Wir befinden uns im Übergang in eine „neue Normalität“, die gleichwohl anders aussehen wird als die Normalität vor der Corona-Pandemie. Sukzessive werden Lebensbereiche hochgefahren, die sich bis vor Kurzem in einer noch nie dagewesenen Ausnahmesituation befanden. Das war mit vielen Belastungen verbunden, hat aber auch neue und wertvolle Erkenntnisse erbracht, wie wir unser Leben organisieren können. Der Stellenwert digitaler Kommunikationsmöglichkeiten ist enorm gestiegen, die Nutzung digitaler Technologien wurde enorm beschleunigt. Dabei wurde deutlich, dass es wichtig ist, Systeme zu haben, die unabhängig von einzelnen Anbietern oder gar von fremden Staaten funktionieren, die widerstandsfähig sind und mit denen schnell und effektiv auf eine Krise reagiert und wieder ein stabiler Zustand erreicht werden kann.
Ich möchte Ihnen kurz erklären, wie ein Single Sign-on grundsätzlich mit UCS funktioniert. Anschließend erkläre ich Ihnen das Zusammenspiel von Kerberos, SAML und OpenID Connect und zeige, welche Funktionen die neue Implementierung von Kopano Konnect für UCS-Nutzer mitbringt.
Mit der Version 4.4-4 von Univention Corporate Server (UCS) ist das Synchronisieren von Passwort-Hashes zwischen einer Microsoft Active Directory Domäne und einer UCS-Domäne deutlich sicherer und vor allem weniger fehleranfällig geworden. Während frühere Versionen des AD Connector lediglich NTLM-Hashes abgleichen konnten, liest der AD Connector von UCS 4.4-4 nun auch neuere Hashes aus, die so genannten Kerberos Hashes (auch Kerberos Keys genannt), mit denen ein Single-Sign-on an unterschiedlichen Anwendungen möglich ist.
In der Voreinstellung können UCS-Benutzer*innen ihr Kennwort beliebig oft falsch eingeben, ohne dass das System sie aussperrt. Um Brute-Force-Attacken zum Knacken der Kennwörter zu erschweren, können UCS-Administratoren eine automatische Sperre einrichten, die einen Account nach einer frei definierbaren Anzahl von Fehlversuchen am Zutritt hindert.
Univention Corporate Server bietet mehrere Methoden zum Authentifizieren und Autorisieren. In diesem Blogartikel zeige ich Ihnen, wie Sie über PAM-Stack, OpenLDAP und Samba jeweils fehlgeschlagene Anmeldeversuche im System protokollieren und wie Sie als Administrator die Anzahl der erfolglosen Logins einschränken.
Im ersten Teil des Artikels haben wir darüber berichtet, vor welchen Herausforderungen die Schulen in Frankfurt Oder und wir als Schulträger vor einigen Jahren beim Aufbau einer modernen IT-Infrastruktur standen. Sie haben erfahren, wie wir die Schulen bei der Konzeptionierung und der Formulierung der Anforderungen an die neue IT beteiligt haben und sie durch größtmögliche Wahlfreiheit bei der Ausgestaltung der jeweiligen Schul-IT ins Boot geholt haben. Und Sie haben erfahren, welche Gründe dafür gesprochen haben, dass wir uns für UCS und UCS@school als Basis der neuen IT entschieden haben.
In diesem Artikel nun geht es um die konkrete Umsetzung des Projekts. Wir beschreiben, wie wir in einer Pilotphase ein virtuelles Serverkonzept mit VMware ESXi und einem zentralen Management getestet haben und die Monitoring Software Nagios implementiert haben. Und Sie erfahren, warum wir uns für die Eigenentwicklung eines Deployments für Linux Clients an den Schulen entschieden haben und worauf wir da technisch geachtet haben. Außerdem lesen Sie, wie wir ein Mobile Device Concept umgesetzt haben, um schuleigene Geräte und die Geräte von Schüler*innen und Lehrkräften mit unterschiedlichen Rollen und Rechten in die schuleigenen Netze eingebunden haben. Und zuletzt möchten wir Ihnen einige aus unserer Sicht grundsätzlichen Erfolgsfaktoren für ein so großes Projekt wie den Aufbau einer modernen, zentral konzipierten und erweiterbaren Schul-IT vorstellen.
Die gestiegene Nachfrage nach Videokonferenzlösungen hat auch uns im App Center Team in den letzten Wochen mit der Frage beschäftigt, wie wir seitens Univention Firmen, Organisationen und Schulträger helfen können, effektiv digital zu kommunizieren, ohne Aspekte des Datenschutzes außen vor zu lassen. Daher haben wir uns intensiv mit diversen Open-Source-Lösungen für Video Conferencing beschäftigt und in kurzer Zeit Jitsi Meet als App im App Center veröffentlicht und UCS Nutzern zur einfachen Installation bereitgestellt.
Jitsi ist eine vollständig verschlüsselte und zu 100% Open-Source-Videokonferenzlösung. Die Anbindung an den UCS-Verzeichnisdienst via LDAP ist bereits konfiguriert, so dass Administratoren einer UCS-Umgebung zentral über die Univention Management Console (UMC) Nutzer und Nutzerinnenn den Zugriff auf Jitsi mit ihrem gewohnten Benutzernamen und Passwort geben können. Über das UCS-Portal kann Jitsi anschließend einfach aufgerufen werden. In diesem Blogbeitrag möchte ich Ihnen kurz die wichtigsten Installationsschritte zeigen und dann das Hauptaugenmerk auf die unterschiedlichen Anwendungsfälle hinsichtlich der Nutzerauthentifizierung legen. Denn Organisationen können mit Jitsi Meet auf Univention Corporate Server (UCS) gezielt steuern, wie offen sie den Zugang gestalten und welche Benutzer Videokonferenzen abhalten können.
Die Schulen sind aufgrund des Corona-Virus bundesweit geschlossen und Lehrer*innen und Schüler*innen wurden nach Hause geschickt. Landesweit suchen Schulverantwortliche, Schulträger, Kommunen und Länder nach Lösungen, digitale Angebote für Schüler*innen und Lehrkräfte bereit zu stellen. Sei es, um mit den Lehrenden und Lernenden zu kommunizieren, Aufgaben und Materialien bereitzustellen oder sogar Online-Unterricht auf die Beine zu stellen.
Diese besondere Situation hat mancherorts dazu geführt, dass Aspekte des Datenschutz komplett außen vor bleiben und Hals-über-Kopf Lösungen eingesetzt werden, bei denen sich Schüler*innen und Lehrkräfte mit ihren privaten E-Mail-Accounts und Echtnamen anmelden. Es entsteht außerdem ein Flickenteppich unterschiedlichster Ansätze und soziale Unterschiede bei den Schüler*innen führen zu Ungleichheit bei den Nutzungsmöglichkeiten.
Wir haben uns daher in den vergangenen Tagen mit IT-Verantwortlichen von Schulträgern in Kommunen und Ländern und von Schulen erzählen lassen, wie sie mit der momentanen Situation zurecht kommen, welche Angebot sie anbieten, welchen Herausforderungen sie dabei gegenüberstehen und welche Tipps sie Kollegen geben können.
Den Auftakt macht das Interview mit Dominik Fahrin vom Fachdienst Zentrale Dienste und Datenverarbeitung Stadt Beckum. Die weiteren Interviews veröffentlichen wir kontinuierlich.
In Bremen gibt es 139 öffentliche Schulen mit rund 48.000 Schüler*innen und 5.000 Lehrkräften. Das Land Bremen setzt bereits seit vielen Jahren UCS@school als zentralen Verzeichnisdienst für alle digitalen Identitäten der Nutzer*innen ein, an den weitere Dienste angebunden sind. So haben in Bremen alle Lehrkräfte und Lernende eine eigene E-Mail-Adresse und wir haben ein „Medien Online System“, in dem wir Filme, Erklärvideos und andere digitale Medien für den Unterricht verfügbar machen, die unter anderem vom Institut für Film und Bild, dem FWU, bereitgestellt werden.
Außerdem haben wir die aus Norwegen stammende Lernmanagement-Lösung itslearning im Einsatz, das digitale Klassenräume bietet und die Bereitstellung von Online-Arbeitsblättern und Aufgaben möglich macht. Durch die Integration der Plattform sofatutor in itslearning, bietet Bremen ein Tool, mit dem Lehrkräfte recht einfach fertige Erklärvideos und Arbeitsblätter zur Verfügung stellen können.