UCS@school Version 4.4 v7 Logo

Das UCS@school-Team hat die siebte Version von UCS@school 4.4 veröffentlicht. Sie korrigiert ein paar Fehler, bringt aber auch neue Features mit. In diesem Artikel möchte ich Ihnen die wichtigsten Neuerungen vorstellen. So haben wir nicht nur eine Sicherheitslücke geschlossen, sondern auch das Einrichten von Arbeitsgruppen-Mailadressen für die Rollen Lehrer und Schuladministrator aktiviert sowie den Klassenarbeitsmodus überarbeitet.

Freigaben und Berechtigungen: Lücke geschlossen

Ein Fehler in der Vorgängerversion sorgte dafür, dass findige Schüler*innen administrative Rechte zum Ändern von Freigaben erlangen konnten. Das betraf gleichermaßen die Freigaben für die einzelnen Klassen und Arbeitsgemeinschaften sowie die schulweiten Marktplatzfreigaben. Das Problem haben wir behoben, und Schülerinnen und Schüler können diese Berechtigungen nun nicht mehr erlangen – sie stehen ausschließlich dem Lehrpersonal sowie den Schuladministratoren zur Verfügung.

Alle Berechtigungen sind in der aktuellen UCS@school-Version über die Windows-ACLs am Wurzelverzeichnis der Freigabe geregelt. Über die Access Control Lists können Lehrende beispielsweise einen Ordner mit Arbeitsblättern für Klassen oder Arbeitsgruppen mit Lesezugriff ausstatten, aber verhindern, dass Schülerinnen und Schüler dort schreiben dürfen.

Mit dem Aktualisieren auf UCS@school 4.4v7 wird ein neues Skript namens set_nt_acl_on_shares installiert, das die Berechtigungen korrigiert und richtig setzt. Das gilt für Single-Server-Installationen genauso wie für verteilte Umgebungen mit einem DC Master beim Schulträger und mehreren Schulservern (DC Slave). Das Skript wird automatisch auf jedem Schulserver ausgeführt, der auf UCS@school 4.4v7 aktualisiert wird. Einzige Voraussetzung ist eine aktuelle Version des Pakets univention-samba4, weswegen Admins sicherstellen sollten, dass sie alle Systeme vorher auf
UCS 4.4-6 errata762 aktualisieren.

E-Mail-Adressen für Arbeitsgruppen

Ein Feature, was in der Vergangenheit immer wieder nachgefragt wurde, haben wir in der neuen Version umgesetzt: Es ist jetzt auch in den Rollen Lehrer und Schuladministrator möglich, den einzelnen Arbeitsgruppen eigene E-Mail-Adressen zuzuweisen – eine echte Arbeitserleichterung für das Lehrpersonal und System-Administrator*innen. Vorher mussten Lehrpersonen stets einen der Domainadmins kontaktieren, um eine neue Mailadresse für eine Arbeitsgruppe einzurichten. Ab UCS@school 4.4v7 gelingt die Konfiguration über das Modul „Arbeitsgruppen verwalten“.
Voraussetzung ist, dass ein Benutzer mit einem Konto System-Administrator das Feature einmalig aktiviert. Dazu muss die UCR-Variable ucsschool/workgroups/mailaddress gesetzt werden. Die beiden Platzhalter {ou} (Organisationseinheit, Name der Schule) und {name} (Name der Arbeitsgruppe) bestimmen, wie die Adresse aussieht. Lautet der Eintrag für die UCR-Variable beispielsweise {ou}-{name}@schule-univention.de, und heißt eine Arbeitsgruppe musikag und die Schule gymmitte, dann ist die dazugehörige Mailadresse
gymmitte-musikag@schule-univention.de.

Ansicht des Moduls "Arbeitsgruppenverwalten" bei UCS@school

Mit der neuen UCS@school-Version ist es möglich, einzelnen Arbeitsgruppen eigene E-Mail-Adressen zuzuweisen.

Verbesserungen im Klassenarbeitsmodus

Der Klassenarbeitsmodus ermöglicht die gezielte Einschränkung der Computernutzung für Schüler*innen einer Klasse. Für die Dauer der Prüfung werden ausgewählte Konten und Räume in eine eigene Gruppe aufgenommen, die beispielsweise den Internetzugriff über einen Proxy einschränkt oder das Benutzen von Wechseldatenträgern oder bestimmter Programme unterbindet. Nach der Klausur wird der Originalzustand wiederhergestellt, was in der Vergangenheit manchmal zu Problemen führte. So war das Lesen von Mails beispielsweise nach wie vor möglich, aber die Anmeldung an Windows-Workstations scheiterte. Wir haben das Skript exam-and-room-cleanup überarbeitet, das in einem solchen Fall aufräumt und den Ursprungszustand wiederherstellt.
Außerdem haben wir einen Fehler im Klassenarbeitsmodus behoben, der auftrat, wenn ein Account Klammern im Anzeigename hatte. Der Bug führte dazu, dass eine Prüfung nicht beendet werden konnte, und das Problem ist in UCS@school 4.4v7 behoben.

Weitere Verbesserungen: Kurzüberblick

Die vollständige Liste aller Änderungen und Bugfixes finden Sie im Changelog – hier ein paar Highlights, die die Stabilität von UCS verbessern:

• Ein neues Diagnosemodul prüft, ob die Gruppen aller UCS@school-Adminaccounts korrekt konfiguriert sind (Bug 45332).

• Wir haben die Beschreibungen der beiden UCR-Variablen ucsschool/passwordreset/password-change-on-next-login und ucsschool/passwordreset/force-password-change-on-next-login verbessert, um zu verdeutlichen, dass sie sich auf das UCS@school-Modul Password Reset beziehen (Bug 50834).

• Für den Beispiel-Hook result_hook_example.py in /usr/share/doc/ucs-school-import kann jetzt konfiguriert werden, ob er nach einem dry-run laufen soll (Bug 51938).

• Wir haben dem Verzeichnis /usr/share/ucs-school-import/pyhooks-available einen neuen Import-Hook (log_user_object.py) hinzugefügt, der die aktuellen Attribute von Accounts vor dem Erzeugen, Ändern, Verschieben oder Löschen protokolliert (Bug 51941).

• Die Synchronisierung der beiden AD-Objekte msgpipsec und msgpsi wurde deaktiviert, um Connector-Rejects zu verhindern (Bug 52049).

• Es gibt eine neue Python-Bibliothek zur Kommunikation mit der Veyon-API (Bug 52183) – damit bereiten wir den Umstiegt von ITalc auf Veyon vor, den wir mit einem der nächsten Releases vollziehen wollen.

Wie immer gilt: Wenn Sie Wünsche und Verbesserungsvorschläge haben, freuen wir uns über Feedback – hier im Blog oder auf help.univention.de.

UCS Core Edition jetzt kostenfrei einsetzen!

Zum Downloadbereich
Daniel Tröder

Daniel Tröder ist Open Source Software Engineer und kümmert sich zur Zeit besonders intensiv um die Weiterentwicklung des Mail-Stacks von UCS.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert