Глава 43. Veyon

⁠Глава 43. Veyon

Veyon (Virtual Eye On Networks) — программа для учителей, работающих в компьютеризированных классах. Она позволяет различными способами контролировать компьютеры учащихся, входящих в состав сети.

Если какому-либо учащемуся требуется помощь, преподаватель может удалённо подключиться к его рабочему столу и немедленно уделить внимание решению его проблемы. Преподаватель может передавать изображение со своего монитора на экраны всех учащихся, а также выбрать дисплей отдельного ученика и транслировать его изображение на экраны остальных. Veyon позволяет учителю блокировать изображения на дисплеях учеников, чтобы привлечь их внимание во время объяснения материала.

Функциональные возможности Veyon:

просмотр и запись происходящего на компьютерах учеников;
удалённое управление компьютерами в сети (для поддержки и помощи учащимся);
демонстрация учебных материалов (в полноэкранном режиме или в отдельном окне) на всех компьютерах;
блокировка рабочих станций (для привлечения большего внимания к изложению материала);
отправка текстовых сообщений учащимся;
включение и выключение всех компьютеров в сети;
удалённый выход из системы, запуск команд и скриптов;
поддержка дистанционного обучения. Veyon работает не только в локальных сетях — с помощью VPN-соединений возможно обучение из дома.

⁠43.1. Настройка управления классом

Настройку Veyon можно выполнить как в графическом интерфейсе через Veyon Configurator, так и в командной строке с помощью команды veyon-cli.

⁠43.1.1. Настройка Veyon на компьютере преподавателя

Запустить конфигуратор Veyon, выбрав Меню запуска приложений → Образовательные → Veyon Configurator или выполнив команду:

$ veyon-configurator

Потребуется ввести пароль администратора (root) и нажать Enter:

Veyon поддерживает два метода аутентификации: аутентификацию по ключу (рассмотрена далее) и аутентификацию при входе в систему. Аутентификация по ключу основана на криптографии с открытым ключом (используются открытый ключ и связанный с ним закрытый ключ).

В разделе Главное необходимо сделать следующие настройки:

в блоке Аутентификация выбрать метод аутентификации: Аутентификация с помощью ключа доступа;
в блоке Каталог сетевых объектов, в поле Бэкэнд выбрать пункт Встроенное (компьютеры и места в локальных настройках):

Настройки в разделе Сервис:

запустить сервис, если он еще не запущен;
в блоке VNC-сервер, в поле Плагин выбрать пункт Встроенный сервер VNC (x11vnc):

В разделе Ключи аутентификации необходимо сгенерировать ключи, для этого следует:

Нажать кнопку Создать ключевую пару;
Указать имя для пары ключей, нажать кнопку ОК:
После генерации появится уведомление о том, что ключи созданы и сохранены, с указанием пути их сохранения:
Установить группу доступа для закрытого ключа. Для этого выделить закрытый ключ (имеет значение private в колонке Тип) и нажать кнопку Установить группу доступа, в открывшемся окне выбрать/указать группу пользователей (группа должна существовать), которым будет разрешен доступ к компьютерам с помощью Veyon Master:
Теперь доступ к зарытому ключу будут иметь все пользователи, входящие в группу teacher:
Выделить открытый ключ (имеет значение public в колонке Тип) и нажать кнопку Экспорт ключа. Указать каталог для экспорта открытого ключа (например, можно указать каталог, который открыт в общий доступ) и нажать кнопку Сохранить.

Для сохранения настроек нажать кнопку Применить и на вопрос о перезапуске службы ответить Да.

На этой стадии можно экспортировать конфигурацию (Файл → Сохранить параметры в файл), чтобы позже применить её на компьютерах учащихся:

Открытый ключ (файл teacher_public_key.pem) и конфигурацию (файл <имя_файла.json>) с компьютера учителя необходимо скопировать на компьютеры учащихся (перенести с помощью носителя информации, использовать общий каталог, использовать команду scp).

В разделе Места и компьютеры необходимо добавить классы и компьютеры. Для компьютера достаточно указать IP-адрес:

Veyon. Раздел конфигурации Места и компьютеры

В разделе Мастер на вкладке Поведение можно выбрать то, как будут реагировать компьютеры на двойной щелчок:

На вкладке Функции можно отключить ненужные функциональные возможности:

В разделе Приложения и веб-сайты можно добавить к контекстному меню часто используемые приложения и сайты:

Veyon. Раздел конфигурации Приложения и веб-сайты

⁠43.1.1.1. Интеграция LDAP/AD

В Veyon можно настроить интеграцию с LDAP-совместимыми продуктам (включая Active Directory и FreeIPA). После настройки интеграции, в Veyon Master будет использоваться информация о пользователях, группах и компьютерах из каталога LDAP.

Настройка интеграции выполняется в разделе LDAP Basic.

На вкладке Основные настройки необходимо указать параметры подключения к LDAP. В разных реализациях LDAP могут быть разные требования для указания учетной записи (возможные форматы включают: User, DOMAIN\User или cn=User,… dc=example dc=org).

Предупреждение

Для получения доступа к LDAP требуется создать в домене отдельного служебного пользователя с правами чтения LDAP.

Veyon может устанавливать зашифрованные соединения с сервером LDAP. Для этого в блоке Защита соединения доступны соответствующие настройки.

Настройки базового DN определяют адрес корневого объекта в каталоге. Все объекты хранятся ниже базового DN. Обычно базовый DN поступает из домена, DNS или AD:

На вкладке Настройки среды указываются параметры, которые определяют, деревья объектов в которых определены типы объектов и имена атрибутов объектов.

Деревья объектов — это организационные или структурные единицы, в которых хранятся определенные типы объектов (пользователи, группы, компьютеры). Соответствующие CN (общие имена) или OU (организационные единицы) должны быть введены без корневой части DN в соответствующие поля ввода. Рядом с каждым полем ввода есть кнопки для открытия диалоговых окон просмотра и проверки индивидуальных настроек.

Чтобы Veyon мог получить необходимую информацию из запрашиваемых объектов, необходимо настроить имена некоторых атрибутов объектов, поскольку они существенно различаются в зависимости от LDAP-сервера:

Атрибут имени пользователя для входа — атрибут должен содержать логин пользователя (FreeIPA — uid, Active Directory — sAMAccountName);
Атрибут членства в группе — атрибут используется для определения групп, членом которых является конкретный пользователь;
Атрибут показываемого названия компьютера — атрибут используется для определения имени компьютера, отображаемого в Veyon Master. Если оставить поле пустым, используется общее имя (cn);
Атрибут имени хоста компьютера — DNS-имя компьютера;
Атрибут места компьютера — если схема LDAP для компьютеров предоставляет специальный атрибут для сопоставления местоположению, здесь можно ввести имя этого атрибута.

На вкладке Расширенные настройки с помощью опциональных фильтров можно сократить количество объектов LDAP, используемых в Veyon, а так же настроить параметры запроса структуры каталога и идентификации участников групп и мест компьютеров:

Примечание

Основное дерево каталога в Veyon по умолчанию отображается в виде плоского списка, поэтому использование параметров раздела Деревья объектов отобразит список компьютеров в указанном подразделении или контейнере, но они будут не доступны к управлению. Для возможности управления такой структурой каталога необходимо активировать опцию Сопоставить структуру контейнера/подразделения 1:1 с местоположениями в разделе Параметры запроса.

Примечание

Чтобы скрыть такие объекты как принтеры в Veyon, достаточно в поле Фильтр для компьютеров указать параметр:

(&(!(cn=printer*)))

На вкладке Тестирование интеграции можно проверить интеграцию LDAP используя различные тесты:

⁠43.1.1.2. Интеграция с Альт Домен

Для настройки интеграции с Альт Домен (сервер — dc.test.alt, IP-адрес — 192.168.0.132, учётная запись с правами чтения LDAP — ldap_user) необходимо на вкладке Основные настройки указать параметры подключения к LDAP: имя хоста (IP-адрес) LDAP-сервера, порт (обычно 389 без ssl, 636 с ssl) и ввести учётные данные пользователя:

Veyon. Настройка интеграции с LDAP c Альт Домен

Примечание

Для работы LDAP-сервера на порту 389 без ssl необходимо в конфигурационном файле /etc/samba/smb.conf контроллера домена в раздел [global] добавить параметр:

ldap server require strong auth = no

После этого требуется перезапустить службу samba.

Для проверки соединения с LDAP-сервером можно использовать кнопку Тестировать:

Veyon. Тестирование соединения с LDAP-сервером

Корневой DN необходимо ввести в соответствующее поле ввода или выбрать с помощью кнопки Обзор.

Параметры вкладки Настройки среды:

Veyon. Параметры вкладки Настройка среды

Параметры вкладки Расширенные настройки:

После настройки и тестирования интеграции с LDAP можно активировать бэкэнд LDAP. Для этого, в разделе Главное в выпадающем списке Бэкэнд: выбрать LDAP Basic (загрузить записи компьютеров и мест с LDAP/AD):

По завершению настроек в Veyon Master будет использоваться информация о классах и компьютерах из каталога LDAP Альт Домен:

Veyon. Информация о классах и компьютерах из каталога LDAP Альт Домен

⁠43.1.2. Настройка управляемых компьютеров

⁠43.1.2.1. В консоли

Настройку управляемых компьютеров можно выполнить централизовано, в командной строке. Далее все команды выполняются на компьютере учителя под учетной записью учителя.

Для удобства переноса публичных частей ключей на ученические машины, настроим доступ по ssh с компьютера учителя на компьютеры учеников.

Генерация SSH-ключа:

$ ssh-keygen -t ed25519

На вопрос о файле для сохранения ключа нажать Enter (по умолчанию). Далее будет задан вопрос о пароле к ключу. Пароль нужно указать.

Копируем публичную часть SSH-ключа на ученическую машину для пользователя user (192.168.0.102 — IP-адрес ученической машины):

$ ssh-copy-id -i ~/.ssh/id_ed25519.pub user@192.168.0.102

Можно скопировать ключ сразу на все ученические машины в сети. Например, на компьютеры с IP-адресами от 192.168.0.102 до 192.168.0.115:

$ for i in `seq 102 115`; do ssh-copy-id user@192.168.0.$i; done

В результате получаем возможность работы с домашними каталогами пользователя user ученических машин — копировать к себе и от себя, удалять, редактировать и т.д.

Копируем публичную часть SSH-ключа на все ученические машины в сети для администратора. Для этого подключаемся к каждой ученической машине и под root копируем публичную часть ключа:

$ ssh user@192.168.0.102
user@comp2 $ su -
Password:
comp2 # cat /home/user/.ssh/authorized_keys >> /root/.ssh/authorized_keys
comp2 # exit
user@comp2 $ exit

Важно

Каталог /root/.ssh при этом должен существовать.

Теперь есть возможность удалённо выполнять команды на ученических компьютерах с привилегиями администратора.

Экспортируем публичный ключ:

$ veyon-cli authkeys export teacher/public
[ИНФОРМАЦИЯ] Ключ "teacher/public" был успешно экспортирован в "teacher_public_key.pem".
[OK]

Экспортируем конфигурацию:

$ veyon-cli config export myconfig.json
[OK]

Копируем открытый ключ и конфигурацию на ученическую машину:

$ scp teacher_public_key.pem user@192.168.0.102:/tmp/
$ scp myconfig.json user@192.168.0.102:/tmp/

Импортируем открытый ключ и конфигурацию на ученической машине:

$ ssh root@192.168.0.102 "veyon-cli authkeys import teacher/public /tmp/teacher_public_key.pem"
[OK]
[ИНФОРМАЦИЯ] Ключ "teacher/public" был успешно импортирован.
Пожалуйста, проверьте права доступа к файлу "/etc/veyon/keys/public/teacher/key", чтобы предотвратить неуполномоченный доступ.
$ ssh root@192.168.0.102 "veyon-cli config import /tmp/myconfig.json"
[OK]

Запускаем сервис veyon на ученической машине:

$ ssh root@192.168.0.102 "veyon-cli service start"
Запускаем сервис veyon.[OK]

Или настраиваем сразу все клиентские машины (копируем/импортируем ключи и конфигурацию, запускаем сервис veyon):

$ ssh-add; for i in `seq 102 115`; do scp teacher_public_key.pem root@192.168.0.$i:/tmp/; done
$ ssh-add; for i in `seq 102 115`; do scp myconfig.json root@192.168.0.$i:/tmp/; done
$ ssh-add; for i in `seq 102 115`; do ssh root@192.168.0.$i "veyon-cli authkeys import teacher/public /tmp/teacher_public_key.pem"; done
$ ssh-add; for i in `seq 102 115`; do ssh root@192.168.0.$i "veyon-cli config import /tmp/myconfig.json"; done
$ ssh-add; for i in `seq 102 115`; do ssh root@192.168.0.$i "veyon-cli service start"; done

⁠43.1.2.2. В графическом интерфейсе

Запустить конфигуратор Veyon (Меню запуска приложений → Образовательные → Veyon Configurator, потребуется ввести пароль администратора) и изменить следующие настройки:

Выбрать в меню пункт Файл → Загрузить настройки из файла и загрузить файл с настройками (<имя_файла.json>), сохранённый на компьютере преподавателя:
В разделе Сервис запустить сервис, нажав кнопку Запустить сервис.
В разделе Ключи аутентификации нажать кнопку Импорт ключа и загрузить подготовленный публичный ключ, сгенерированный на компьютере преподавателя:
Произойдет импорт ключа:
После завершения настроек нажать кнопку Применить и на вопрос о перезапуске службы ответить Да.