ID-Management mit UCS@school an Marburger Schulen

Wer Marburg hört, denkt vermutlich zunächst an die deutschlandweit bekannte Philipps-Universität oder den Produktionsstandort vom Biotechnologieunternehmen BioNtech. Weniger bekannt dürfte den meisten Außenstehenden die Rolle des Schulträgers sein. Die Universitätsstadt ist in dieser Funktion für 23 Schulen aller Schulformen – von der Grundschule bis zur Berufsschule – zuständig. Die etwa 11.500 Schüler*innen und 1.100 Lehrkräfte finden in den über 800 Unterrichtsräumen der Schulen Platz.

Heute kümmern sich 15 Mitarbeiter*innen der Abteilung “Medienzentrum“ um die Schul-IT mit ihren 4.700 Endgeräten, 80 Serversystemen, 500 Access Points und 80 Switches. Trotz der guten Ausstattung der Schulen wurden die Nachteile der schuleigenen IT-Lösungen sowie die Grenze der jeweiligen Netze mit der Zeit immer sichtbarer und der Wunsch nach einem zentralen Identitäts-Management (IDM) immer größer.

Gerne möchten wir in diesem Beitrag genauer erläutern, wie wir in Marburg vorgegangen sind, um eine zentrale Bereitstellung der Schul-IT bei uns als Schulträger zu organisieren, wie die Zusammenarbeit mit Univention und dem Systemhaus Linet, das uns bei der operativen Umsetzung unterstützte, ablief, welche Probleme aufgetreten sind und welche Lösungen wir gefunden haben. Dafür nehmen wir Sie mit auf eine kleine Zeitreise zurück in Vor-Pandemie-Zeiten, hin zu dem Tag, an dem wir den ersten entscheidenden Schritt in Richtung zentrales IDM mit UCS@school von Univention gegangen sind.

Ausgangslage: Die Sache mit den zwei Netzen

Unsere Motivation, die IT in den Marburger Schulen grundlegend umzustrukturieren und eine zukunftsfähige und benutzerfreundlichere Authentifikationsbasis bereitzustellen, rührte vor allem daher, dass die IT für den Bildungsbereich bis dato in ein pädagogisches Schulnetz und ein Verwaltungsnetz geteilt war. Während das Verwaltungsnetz über das Hessische Zentrum für Datenverarbeitung (HZD) lief und MS Office verwendet wurde, setzte man im pädagogischen Schulnetz auf diverse Provider und die Open Source Software LibreOffice.

Daraus ergab sich die Grundproblematik der Doppelnetzstruktur: 23 Schulen mit 46 Netzen zu betreuen, wurde zur alltäglichen Herausforderung für unsere IT-Fachkräfte. Denn viele der Dokumente ließen sich nur mit Microsoft Office und nicht mit LibreOffice öffnen – ein echtes Problem für den Endanwender am Client im pädagogischen Schulnetz. Das lag nicht an der Funktionalität der einzelnen Software-Lösungen, sondern an ihrer Inkompatibilität untereinander.


Doppelnetzstruktur Marburger Schulen

Anstatt weiter mit dieser fehleranfälligen Doppelnetzstruktur zu kämpfen, entschieden wir uns für eine Zusammenarbeit mit Univention. Durch Workshops, Konzeptionierung, Projektmanagement und Support wurden wir dabei unterstützt, die einzelnen Netze in einem großen System zusammenzubringen und die Realität von Schulen adäquat in der IT abzubilden – inklusive der Nutzung der IT durch Sekretär*innen, Hausmeister*innen, Betreuungskräfte und anderer Personen im Verwaltungs- und Pädagogikkontext. Denn Schule ist kein abgeschlossener Mikrokosmos.

Im Gegenteil: Schule ist ein zentraler, offener und übergreifender Lernort, der immer digitaler wird. Grund genug, den Wandel hin zu einer zeitgemäßen und benutzerorientierten IT in den Marburger Schulen anzugehen.

Anforderungen: Raus aus der Schatten-IT, rein in die Veränderung

Nachdem sich herauskristallisiert hatte, wo genau die Defizite unserer bisherigen IT lagen, hielten wir gemeinsam an einem Konzept fest, welche Anforderungen wir an die neue IT-Lösung stellten:

  • Anbindung der Marburger Schulen an das Glasfasernetz
  • Vereinen der Netze und Benutzer in einem System, das eine zeitgemäße Struktur aufweist und die Bedürfnisse unserer Nutzer*innen abdeckt
  • Verkürzung von Support-Laufzeiten durch Auflösung von Benutzeranlagen mit fehlenden Domainverwaltungen und z. T. noch alten Netzen
  • Schnellere und häufigere Bereitstellung von Diensten
  • Physischer Zusammenschluss von Netzen und deren logische Trennung
  • Flexibleres und schnelleres Reagieren auf unerwartete Veränderungen (z. B. Pandemie)
  • Mehr Zeit für Vor-Ort-Support in den Schulen
  • Überwinden der Schatten-IT und eine Abbildung der „Realität“ der schulischen Bedürfnisse
  • Und unser Hauptziel: Aufbau einer zukunftsfähigen und benutzerfreundlicheren Authentifikationsbasis für die Nutzer*innen mit zentraler Verwaltung aller Endgeräte über ein Mobile Device Management (MDM)

Projektbeginn: Am Anfang war der Login

In einem übergreifenden Netz mit einer steigenden Anzahl an Diensten und Benutzer*innen ist die Frage nach der Authentifizierung essenziell. Wir wussten, dass auf uns fast 13.000 benutzerspezifische Logins zukamen, für die ein hoher Automatisierungsgrad erforderlich war. Die klassische Quelle hierfür ist die Lehrer- und Schülerdatenbank (LUSD), die über das HZD erreichbar ist. In der LUSD kann zwischen zwei vom Ministerium frei gegebenen Produkten gewählt werden: Unsere Wahl fiel auf UCS@school von Univention, da sich die Open-Source-Lösung flexibler und modularer präsentierte als die Konkurrenz.

Weitere erste Schritte auf dem Weg zum zentralen IDM an den Marburger Schulen waren danach die Anschaffung zentraler Serverressourcen inklusive Einstieg in die Virtualisierung. Auf der Basis der Schulnetzwerkszenarien-Dokumentation von Univention arbeiteten wir ein Netzkonzept aus und setzten die Bestimmung einer neuen Domäne und Zertifikatsorganisation auf unsere To-do-Liste. Die Ersteinrichtung verlief problemlos, sodass wir innerhalb kurzer Zeit die vier Grundkomponenten des neuen Systems aufgesetzt hatten: ein UCS Primary- und ein Backup-Node, sowie zwei Replica Nodes für das Monitoring und ein LDAP Connector für zukünftige Systeme.

Entscheidung für Univention: Das zentrale Feature

Für den Einsatz von UCS@school gibt es viele verschiedene Gründe, für uns in Marburg war der LUSD-Import einer der entscheidenden Gründe. Als zentrales Feature stellt dieser den GPG-verschlüsselten Import der Schüler*innen-Identitäten in Form einer CSV-Datei dar. Umgesetzt wird der Import als eigens für uns von Univention entwickeltes Repository, was sich für uns trotz einiger Anläufe bei der Konfiguration der richtigen Schlüssel als zufriedenstellender Prozess herausstellte. Als Schulträger erhoffen wir uns dennoch, dass der LUSD-Import noch besser dokumentiert wird und damit näher an das (sehr gut dokumentierte) Kernprodukt UCS rückt. Eine Herausforderung bei kundenspezifischen Lösungen wie dem LUSD-Import, die Univention aktuell in Form einer Cool-Solution in UCS 5 angeht.

Weitere Vorteile, die wir beim Einsatz von UCS@school für unsere Schulen und Lehrkräfte sehen:

  • Zentrale Verwaltung von Accounts, Schulen, Klassen, Netzwerken und Berechtigungen sowie Anbindung weiterer Lösungen von Drittanbietern von Filesharing, Office- oder E-Mail-Programmen, Lehr-Lernsoftware und weiterer pädagogischer Anwendungen
  • Sichere Verwendung von privaten Smartphones und Tablets (BYOD)
  • Fokus auf ID-Management im pädagogischen Umfeld und ein intelligentes Rechtekonzept für den Zugriff auf digitale Lernplattformen, IT-Dienste und digitale Medien

Pandemie: Neue Prioritätensetzung und erste Erfolge

Mit der Pandemie änderte sich auch unser Ziel. Zuvor wollten wir in erster Linie eine Domäne etablieren, die sich über ein Schulträgernetzwerk erstreckt. Nun hatten sich die Prioritäten verschoben und das neue Ziel bestand in der Ausstattung unserer Schulen mit dem Cloud-Office-Angebot von Microsoft 365, dem Messenger schul.cloud von Heinekingmedia und Geräten wie iPads von Apple. Damit mussten wir einer neuen Herausforderung begegnen: unser LDAP-Verzeichnis externen Dienstleistern wie Microsoft gesichert zur Verfügung stellen.

Unsere Lösung bestand darin, gemeinsam mit dem Braunschweiger Systemhaus Linet ein Reverse-Proxy zu ergänzen, welcher auch für die Einrichtung des UCS Microsoft 365 Connectors essenziell war. Mit dem Connector waren wir sehr zufrieden. Er ist sehr gut dokumentiert und seine Einrichtung gestaltet sich nur in der Multi-Tenant-Umgebung, für die wir uns aufgrund der besseren Trennbarkeit entschieden hatten, schwieriger. Anders sieht es bei der Single-Teanant-Umgebung aus: Hier ist die Einrichtung des UCS Microsoft 365 Connectors selbsterklärend.

Letztendlich konnten wir trotz der plötzlichen coronabedingten Veränderungen erste Erfolge erzielen. Sowohl die LDAP- als auch die SAML-Authentifizierung mit MS 365 Connector funktionierte und das auch in Multi-Tenant-Umgebungen. Hinzu kam die erfolgreiche Anbindung der schul.cloud-Organisation, die zunächst in einer Pilotschule und seit Sommer 2022 in allen Marburger Schulen produktiv angeboten und schrittweise Schule für Schule eingeführt wird.


ID Management SAML

Kurz erklärt: SAML für sichere, komfortable Webzugänge

Erfahren Sie mehr über die generellen Eigenschaften und Funktionsweisen von SAML und in welchen Umgebungen und Anwendungsszenarien der Einsatz sinnvoll ist. Mehr


Die Grundeinrichtungen verliefen sehr schnell, sie konnten innerhalb weniger Tage abgeschlossen werden. Zeitaufwendiger als die Einrichtung war hingegen die Einarbeitung in die neuen Systeme von Microsoft, Heinekingmedia und Univention (mögliche Grenzfalltests, Beschränkungen und Integration untereinander). In unserer Pilotschule wurde schließlich deutlich, dass unsere bisherigen identifizierten und bedienten Benutzergruppen um die der Eltern ergänzt werden mussten. Hierbei zeigte sich, wie wichtig die Stammdatenqualität für automatische Anlagen ist. Da es für die neue Benutzergruppe der Eltern aber bis dato keine eindeutige und gesicherte Datenquelle gibt, ist diese bei uns bis zur Erschließung einer solchen Quelle nicht im zentralen IDM enthalten.

Anbindung der Lehrkraftdienstgeräte: Der unwahrscheinliche Fall tritt ein

Ein weiteres Jahr Pandemie sorgte für unerwartete Wendungen: die Lehrkraftdienstgeräte wurden angekündigt, was eine Umstellung der Geräteverwaltung zur Folge hatte. Die Geräte sollten möglichst überall und für alle dienstlichen Zwecke von den Lehrkräften genutzt werden können. Für die iPads hatten wir mit JAMF MDM bereits eine zuverlässige Lösung gefunden, die Administration von Windowsgeräten war hingegen nicht mehr zeitgemäß und verlangte nach einer adäquaten Alternative. Diese Alternative fanden wir im MDM Microsoft Intune (Microsoft Endpoint Manager), das uns durch den Einkauf des Cloud-Office-Angebots von Microsoft zur Verfügung stand.

Da die Benutzersynchronisation in den Tenants schon eingerichtet war, wähnten wir uns am Ziel, doch zu früh gefreut: Microsoft unterstützte in der Azure AD keine SAML-Authentifizierung im Windows-Login. Damit musste der Einsatz des Microsoft 365 Connectors pausiert werden, obwohl dieser für die Online-Dienste und Logins wunderbar funktioniert hatte. Um diese Problematik zu lösen, entwickelten wir in der IT ein vielversprechendes Konzept, das in den nächsten Monaten produktiv umgesetzt werden soll. Bis dahin werden die Lehrkräfteaccounts aufgrund der fehlenden Kompatibilität des MS 365 Connectors und des MDM Microsoft Intune getrennt von UCS@school verwaltet.

Fazit & Ausblick: Der Teufel steckt im Detail

Blicken wir auf den bisherigen Projektfortschritt zurück, lässt sich festhalten, dass das UCS-Ökosystem mit seinen zahlreichen Apps eine sehr gute Grundlage für individuelle Anpassungen und Anliegen bietet. Unsere Univention-Instanzen laufen in den genutzten Szenarien weiterhin zuverlässig und überzeugen, wie zu Beginn von uns erwartet, mit ihrer Flexibilität und Modularität. Trotz unser positiven Erfahrungen und folgerichtigen Entscheidung für die Open-Source-Lösung möchte ich kurz einige Herausforderungen, denen wir begegnet sind, für Sie zusammenfassen.

Nicht zu unterschätzen ist das Kennenlernen ganz neuer Systeme wie UCS@school, das sich als zeitaufwendiger als gedacht herausgestellt hat und auch mit einem gut durchdachten Projektplan nicht vermieden werden kann. Denn so wichtig Projektpläne auch sein mögen, sie stellen keinen Universalschutz dar. Wie uns die Coronapandemie und die damit verbundene Anbindung der Lehrkraftgeräte und Entwicklung hin zu mobilem Arbeiten lehrten, können auch als „sehr unwahrscheinlich“ bewertete Ereignisse eintreten.

LDAP entpuppte sich im Projektverlauf als vielfältige, weit verbreitete und gut unterstützte Authentifizierungsbasis, aber auch als technisch sehr komplex und nur schwerfällig erweiterbar. Ebenso herausfordernd gestaltete sich die Umsetzung von Microsoft 365 im Multi-Tenant (Multiplikationen, Einrichtung innerhalb des Systems, Verbindung von ADs). Hier sollte vorher gut überlegt werden, ob nicht auch eine Single-Tenant-Umgebung in Frage kommt.

Fest steht aber: Wenn man gute Ansprechpartner und Kollegen, gute Dokumentationen, gute Ideen und ein gutes Ökosystem hat, kann der digitale Wandel in Schulen nachhaltig gelingen, wie unsere positiven Praxiserfahrungen zeigen. In Zukunft möchten wir auf unserem bisherigen Erfolg aufbauen und mehr Benutzerrückmeldungen bei fehlerhaften Anmeldedaten geben, die Schulnetze migrieren, RADIUS Auth für das WLAN verwenden, Windows-Geräte über MDM verwalten und Server- wie Netzwerkgeräte über Ansible konfigurieren.

UCS Core Edition jetzt kostenfrei einsetzen!

Zum Downloadbereich
Oliver Weigelt

Oliver Weigelt ist Techniker im Medienzentrum der Stadt Marburg.

Nico Anastasio

Nico Anastasio ist Leiter des Medienzentrums der Stadt Marburg.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert