-<p>Min hovedbankforbindelse,
-<a href="http://www.postbanken.no/">Postbanken</a>, har fra 1. oktober
-blokkert tilgangen min til nettbanken hvis jeg ikke godtar vilkårene
-for <a href="https://www.bankid.no/">BankID</a> og går over til å
-bruke BankID for tilgangskontroll. Tidligere kunne jeg bruke en
-kodekalkulator som ga tilgang til nettbanken, men nå er dette ikke
-lenger mulig. Jeg blokkeres ute fra nettbanken og mine egne penger
-hvis jeg ikke godtar det jeg anser som urimelige vilkår i
-BankID-avtalen.</p>
-
-<p>BankID er en løsning der banken gis rett til å handle på vegne av
-meg, med avtalemessig forutsetning at jeg i hvert enkelt tilfelle har
-bedt banken gjøre dette. BankID kan brukes til å signere avtaler,
-oppta lån og andre handlinger som har alvorlige følger for meg.
-Problemet slik jeg ser det er at BankID er lagt opp slik at banken har
-all informasjon og tilgang som den trenger for å bruke BankID, også
-uten at jeg er involvert. Avtalemessing og juridisk skal de kun bruke
-min BankID når jeg har oppgitt pinkode og passord, men praktisk og
-konkret kan de gjøre dette også uten at min pinkode eller mitt passord
-er oppgitt, da de allerede har min pinkode og passord tilgjengelig hos
-seg for å kunne sjekke at riktig pinkode og passord er oppgitt av meg
-(eller kan skaffe seg det ved behov). Jeg ønsker ikke å gi banken
-rett til å inngå avtaler på vegne av meg.</p>
-
-<p>Rent teknisk er BankID et offentlig nøkkelpar, en privat og en
-offentlig nøkkel, der den private nøkkelen er nødvendig for å
-"signere" på vegne av den nøkkelen gjelder for, og den offentlige
-nøkkelen er nødvendig for å sjekke hvem som har signert. Banken
-sitter på både den private og den offentlige nøkkelen, og sier de kun
-skal bruke den private hvis kunden ber dem om det og oppgir pinkode og
-passord.</p>
-
-
-<p>I postbankens
-<a href="https://www.postbanken.no//portalfront/nedlast/no/person/avtaler/BankID_avtale.pdf">vilkår
-for BankID</a> står følgende:</p>
-
-<blockquote>
- <p>"6. Anvendelsesområdet for BankID</p>
-
- <p>PersonBankID kan benyttes fra en datamaskin, eller etter nærmere
- avtale fra en mobiltelefon/SIM-kort, for pålogging i nettbank og til
- identifisering og signering i forbindelse med elektronisk
- meldingsforsendelse, avtaleinngåelse og annen form for nettbasert
- elektronisk kommunikasjon med Banken og andre brukersteder som har
- tilrettelagt for bruk av BankID. Dette forutsetter at brukerstedet
- har inngått avtale med bank om bruk av BankID."</p>
-</blockquote>
-
-<p>Det er spesielt retten til "avtaleinngåelse" jeg synes er urimelig
-å kreve for at jeg skal få tilgang til mine penger via nettbanken, men
-også retten til å kommunsere på vegne av meg med andre brukersteder og
-signering av meldigner synes jeg er problematisk. Jeg må godta at
-banken skal kunne signere for meg på avtaler og annen kommunikasjon
-for å få BankID.</p>
-
-<p>På spørsmål om hvordan jeg kan få tilgang til nettbank uten å gi
-banken rett til å inngå avtaler på vegne av meg svarer Postbankens
-kundestøtte at "Postbanken har valgt BankID for bl.a. pålogging i
-nettbank , så her må du nok ha hele denne løsningen". Jeg nektes
-altså tilgang til nettbanken inntil jeg godtar at Postbanken kan
-signere avtaler på vegne av meg.</p>
-
-<p>Postbankens kundesupport sier videre at "Det har blitt et krav til
-alle norske banker om å innføre BankID, bl.a på grunn av sikkerhet",
-uten at jeg her helt sikker på hvem som har framsatt dette kravet.
-Det som er situasjonen er dog at det er svært få banker igjen som ikke
-bruker BankID, og jeg vet ikke hvilken bank som er et godt alternativ
-for meg som ikke vil gi banken rett til å signere avtaler på mine
-vegne.</p>
-
-<p>Jeg ønsker mulighet til å reservere meg mot at min BankID brukes
-til annet enn å identifisere meg overfor nettbanken før jeg vil ta i
-bruk BankID. Ved nettbankbruk er det begrenset hvor store skader som
-kan oppstå ved misbruk, mens avtaleinngåelse ikke har tilsvarende
-begrensing.</p>
-
-<p>Jeg har klaget vilkårene inn for <a
-href="http://www.forbrukerombudet.no/">forbrukerombudet</a>, men
-regner ikke med at de vil kunne bidra til en rask løsning som gir meg
-nettbankkontroll over egne midler. :(
+<p>For some years now, I have wondered how we should handle laptops in
+Debian Edu. The Debian Edu infrastructure is mostly designed to
+handle stationary computers, and less suited for computers that come
+and go.</p>
+
+<p>Now I finally believe I have an sensible idea on how to adjust
+Debian Edu for laptops, by introducing a new profile for them, for
+example called Roaming Workstations. Here are my thought on this.
+The setup would consist of the following:</p>
+
+<ul>
+
+ <li>During installation, the user name of the owner / primary user of
+ the laptop is requested and a local home directory is set up for
+ the user, with uid and gid information fetched from the LDAP
+ server. This allow the user to work also when offline. The
+ central home directory can be available in a subdirectory on
+ request, for example mounted via CIFS. It could be mounted
+ automatically when a user log in while on the Debian Edu network,
+ and unmounted when the machine is taken away (network down,
+ hibernate, etc), it can be set up to do automatic mounting on
+ request (using autofs), or perhaps some GUI button on the desktop
+ can be used to access it when needed. Perhaps it is enough to use
+ the fish protocol in KDE?</li>
+
+ <li>Password checking is set up to use LDAP or Kerberos
+ authentication when the machine is on the Debian Edu network, and
+ to cache the password for offline checking when the machine unable
+ to reach the LDAP or Kerberos server. This can be done using
+ <a href="http://www.padl.com/OSS/pam_ccreds.html">libpam-ccreds</a>
+ or the Fedora developed
+ <a href="https://fedoraproject.org/wiki/Features/SSSD">System
+ Security Services Daemon</a> packages.</li>
+
+ <li>File synchronisation with the central home directory is set up
+ using a shared directory in both the local and the central home
+ directory, using unison.</li>
+
+ <li>Printing should be set up to print to all printers broadcasting
+ their existence on the local network, and should then work out of
+ the box with CUPS. For sites needing accurate printer quotas, some
+ system with Kerberos authentication or printing via ssh could be
+ implemented.</li>
+
+ <li>For users that should have local root access to their laptop,
+ sudo should be used to allow this to the local user.</li>
+
+ <li>It would be nice if user and group information from LDAP is
+ cached on the client, but given that there are entries for the
+ local user and primary group in /etc/, it should not be needed.</li>
+
+</ul>
+
+<p>I believe all the pieces to implement this are in Debian/testing at
+the moment. If we work quickly, we should be able to get this ready
+in time for the Squeeze release to freeze. Some of the pieces need
+tweaking, like libpam-ccreds should get support for pam-auth-update
+(<a href="http://bugs.debian.org/566718">#566718</a>) and nslcd (or
+perhaps debian-edu-config) should get some integration code to stop
+its daemon when the LDAP server is unavailable to avoid long timeouts
+when disconnected from the net. If we get Kerberos enabled, we need
+to make sure we avoid long timeouts there too.</p>
+
+<p>If you want to help out with implementing this for Debian Edu,
+please contact us on debian-edu@lists.debian.org.</p>
projects / homepage.git / blobdiff