá ručně před každým termínem zkoušky. S přechodem učeben na MS Windows 7 je tato situace dále komplikovanější, musí se vypisovat i doména, proti které se přihlašují účty. Mohlo by se využít studentů kteří mají absolvovat zkoušku. Sdělilo by se jim uživatelské jméno a heslo kterým se přihlásí k počítači. Toto heslo by se ale muselo měnit po každé zkoušce, protože by mohlo by dojít k zneužití počítačů. xviii 5 Správa počítačových učeben Pro FSS M U jsem navrhl a napsal aplikaci pro správu počitačových učeben. Aplikaci je možno po úpravách konfigurace použít na většině fakult M U , případně z ní aplikovat některé části do již existujících systémů. 5.1 Požadavky na správu počítačových učeben Praktický provoz elektronického zkoušení na FSS a nasazení MS Windows 7 v počítačových učebnách vedlo ke specifikaci požadavků pro usnadnění správy učeben. • přihlašování pomocí U C O a sekundárního hesla • ovládání jednotlivých učeben i jednotlivých počítačů • zapínání, vypínání a restartování jednotlivých pc nebo učebny • ukládání informací o své činnosti - logování událostí • ovládání připojení k síti • automatické přihlášení počítačů dle vybraného typu zkoušky • minimum prvků (framework, databáze) pro aktualizace - jednoduchost údržby • umístění na server s OS MS Windows 5.2 Použité technologie Internet Information Services (IIS) webový server společnosti Microsoft pro systém Windows. asp.net součást .NET Frameworku pro vytváření webových aplikací a služeb. Zdrojvý kód aplikace je psán v jazyce C#. SNMP součást internetových protokolů, určený pro správu sítí. Využit pro ovládání aktivních prvků Cisco. L D A P protokol pro ukládání a přístup k datům na adresářovém serveru. Použit pro přesun počítačových účtů v doméně A D . xix PowerShell je to rozšiřitelný shell se skriptovacím jazykem. Využit v politikách G P O a pro vzdálené ovládání počítačů. xml obecný značkovací jazyk využívaný pro serializaci dat. Využit pro ukládání dat o osobách a místnostech. 5.3 Grafický návrh aplikace Home PC 25 J226pcl3 © O O ® <§> j226pclT ® J226pc06 ES • n S J226pc05 © • Q J226pc0d ® - Ij226pcl5 © w % ? i % R %ŕi * f J226|K12 © j226pdl © J226pcl0 0 i KU J226pc09 © " i " i ~ 8 ™ i ™ l J226pc07 © p J226po03 G> — i iS EH j226pcOB (Ô) Význam ikon: Ti Zapnutí připojení k síti učebny/pc. ^ Vypnutí připojení k síti učebny/pc iS Přepnout učebnu/pc do režimu pro zkoušení pomocí IS M U . *~ Přepnout učebnu/pc do režimu pro samostatnou práci studentů. ED Přepnout učebnu/pc do režimu pro zkoušení pomocí Elfu. O Přepnout učebnu/pc do normálního režimu. O Restartování učebny/pc. © Vypnutí učebny/pc. O Zapnutí učebny/pc. xx 5.4 Implementace V následující částech bych rád uvedl základní implementace technologií v aplikaci. Pro ukládání dat aplikace použijeme soubory xml které budou uloženy v adresáři app_data. Toto je složka, kde je omezen přístup jen pro danou aplikaci. Ukládají se sem datové soubory, včetně databázových. Tato aplikace si ale vystačí pouze s datovými soubory xml, databáze není po­ třeba. 5.4.1 Záznam událostí Zaznamenávání událostí je důležitou částí aplikace. V záznamech lze vyčíst kdo a kdy připojil nebo odpojil počítač od sítě. Události se zaznamenávají do textových souborů. Každý den má svůj soubor a jsou uloženy ve složce log která je podsložkou app_data. Tyto soubory jsou dostupné pro prohlížení přes aplikaci. Prohlížet je smí uživatel kterému je přiděleno oprávnění admin. 5.4.2 Správa uživatelů Správa uživatelů je základ všech aplikací, které má využívat větší počet uživatelů. Podle požadavků využijeme U C O a sekundární heslo. Nemusíme se tedy starat o vytváření a správu účtů, každá osoba na M U má svoje U C O a sekundární heslo. Sekundární heslo si může nastavovat a měnit pomocí IS M U . V aplikaci nám tedy stačí, když budeme udržovat seznam uživatelů (UCO) a jim přidělené oprávnění. < U s e r L o g i n D e t i a l s > 98733< /UserName> User ,pc25 ,admin 169758< / UserName> User ,pc26 ,pc26 < / U s e r L o g i n D e t i a l s > Pro správu uživatelů (přidávání, odebírání uživatelů a jejich rolí) je samostatná stránka v aplikaci. Pro přístup k této stránce je potřeba mít opráv- xxi není admin. Změna oprávnění uživatele se provede až po jeho opětovném přihlášení. 5.4.3 Přihlašování uživatelů Při přihlašování uživatelů je napřed ověřena existence záznamu v seznamu uživatelů. V případě existence se aplikace pokusí autentizovat A D uživatelovými údaji a dotáže se na existenci uživatelova přihlašovacího jména. Po úspěšné autorizaci je vytvořeno cookie prohlížeče do kterého jsou uloženy role uživatele. Toto cookie platí následujících 10 hodin nebo dokud se nevypne prohlížeč, ve kterém proběhlo přihlášení. 5.4.4 Konfigurace učeben Konfigurace učeben je uložena v souborech xml v adresáři app_data. Každá učebna je uložena zvlášť. j231pc01 . f ss . ucn . muni. cz 147.251.107.129 90:2B:34:B4:BA:73 0 1 l j231pc02 . f ss . ucn . muni. cz 147.251.107.130 90:2B : 34 : B6 : 7E:8B 0 0 l xxii < /ComputerRoom> U každého počítače v učebně je po třeba uvést name jednoznačné jméno u které je zobrazeno na webové stránce aby bylo možné počítač snadno identifikovat.Je totožné s názvem počítačového účtu v A D . top a leťt pozice počítače na internetové stránce, počítáno od levého horního rohu. dns název počítače pod kterým je uveden v dns záznamech, ip ip adresu kterou počítač dostává od dhcp servru. mac hardwerovou adresu internetového rozhraní počítače pro buzení po sítí. režim identifikuje stav učebny a jaký účet má být po spuštění počítače při­ hlášen 0 běžný režim učebny 1 režim Zkouška - IS M U 2 režim Student - samostatná práce studentů 3 reřim Zkouška - ELF cisco název, adresu a číslo portu na switchi, ke kterému je počítač připojen. Dále je specifikován stav ve kterém se port nachází ( 1 - online 2 - offline ignore atribut kterým můžeme počítač vyjmout z povelů pro řízení celé učebny. Nadále jej můžeme ovládat přímým povelem. power určuje zda byl na počítač odeslán budící packet. Konfigurace probíhá pouze přímou editací souboru. Změny v konfiguraci nastávají pouze výjimečně (při výměně nebo opravě pc, změny na síťových prvcích). xxiii 5.4.5 Ovládání připojení k síti Ovládání připojení k síti je realizováno pomocí protokolu SNMP. Abychom mohli využít protokolu SNMP musíme mít na switchi podporu SNMP clienta. Řiditelné aktivní prvky Cisco tímto klientem disponují. Stačí tomuto klientu nakonfigurovat komutnitu pro zápis a přístupovou IP adresu ze které budeme provádět změny. Při implementaci jsem vyzkoušel několik možností využití SNMP ale nejlepších výsledků jsem dosáhl pomocí open sourcové knihovny SNMP # Net [8]. Každá hodnota v SNMP je jednoznačně identifikována pomocí číselného identifikátoru OID - Object Identifier. OID je tvořeno posloupností čísel oddělených tečkou. Tato hodnota vznikne tak, že se vezme OID nadřazeného prvku a doplní se tečka a aktuální číslo. V našem případě budeme pracovat s OID .1.3.6.1.2.1.2.2.1.7.X, kde X je číslo portu který chceme řídit. Hodnoty můžeme nastavit 0 vypnut 1 zapnut 2 testovací režim Informace o řízení switchů cisco jsem čerpal z [9]. 5.4.6 Ovládání počítačů Ovládání počítačů je realizováno pomocí PowerShellu. Pro vzdálené vykonávání vzdálených příkazů potřebujeme na klientech • mít spuštěnou službu Windows Remote Management (WS-management) • na firewallu mít povolený Windows Remote Management (HTTP-In) - TCP port 5985 • spuštěnu službu WinRM Service • nastavení důvěryhodné domény pro WinRM Client Toto jednoduše nastavíme v A D pomocí G P O a připojíme k organizačním jednotkám, které obsahují počítačové učebny. Vzdálené vykonávání příkazů můžeme dále použít i pro pravidelné spouštění a vypínání počítačů pomocí plánovaných úloh. xxiv 5.4.7 Automatizované přihlašování Pro automatizované přihlášení účtu v OS Windows se používá uložení uživatelského jména a hesla do registru. Tato data jsou uložena přímo v textové podobě a jejich používání může znamenat bezpečnostní riziko. V našem případě toto riziko vzniká při použití účtu student, jehož zneužití je poté těžko dohledatelné. Toto můžeme omezit pravidelnou změnou hesla ke zkouškovým účtům. Pro automatizované přihlašování je tedy potřeba mít nastaveno v registru HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows N T \ CurrentVersion\Winlogon následující položky DeťaultUserName přihlašovací jméno účtu který chceme přihlásit DeťaultPassword heslo k přihlašovanému účtu DeťaultDomainName doménu pod kterou spadá přihlašovaný účet AutoAdminLogon určuje zda se má vykonat automatizované přihlášení (hodnota 1) nebo ne (hodnota 0) Pro aktivaci automatizovaného přihlášení je potřeba, po zapsání hodnoty AutoAdminLogon na hodnotu 1, restartovat počítač. Zadání hodnoty pomocí G P O politiky při spuštění pc se neprovede automatické přihlášení. Rozhodnutí který účet se má přihlásit při spuštění počítače jsem po vyzkoušení několika možností vyřešil vytvořením organizačních jednotek (pojmenovaných podle typu přihlašovacích jmen zkouškových účtů) v každé organizační jednotce počítačové učebny. • [ ř ] ComputerRoom ^ F55, Autologon ^ FSSj PowerShell Remote E [a] elf S [a] student ED zkouška Politika pomocí systémových preferencí nastaví v registrech přihlašovací údaje(nikde více je nemusíme uvádět). Aby nedošlo ke kolizi těchto údajů jsou na preferencích umístěny podmínky, které kontrolují v jaké organizační jednotce je počítač zrovna umístěn. Při spuštění počítače se vykoná skript po spuštění, který ověří organizační jednotku ve které se počítač nachází s přihlašovacím jménem v registru a v případě rozdílu restartuje počítač. Provádí také nastavení registru xxv hodnoty AutoAdminLogon. Nastaví hodnotu 0 v případě normálního režimu učebny. Hodnotu 1 v případě zkouškových účtu a restartuje počítač. 5.4.8 Protokol LDAP Protokol L D A P je využit na přesuny počítačových účtů v A D . Tedy pro přesuny mezi organizačními jednotkami určující, který účet se má při startu počítače přihlásit. 5.5 Instalace aplikace Pro správnou funkčnost aplikace je potřeba aby v IIS serveru bylo nainsta­ lováno • omezení podle IP a domény (IP and Domain Restrictions). Pro zvýšení bezpečnosti a omezení přístupu jen na konkrétní počítače. • ASP.NET • .Net rozšíření Kromě IIS serveru potřebujeme účet v A D doméně který bude mít pravo­ moc • přesouvat počítačové účty v organizačních jednotkách učeben • možnost vzdálené spravování (vypínání) počítačů. Dále budeme potřebovat komunitu pro zápis protokolem SNMP na switche v počítačových učebnách. Pro aplikaci v IIS vytvoříme novou webovou stránku (v IIS označováno jako site) a do jejího úložiště nakopírujeme zdrojové soubory aplikace. Pro složku app_data nastavíme možnost zápisu pro uživatele pod kterým pracuje IIS server, aby mohl vytvářet záznamové soubory, spravovat uživatele a učebny. Výše zmíněné přístupové údaje pro doménu a SNMP zadáme do zdrojových souborů ve složce secure. xxvi 6 Závěr Zabezpečení zkouškových účtů na FSS M U je velmi vysoké a v praxi mnohokrát vyzkoušeno. Postupně se začínají objevovat požadavky z jiných fakult M U po stejném zabezpečení. Drobný problém je v přípravě učebny na zkoušku. Tento problém jsem se pokusil odstranit aplikací pro správu učeben. Problém který setrvává je v přípravě učitelů na zkoušku. Často si zarezervují místnost v IS M U a neinformují o tom techniky kteří by jim pomohli s nastavením odpovědníků nebo přípravou učebny. Nebo na začátku semestru vypíší učitelé termíny zkoušek a nezarezervují si učebny.V IS M U není nijak navázána informace o rezervaci místnosti s termínem zkoušky. Tyto problémy vidím jako další možnosti vývoje pro zlepšení a zkvalitňování zkoušení studentů na M U . xxvii Literatura [1] Definice e-learningu. [online], [cit. 2012-12-30]. Dostupné z: http://www.mc2.cz/node/15 [2] E-learning na M U [online]. 2005 [cit. 2012-12-30]. Dostupné z: http://www.phil.muni.cz/elearning/historie_elmu.php [3] Principy e-learningu na M U [online], [cit. 2012-12-30]. Dostupné z: http://is.muni.cz/elportal/principy.pl [4] Moodle [online]. 27. 10. 2012 [cit. 2012-12-30]. Dostupné z: http://cs.wikipedia.org/wiki/Moodle [5] Informace k systémům na Filozofické a Pedagogické fakultě [online]. 2007 [cit. 2010-12-30]. Dostupné z: http://eldum.phil.muni.cz/mod/book/view.php?id=4&chapterid=5 [6] Možnosti IS M U [online], [cit. 2012-10-30]. Dostupné z: http://is.muni.cz/elportal/help.pl [7] C A H A , Libor, Marán MIŠKO a Petr NĚMEC. Vznik a vývoj elektronického zkoušení na FSS [online]. 2012 [cit. 2012-12-30]. Dostupné z: http:/ /is.muni.cz/do/rect/el/prezentace/13_09_2012/prez/caha.pdf [8] SnmpSharpNet. [online]. [cit. 2012-12-30]. Dostupné z: http:/ /www.snmpsharpnet.com/ [9] SNMP - Simple Network Management Protocol. [online], [cit. 2012-12- 30]. Dostupné z: http://www.samuraj-cz.com/clanek/snmp-simple- network-management-protocol/ xxviii Příloha A Whitelist pro doplněk Blocksite Mozilla Firefox Společné url • *-JPg • *-Pn g • *-jpeg • *.bmp • *-gif • *.swf • *.avi • *.wmv • *.wav • *-ogg • *.mp3 • *.wma • *.mpeg • *.mpg • *.mov • *.flv • *.css • javascript:* xxix Elf • https://elf.phil.muni.cz/elf2/* • http://elf.phil.muni.cz/elf2/* • http://elf.phil.muni.cz/* • http://idp2.ics.muni.cz/* • https://idp2.ics.muni.cz/* • https://elf.phil.muni.cz/* IS M U • https://is.muni.cz/system/* • https://is.muni.cz/auth/lide/foto.pl* • https://is.muni.cz/auth/elearning/* • https://is.muni.cz/auth/js/* • https://is.muni.cz/auth/css/* • https://is.muni.cz/auth/pics/* • https://is.muni.cz/auth/do/rect/el/storage/* X X X Příloha B Pokyny pro přípravu elektronického zkoušení v počítačových učebnách pro učitele Plánování zkouškových termínů Pokud chcete využít pc učeben pro zkoušení, s dostatečným předstihem prosím proveďte několik následujících kroků pro každý termín zkoušky • rezervace pc učebny pro konání zkoušky • vypsání termínu zkoušky pro studenty v ISu, do poznámky studentům doporučuji uvést typ zkoušky - odpovědník, samostatná práce Po vypsání termínu zkoušek prosím informujte techniky odpovědné za provoz Vámi rezervovaných učeben. Kontaktujte je emailem, nejlépe hned po vypsání zkouškových termínů Vašeho předmětu. Pro každý termín prosím uveďte: • učebnu, začátek a konec, odpovědnou osobu • typ zkoušky - odpovědník - samostatná práce s Internetem nebo bez Internetu, způsob ode­ vzdání • program a verzi pro vypracování samostatné práce (například aktuální MS Word, SPSS 20, Matlab R2012 apod.) Před zkouškou S dostatečným předstihem kontaktujte fakultního e-technika pro kontrolou: • v případě odpovědníku jeho správného nastavení, zabezpečení a dostupnosti testových otázek • v případě samostatné práce studentů kontrolu nastavení odevzdá- várny xxxi Konání zkoušky S malým předstihem (5 až 10 minut) si zkontrolujte pc učebnu a přihlášené účty na pc. V případně chybného nastavení si pomocí aplikace pro správu učebny nastavte správný typ účtu a restartujte učebnu. Uveďte studenty do učebny věci nechť si uloží na příslušná místa a usadí se k počítačům. V případě práce s odpovědníkem • vyzvěte studenty aby se přihlásili k IS M U pomocí univerzitního čísla osoby (UCO) a primárního hesla • studenti by si měli zkontrolovat semestr a studium které mají nastaveno v IS a případně si změnit na aktuální • sdělte jim název odpovědníku a studenti mohou začít odpovídat • v případě pádu spojení k IS M U nechť studen-t/ti zmáčknou klávesu F5 pro obnovení stránky a zvolí Ano, otevřít podruhé V případě samostatné práce studentů • vyzvěte studenty aby si spustili Internetový prohlížeč a přihlásili k IS M U pomocí univerzitního čísla osoby (UCO) a primárního hesla. • studenti by si měli zkontrolovat semestr a studium které mají nastaveno v IS a případně si změnit na aktuální • vyhledali zadání práce - sekce Student - Studijní materiály (e-learning) - název Vašeho předmětu • zadání si uložili na svém počítači a otevřeli • pokud mají všichni staženo můžete odpojit Internet pomocí aplikace pro správu učebny • studenti mohou začít pracovat • pro odevzdání do odevdávárny je potřeba opětovně pustit Internet, můžete pouštět individuálně pokud některý student končí vypršením času Po skončení by se studenti měli odhlásit od počítače. xxxii Po zkoušce Pokud následuje další termín Vašeho předmětu, připravte si učebnu a pokračujte ve zkoušení. Pokud již nebudete dále zkoušet, uveďte učebnu do normálního re­ žimu. xxxiii Příloha C Pokyny pro přípravu elektronického zkoušení v počítačových učebnách • průběžně testovat funkčnost účtů na zkoušení • zaškolovat osoby odpovědné za dozor při zkouškách v pc učebnách • reflektovat žádosti na programy pro samostatnou práci studentů xxxiv Příloha D Pokyny pro studenty před zkoušením v počítačové učebně Od • pro přihlášení potřebujete znát své U C O a primární heslo • zkontrolujte si semestr a studium které máte nastaveno v IS a případně si změňte na aktuální • učitel Vám sdělí název odpovědníku se kterým budete pracovat • test je časově omezen, zbývající čas uvidíte na obrazovce • průběžně si ukládejte test pomocí tlačítka Průběžně uložit • pro ukončení testu vyberte Uložit • po skončení se prosím odhlaste pomocí Ctrl + Alt + Delete Samostatná práce • spusťte si Internetový prohlížeč a přihlaste se k IS M U pomocí U C O a primárního hesla. • zkontrolujte si semestr a studium které máte nastaveno v IS a případně si změňte na aktuální • podle instrukcí si vyhledejte zadání práce • zadání si uložte na svém počítači, nejlépe na plochu • vypracujte své odpovědi, nezapomeňte si ukládat • pokud odevzdáváte před uplynutím stanoveného času, požádejte o připojení k Internetu • odevzdejte svoji práci do odevzdávány předmětu • soubory nemažte a odhlaste se od počítače pomocí Ctil + Alt + Melete xxxv Příloha E Obsah přiloženého C D source zdrojové soubory aplikace thesis.pdf text bakalářské práce ve formáte PDF startup.psl powershell script pro automatizované přihlašování