Stadt Marburg

Trotz einiger Herausforderungen gelang die IT-Umstellung in den Marburger Schulen. Mit UCS@school wurde eine zuverlässige, zukunftsfähige und benutzerfreundliche Lösung für die Authentifikation gefunden, die sich aufgrund ihrer Modularität sowie Flexibilität besonders gut eignet.

  • 23 Schulen
  • 11.500 Schüler*innen
  • 1.100 Lehrkräfte
  • 4.700 Endgeräte, 80 Serversysteme, 500 Access Points und 80 Switches
  • 12 IT-Mitarbeiter*innen
  • Netze und Nutzer*innen zeitgemäß in einem System vereinen
  • Verkürzung von Support-Laufzeiten
  • Schnellere Bereitstellung neuer IT-Dienste
  • Physischer Zusammenschluss von Netzen (Schulnetz und Verwaltungsnetz)
  • Flexibleres und schnelleres Reagieren auf plötzlich auftretende Probleme (z. B. Coronapandemie)
  • Mehr Zeit für Vor-Ort-Support in den Schulen
  • Schatten-IT überwinden und individuelle Bedürfnisse von Schulen und Schüler*innen erfüllen
  • Und unser Hauptziel: Aufbau einer zukunftsfähigen und benutzerfreundlicheren Authentifikationsbasis für die Nutzer*innen mit zentraler Verwaltung aller Endgeräte über ein Mobile Device Management (MDM)
  • Zukunftsfähige und benutzerfreundliche Authentifikation auf Basis von UCS@school (ein UCS Primary Directory Node, ein Backup Directory Node, zwei Replica Directory Nodes für das Monitoring und ein LDAP Connector für künftige Systeme)
  • Verwaltung der Endgeräte über Mobile Device Management (MDM) inkl. Single Sign-on
  • GPG-verschlüsselter Import von Nutzerdaten
  • Import aus dem Landesverzeichnisdienst LUSD als kundenspezifisches Repository
  • Reverse-Proxy für LDAP-Verzeichnis und Einrichtung des UCS Microsoft 365 Connectors
  • Konzept für Sammelauthentifizierungen im Windows-Login der Azure AD in Planung

Die Sache mit den zwei Netzen

Bevor sich das Medienzentrum Marburg für eine Umstellung der Schul-IT entschieden hatte, setzte sich die IT aus einem Verwaltungsnetz (HZD, MS Office) und einem pädagogischen Netz (div. Provider, LibreOffice) zusammen. Diese Doppelnetzstruktur (zwei Netze pro Schule, d. h. insgesamt 46 Netze in 23 Schulen) führte regelmäßig zu Problemen bei Endanwender*innen an dem Client im pädagogischen Netz. Von der Verwaltung hochgeladene Dokumente ließen sich aufgrund ihrer systemischen Inkompatibilität in der Regel nur mit MS Office und nicht mit der Open-Source-Variante LibreOffice öffnen, bearbeiten und teilen.

Um die einzelnen Netze in einem großen System zusammenzubringen und Schulen mit all ihren Tätigkeitsfeldern, d. h. inkl. Sekretär*innen, Hausmeister und Betreuungskräften, adäquat in der IT abzubilden, entschied man sich in Marburg für eine Zusammenarbeit mit Univention. Ziel des Projekts war es, unter dem bevorzugten Einsatz von Open Source Software bei gleicher Performanz, eine zukunftsfähige Authentifikationsbasis mit zentraler Verwaltung aller Endgeräte über ein zentrales Mobile Device Management (MDM) und verwaltbarer Zuordnung zur Cloud-Domain aufzubauen.

Am Anfang war der Login

In einem übergreifenden Netz mit einer steigenden Anzahl an Diensten und Nutzer*innen ist die Frage nach der Authentifizierung essenziell. Für die fast 13.000 benutzerspezifischen Logins war ein hoher Automatisierungsgrad erforderlich, der durch UCS@school erreicht werden sollte.

Für den Aufbau eines zentralen Identitätsmanagement (IDM) wurden zentrale Serverressourcen angeschafft und der Einstieg in die Virtualisierung gestartet. Auf Basis der Schulnetzwerkszenarien-Dokumentation von Univention arbeitete das Medienzentrum Marburg ein Netzkonzept aus. Innerhalb kurzer Zeit wurden die folgenden vier Grundkomponenten des neuen Systems aufgesetzt: ein UCS Primary Directory Node, ein Backup Directory Node sowie zwei Replica Directory Nodes für das Monitoring und ein LDAP Connector für zukünftige Systeme.

Trotz der coronabedingten Veränderungen und Herausforderungen war die Projektumsetzung sehr erfolgreich: Sowohl die LDAP- als auch die SAML-Authentifizierung mit MS 365 Connector funktionieren in den komplexen Multi-Tenant-Umgebungen. Auch die Anbindung der schul.cloud-Organisationen gelang und wird nach einer ausgiebigen Testphase in einer Pilotschule seit Sommer 2022 in allen Marburger Schulen produktiv angeboten und schrittweise Schule für Schule eingeführt.

Herausforderungen für die IT in Marburg

Eine der größten Herausforderungen im Projektverlauf waren unerwartet auftretende Veränderungen, die im detaillierten Projektplan nicht berücksichtigt werden konnten. Denn mit der Pandemie verschoben sich in Marburg die Prioritäten in der Projektimplementierung grundlegend. Während ursprünglich die Etablierung einer schulträgernetzwerkweiten Domäne Priorität hatte, sollten die Schulen nun zunächst mit dem Cloud-Office-Angebot von Microsoft 365, dem Messenger schul.cloud von Heinekingmedia und Geräten wie iPads von Apple ausgestattet werden. Diese Prioritätenverschiebung brachte neue Anforderungen mit sich, denn das LDAP-Verzeichnis musste nun auch externen Dienstleistern zugänglich gemacht werden. Die Lösung für die Marburger IT bestand in der Einrichtung eines Reverse-Proxys, der auch für den UCS Microsoft 365 Connector essenziell war.

Weitere Herausforderungen ergaben sich durch die Einarbeitung in neue Systeme wie UCS@school, die plötzlich notwendig gewordene Verfügbarmachung und Anbindung der Endgeräte der Lehrkräfte aufgrund der Pandemie sowie durch die Komplexität und schwierige Erweiterbarkeit der LDAP-Authentifizierungsbasis. Auch die Umsetzung von Microsoft 365 im Multi-Tenant (Multiplikationen, Einrichtung innerhalb des Systems, Verbindung von ADs) statt im Single-Tenant musste gelöst werden.

Es zeigt sich, dass Univention immer irgendwo eine App hat, die ein sehr guter Startpunkt ist. Das heißt nicht, dass keine Anpassungen vorgenommen werden müssen, aber unsere erste Einschätzung hat sich bestätigt: UCS@school ist hier modular und flexibel.  Oliver Weigelt, Techniker im Medienzentrum der Stadt Marburg

Warum Univention?

Das UCS-Ökosystem mit seinen zahlreichen Apps bietet in den Augen der IT-Verantwortlichen in Marburg eine solide und flexible Grundlage für individuelle Anpassungen und Anforderungen an die IT-Umgebung für die Schulen. Von besonderer Relevanz bei der Entscheidungsfindung waren die Modularität sowie Flexibilität der Open-Source-Lösungen von Univention und die Möglichkeit des einfachen und automatisierbaren Imports von Benutzerdaten aus dem Landesverzeichnisdienst LUSD. Letzterer ist als GPG-verschlüsselter Schüler*innen-Import – von Univention als kundenspezifisches Repository für Marburg implementiert – ein wichtiges Feature für die Umstellung der IT in den Marburger Schulen. Für den Projekterfolg entscheidend waren neben einem guten Ökosystem auch die effiziente Kommunikation mit dem Professional Services Team von Univention und die gut ausgearbeiteten Dokumentationen für UCS@school und UCS.

Weitere Planung in Marburg

In Zukunft möchte das Team der Marburger IT bei der Datenkonvertierung und -validierung noch mehr Benutzerrückmeldungen bei fehlerhaften Anmeldedaten, z.B. versehentlich gesetzte Interpunktionen wie „&“ oder „-“ im Vor- und Nachnamen geben. Außerdem sollen weitere Schulnetze migriert, RADIUS Auth für das WLAN verwendet, Windows-Geräte über MDM verwaltet und Server- wie Netzwerkgeräte über Ansible konfiguriert werden.