Passwort-Hashes zwischen MS Active Directory und UCS-Domäne abgleichen

Schaubild: UCS Kerberos-Hashes

Mit der Version 4.4-4 von Univention Corporate Server (UCS) ist das Synchronisieren von Passwort-Hashes zwischen einer Microsoft Active Directory Domäne und einer UCS-Domäne deutlich sicherer und vor allem weniger fehleranfällig geworden. Während frühere Versionen des AD Connector lediglich NTLM-Hashes abgleichen konnten, liest der AD Connector von UCS 4.4-4 nun auch neuere Hashes aus, die so genannten Kerberos Hashes (auch Kerberos Keys genannt), mit denen ein Single-Sign-on an unterschiedlichen Anwendungen möglich ist.

Automatische Kontosperrung nach fehlgeschlagenen Anmeldeversuchen einrichten

In der Voreinstellung können UCS-Benutzer*innen ihr Kennwort beliebig oft falsch eingeben, ohne dass das System sie aussperrt. Um Brute-Force-Attacken zum Knacken der Kennwörter zu erschweren, können UCS-Administratoren eine automatische Sperre einrichten, die einen Account nach einer frei definierbaren Anzahl von Fehlversuchen am Zutritt hindert.
Univention Corporate Server bietet mehrere Methoden zum Authentifizieren und Autorisieren. In diesem Blogartikel zeige ich Ihnen, wie Sie über PAM-Stack, OpenLDAP und Samba jeweils fehlgeschlagene Anmeldeversuche im System protokollieren und wie Sie als Administrator die Anzahl der erfolglosen Logins einschränken.

How-To für Anbindung von WebUntis an UCS@school für Single Sign-on-Anmeldungen

Grafik: SSO mit UCS@school und webUntis
Viele Schulen unserer Schulträger-Kunden verwenden in der Schule die Lösungen Untis und WebUntis. Diese Software ist ein populäres Tool für die Bereitstellung von Stunden- und Vertretungsplänen und kann einfach per Single Sign-on an UCS@school angebunden werden. Da WebUntis häufig und intensiv genutzt wird, möchte ich Ihnen im Folgenden eine kurze und praktische Anleitung geben, wie Sie WebUntis an UCS@school anbinden und für die Nutzer*innen per Single Sign-on zugänglich machen.

UCS@school in den Schulen der Stadt Frankfurt (Oder) – ein Bericht über zehn Jahre Erfahrung Teil 2

Projektbeginn

Im ersten Teil des Artikels haben wir darüber berichtet, vor welchen Herausforderungen die Schulen in Frankfurt Oder und wir als Schulträger vor einigen Jahren beim Aufbau einer modernen IT-Infrastruktur standen. Sie haben erfahren, wie wir die Schulen bei der Konzeptionierung und der Formulierung der Anforderungen an die neue IT beteiligt haben und sie durch größtmögliche Wahlfreiheit bei der Ausgestaltung der jeweiligen Schul-IT ins Boot geholt haben. Und Sie haben erfahren, welche Gründe dafür gesprochen haben, dass wir uns für UCS und UCS@school als Basis der neuen IT entschieden haben.

In diesem Artikel nun geht es um die konkrete Umsetzung des Projekts. Wir beschreiben, wie wir in einer Pilotphase ein virtuelles Serverkonzept mit VMware ESXi und einem zentralen Management getestet haben und die Monitoring Software Nagios implementiert haben. Und Sie erfahren, warum wir uns für die Eigenentwicklung eines Deployments für Linux Clients an den Schulen entschieden haben und worauf wir da technisch geachtet haben. Außerdem lesen Sie, wie wir ein Mobile Device Concept umgesetzt haben, um schuleigene Geräte und die Geräte von Schüler*innen und Lehrkräften mit unterschiedlichen Rollen und Rechten in die schuleigenen Netze eingebunden haben. Und zuletzt möchten wir Ihnen einige aus unserer Sicht grundsätzlichen Erfolgsfaktoren für ein so großes Projekt wie den Aufbau einer modernen, zentral konzipierten und erweiterbaren Schul-IT vorstellen.

Jitsi Meet und das UCS Identity Management

Die gestiegene Nachfrage nach Videokonferenzlösungen hat auch uns im App Center Team in den letzten Wochen mit der Frage beschäftigt, wie wir seitens Univention Firmen, Organisationen und Schulträger helfen können, effektiv digital zu kommunizieren, ohne Aspekte des Datenschutzes außen vor zu lassen. Daher haben wir uns intensiv mit diversen Open-Source-Lösungen für Video Conferencing beschäftigt und in kurzer Zeit Jitsi Meet als App im App Center veröffentlicht und UCS Nutzern zur einfachen Installation bereitgestellt.
Jitsi ist eine vollständig verschlüsselte und zu 100% Open-Source-Videokonferenzlösung. Die Anbindung an den UCS-Verzeichnisdienst via LDAP ist bereits konfiguriert, so dass Administratoren einer UCS-Umgebung zentral über die Univention Management Console (UMC) Nutzer und Nutzerinnenn den Zugriff auf Jitsi mit ihrem gewohnten Benutzernamen und Passwort geben können. Über das UCS-Portal kann Jitsi anschließend einfach aufgerufen werden. In diesem Blogbeitrag möchte ich Ihnen kurz die wichtigsten Installationsschritte zeigen und dann das Hauptaugenmerk auf die unterschiedlichen Anwendungsfälle hinsichtlich der Nutzerauthentifizierung legen. Denn Organisationen können mit Jitsi Meet auf Univention Corporate Server (UCS) gezielt steuern, wie offen sie den Zugang gestalten und welche Benutzer Videokonferenzen abhalten können.

Digitale Angebote für Schulen in Zeiten von Corona: Interviewreihe mit Schulträgern

Die Schulen sind aufgrund des Corona-Virus bundesweit geschlossen und Lehrer*innen und Schüler*innen wurden nach Hause geschickt. Landesweit suchen Schulverantwortliche, Schulträger, Kommunen und Länder nach Lösungen, digitale Angebote für Schüler*innen und Lehrkräfte bereit zu stellen. Sei es, um mit den Lehrenden und Lernenden zu kommunizieren, Aufgaben und Materialien bereitzustellen oder sogar Online-Unterricht auf die Beine zu stellen.

Diese besondere Situation hat mancherorts dazu geführt, dass Aspekte des Datenschutz komplett außen vor bleiben und Hals-über-Kopf Lösungen eingesetzt werden, bei denen sich Schüler*innen und Lehrkräfte mit ihren privaten E-Mail-Accounts und Echtnamen anmelden. Es entsteht außerdem ein Flickenteppich unterschiedlichster Ansätze und soziale Unterschiede bei den Schüler*innen führen zu Ungleichheit bei den Nutzungsmöglichkeiten.

Wir haben uns daher in den vergangenen Tagen mit IT-Verantwortlichen von Schulträgern in Kommunen und Ländern und von Schulen erzählen lassen, wie sie mit der momentanen Situation zurecht kommen, welche Angebot sie anbieten, welchen Herausforderungen sie dabei gegenüberstehen und welche Tipps sie Kollegen geben können.

Den Auftakt macht das Interview mit Dominik Fahrin vom Fachdienst Zentrale Dienste und Datenverarbeitung Stadt Beckum. Die weiteren Interviews veröffentlichen wir kontinuierlich.

Interview mit Meik Hansen und Oliver Bouwer zu digitalen Angeboten für Bremer Schulen als Reaktion auf die Schulschließungen

Herr Bouwer, wie viele Schulen und Nutzer*innen betreuen Sie in Bremen mit welchen digitalen Angeboten?

In Bremen gibt es 139 öffentliche Schulen mit rund 48.000 Schüler*innen und 5.000 Lehrkräften. Das Land Bremen setzt bereits seit vielen Jahren UCS@school als zentralen Verzeichnisdienst für alle digitalen Identitäten der Nutzer*innen ein, an den weitere Dienste angebunden sind. So haben in Bremen alle Lehrkräfte und Lernende eine eigene E-Mail-Adresse und wir haben ein „Medien Online System“, in dem wir Filme, Erklärvideos und andere digitale Medien für den Unterricht verfügbar machen, die unter anderem vom Institut für Film und Bild, dem FWU, bereitgestellt werden.

Außerdem haben wir die aus Norwegen stammende Lernmanagement-Lösung itslearning im Einsatz, das digitale Klassenräume bietet und die Bereitstellung von Online-Arbeitsblättern und Aufgaben möglich macht. Durch die Integration der Plattform sofatutor in itslearning, bietet Bremen ein Tool, mit dem Lehrkräfte recht einfach fertige Erklärvideos und Arbeitsblätter zur Verfügung stellen können.

Benutzer registrieren sich selbst – neuer Self Service für SUSE und UCS

In diesem Artikel möchte ich Ihnen über unser Projekt Selbstregistrierung von Nutzern über UCS Self Services berichten, das wir aktuell für die SUSE Software Solutions Germany GmbH und u. a. deren Bugzilla und openSUSE Build Service (OBS) implementiert haben. Auf letzterer Webplattform wird die openSUSE-Distribution entwickelt. Gleichzeitig wird diese auch genutzt, um unter anderem Pakete für die Linux-Distributionen Fedora, Debian GNU/Linux, Ubuntu und natürlich SUSE Linux Enterprise zu bauen. Der OBS beherbergt rund 26.000 Projekte, ca. 190.000 Pakete in 36.000 Repositorys. Etwa 33.000 Entwickler nutzen den Dienst und haben dort einen Account.

Digitale Angebote für Schulen: mit Nextcloud, itslearning und Co. durch die Corona-Krise – Interview Stadt Wolfsburg

Herr Ostendorf, wie viele Schulen, Schüler*innen und Lehrkräfte betreuen Sie in Wolfsburg in der Schul-IT?

Als kreisfreie Stadt gehören in unseren Zuständigkeitsbereich 37 Schulen an 43 verschiedenen Standorten. An diesen unterrichten rund 1.500 Lehrkräfte insgesamt 17.000 Schülerinnen und Schüler.

Welche digitalen Angebote nutzen Sie bereits?

Wir haben an den Schulen in der Regel lokale Schulserver-Lösungen. An drei Berufsschulen wird iServ eingesetzt, an den weiterführenden Schulen meist Logodidact und an den Grundschulen und einigen weiterführenden Schulen gibt es noch die Lösung MNSPro. Mit einem Ratsbeschluss wurde vor vier Jahren ein Pilotprojekt gestartet, um ein Konzept für die Einführung einer schulübergreifenden, zentral beim Schulträger betriebenen und gepflegten Lösung zu testen. 2017 haben wir deshalb an sechs Pilotschulen mit ca. 5.000 Nutzer*innen mit Unterstützung des Braunschweiger Systemhauses Linet Services GmbH ein auf UCS@school-basierendes Identity Management eingeführt, in dem die digitalen Identitäten der Lehrkräfte und Schüler*innen zentral gespeichert sind und jede*r Nutzer*in einen einheitlichen Benutzernamen und ein Passwort hat. Mit diesen haben die Nutzer*innen über RADIUS einen sicheren und von uns kontrollierten Zugriff auf das an allen Pilotschulen einheitlich ausgestrahlte Schul-WLAN. Angedockt an das IDM von UCS@school haben wir außerdem die Lernmanagement-Lösung itslearning.

Stadt Fulda im Interview: zusätzliche Serverkapazitäten und digitale Angebote für Schulen

Logo Stadt Fulda
Herr Kümmel, Sie betreuen mit Ihren Kollegen für den Magistrat der Stadt Fulda die IT für 23 Schulen und 13.000 Schüler*innen und 1.000 Lehrkräfte. Welche digitalen Angebote hatten Sie für diese vor den Schulschließungen?

Wir betreiben bereits seit vielen Jahren ein zentrales IT-Konzept für unsere Schulen, bei dem wir die IT-Infrastruktur und Dienste zentral auf unseren Servern im Rechenzentrum der Stadt Fulda bereitstellen und administrieren. Auf Basis von UCS haben wir im Jahr 2016 eine Umgebung eingerichtet, in der alle Nutzer*innen eine digitale Identität mit einem einheitlichen Passwort und Benutzernamen haben. Mit diesem können Sie sich über unser Portal des Schulbildungsnetzes Fulda anmelden und von überall auf Dienste zugreifen.