Hello world!

Welcome to WordPress. This is your first post. Edit or delete it, then start writing!

Novell Vibe Tomcat Zertifikat erneuern mit StartSSL

Im Rahmen der Musterlösung paedML 3 Novell ist ein Kommunikationsserver im Angebot, der aus der Schule heraus nach außen sichtbar gemacht werden kann. Damit er vom Internet aus mit dem Domänennamen der Schule angesprochen werden kann muss er u.a. mit einem Serverzertifikat ausgestattet werden.

Ein Zertifikat kann kostengünstig bei StartCom erworben werden. Dazu ist ein Validierungsprozess für eine Administrationsperson und den Schulleiter für die Organisation zu durchlaufen. Der Prozess wird über die Webseite gesteuert und persönliche Kontaktaufnahmen per Mail und Telefon sind zuvorkommend.

Wenn das Zertifat ausgestellt ist, kann es mit folgender Anleitung auf dem Kommunitionsserver der paedML (KServer) installiert werden:

https://www.novell.com/communities/coolsolutions/import-given-class2-startcom-certificate-novell-vibe-tomcat-keystore/

Der Prozess eignet sich auch für die Erneuerung des Zertifikats. Im Grunde wird dabei jedesmal ein neuer Keystore aus der .p12-Variante des Sternchen-Zertifikats generiert. Eine .p12-Datei kann auf der Webseite von StartCom aus der Schlüsseldatei und der Zertifikatsdatei hergestellt werden. Wichtig ist, dass das Passwort der Zertifikatdatei (.p12) und das Passwort des Keystores identisch sind, damit es nicht zu Fehlern beim Laden des Tomcat kommt.

Bildschirmkopien (Screenshots) in ein Verzeichnis ablegen am MAC

Die Möglichkeit Screenshots zu erstellen, um sie in Anleitungen, Mails und Lernmanagementsytemen zu verwenden, ist am Mac verlockend. Es führt dann jedoch unweigerlich dazu, dass der Desktop nach einiger Zeit mit Dateien überflutet ist.

Zur Abhilfe gibt es ein kleines Programm, mit dem man einstellen kann, dass Bildschirmkopien in einen eigenen Ordner abgelegt werden:
http://www.mac-attender.com/mac/screenshotpath/

Wer ein wenig mehr Hintergrundinformationen zu Screenshots möchte wird hier fündig und erhält gleichzeitig Tasten- sowie Terminal-Befehle für die individuelle Anspassung:
http://www.maceinsteiger.de/how-to/screenshot-unter-mac-os/

App-Support für mobile Endgeräte (Info-Stundenplan)

Die mobilen Endgeräte halten Einzug in die Schulen und es liegt nahe, flüchtige Informationen wie z.B. Vertretungspläne flexibel bereit zu stellen.

An der Maria Sibylla Merian-Gesamtschule in Bochum-Wattenscheid wurde am 16.03.2012 eine Produkt-Palette veröffentlicht, die es Schülern, Eltern und Lehrern ermöglicht, mittels gesicherter Netzwerkzugänge, lehrer- oder schülerbezogene Informationen abzurufen.

Unter der Adresse Apps.msm-ge.de stehen die Produkte, ihre Installation und die Dokumentation für die Schulangehörigen zur Verfügung. Die Benutzung ist nur mit Schulnetzwerk-Accounts möglich.Website der Vertretungsplan-Applikation für mobile Endgeräte der MSM

Es gibt dort insgesamt drei Produktklassen:

1. Apps für das iPhone und das iPad, die über den Apple-Store installiert werden können,

2. WebApps für jegliche Smartphones und Tablet-PC, die z.B. Android als Betriebssystem haben und

3. PC-Programme für Windows und Mac.

Das Projekt ist von dem jungen Nachwuchsprogrammierer Daniel Sendzik in Zusammenarbeit mit dem Schulnetz-Administrator entwickelt worden und berücksichtigt Sicherheitsaspekte. Die Applikationen setzen auf dem HTML-Output von Untis Info-Stundenplan auf und laufen auf dem Schulserver. Sie benutzen die zentrale Benutzerdatenbank (eDirectory bzw. LDAP) als Authentifizierungsquelle und werden über eine dynamische IP-Aktualsierung und einem CName-Alias unter der Sub-Domäne Apps.msm-ge.de zur Verfügung gestellt.

Interessierten Schulen helfen wir gerne, die entwickelten Applikationen auch an Ihrer Schule zum Einsatz zu bringen. Eine einmalige Kostenbeteiligung für den individuellen Anpassungsaufwand an der Schule sollte einkalkuliert werden.

Kontakt:
D.Sendzik(ät)googlemail.com
Detlef.Anschlag(ät)msm.bobi.net

http://www.msm.bobi.net
http://Apps.msm-ge.de

 

 

Radius – Ein Dienst für die integrierte Bereitstellung von mobilen Benutzerzugängen

Wer seinen Schulnetzwerk-Benutzern die Möglichkeit eröffnen möchte mobile Endgeräte zum Einsatz zu bringen steht vor dem Problem, dass ein Serverdienst benötigt wird, der die notwendige Authentifizierung per WLan über die zentrale Benutzerverwaltung bereitstellt.

Ein OpenSource-Produkt ist FreeRadius.

Der zitierte Blog beschreibt die Konfigurationen, die für die Novell-Musterlösung in Erwägung gezogen werden kann. http://chrismoos.com/2009/02/05/wpa-wireless-authentication-with-edirectory-and-freeradius-2/

Schul-IT absichern mit Zertifikaten (SSL)

Schulen verwalten Benutzerdaten für ihre Web- und IT-gestützten Systeme. Längere Zeit hieß es, dass die pädagogischen Netze nicht schutzbedürftig seien, da dort keine sensiblen Daten verwaltet würden.

Die IT-Landschaft hat sich aber so verändert, dass mit einem Benutzerzugang (Account) unterschiedlichste Angebote von Schülern, Lehrern und Eltern benutzt werden. Organisatorisch macht es keinen Sinn, für jedes System eine eigene Benutzerverwaltung vorzuhalten. Dies widerspricht sowohl der Auflage, das Ausmaß der notwendig zu speichernden Daten so gering wie möglich zu halten, als auch einer effektiven, fehlerfreien und damit benutzerfreundlichen Schul-IT.

Ein pädagogischer Auftrag, der aus der Entwicklung der vergangenen Jahre an das Schul-Informationsmanagement entstanden ist, lautet: Reduziere die Komplexität – soweit es möglich ist!

Darunter ist zu verstehen, dass die wachsende Funktionsvielfalt der Systeme nicht bis an die Benutzeroberfläche durchgereicht wird, sondern dass die Benutzerschnittstelle von unnötigem Ballast frei gehalten wird. Das ist keine leichte Aufgabe, aber sie ist notwendig, wenn schulische Entwicklungsprozesse nicht erstickt werden sollen.

Für die Schule wäre es förderlich, wenn die Benutzer ein gewisses Maß an Klarheit, Kontinuität und Wiedererkennungwert in Aussehen und Funktionalität der verwendeten Systeme erleben könnten. Wer das System Schule kennengelernt hat weiß, dass es Zeit und Vertrauen braucht um neue Routinen schaffen zu können. Die wachsende Anzahl an Diensten sollte sich deshalb im Hintergrund – für die Benutzer schonend – integrieren lassen. Dies war auch der Anfang von Portalen. Portale sind Webseiten, die einmal eine Anmeldung entgegen nehmen und danach sämtliche benötigten Funktionen für die Benutzerinnen bereitstellen.

Die kalifornische Firma mit dem angebissenen Logo schafft es Benutzer für sich zu begeistern, weil sie „Design“ als Vehikel für die Konstruktion der Benutzerschnittstellen benutzt. Wer sich mit Design beschäftigt wird feststellen, dass bei der Kreation von gutem Design alles weggelassen wird, was nicht unbedingt notwendig ist. Während des Erstellungsprozesses gehe man ein paar Schritte zurück, kneife die Augen beinahe zu und prüfe dann, ob dennoch eine klare erkennbare Struktur wahrnehmbar ist. Diese Faustregel sollte sich im Bereich der Schule nutzen lassen auch ohne es teuer bezahlen zu müssen.

Zur Praxis: Lernmanagementsysteme halten bei vielen Schulen gerade Einzug in den IT-Alltag. Dabei fallen personenbezogene Daten an, die schützenswert sind. Lernmanagementsysteme unterstützen die individuelle Förderung, organisieren Unterricht über die Präsenzstunden hinaus,  ermöglichen eine digitale Informationsverbreitung der innerschulischen Gremien und stellen in sogenannten didaktischen Szenarien Lernprozesse mit multimedialen Elementen und Aktivitäten bereit. Lernmanagementsysteme bilden heute viele Teile der schulischen Prozesse ab und das birgt positives Potential. Transparenz ist zwar von Personen oftmals gefürchtet aber immer noch einer der entscheidenden Motoren für die Chance auf Weiterentwicklung.

Wir sind schon länger an dem Punkt angekommen die Benutzeranmeldungen so abzusichern, dass sie nicht unmittelbar von jedermann mitgelesen werden können. Dazu benötigt die IT-Administration einer Schule die Möglichkeit digitale Zertifikate erstellen zu können, mit denen die Datenkommunikation verschlüsselt werden kann. Da solche digitalen Zertifikate bisher Geld kosteten und die technische Realisierung tieferen Zugang zum Verständnis der Systeme und deren administrative Rechte voraussetzt, ist die Verbreitung in Schulen noch zurückhaltend.

Es lohnt sich einen Blick darauf zu werfen, weil es mittlerweile kostenfreie Möglichkeiten gibt, Schul-IT mit digitalen Zertifikaten auszustatten um den Datenschutz zu verbessern.

Eine Organisation, die in den meisten Browsern vertreten ist und als „Schweizer Taschenmesser“ für das Handling von Zertifikaten bezeichnet wird ist: http://startssl.com. Ein Beispiel für die Implementation von Sicherheitszertifikaten (SSL-Zertifikaten) werde ich in einem gesonderten Artikel beschreiben.

Übrigens: Die Schulnetzwerk-Musterlösungen aus Baden-Württemberg erfüllen viele diese Anforderungen schon seit einigen Jahren neben der Tatsache, dass die Transparenz dieser Lösungen den Schulen und Schulträgern reichhaltige Gestaltungsmöglichkeiten für die professionelle Umsetzung von Schul-Informationstechnologie an die Hand gibt. Mittlerweile setzen diese Lösungen auch auf virtuellen Servern auf (VMware), so dass gefahrlos Weiterentwicklungen der Dienste vorab erkundet werden können, bevor sie in den Produktivbetrieb eingebaut werden. Nähere Informationen sind zu finden bei http://www.supportnetz.de.

AFP Installation OES SP3

Installation des Apple File Protokolls auf dem Open Enterprise Server mit Supportpack 3

Die Dokumentation für Administratoren beschreibt die notwendigen Schritte zur Aktivierung des AFP-Protokolls auf dem Server. Die Datei habe ich hier abgelegt.

Groupwise Client für MAC

Unter der Adresse http://gwclient.provo.novell.com/ findet man u.a. den Groupwise-Client für MAC in der Version 8. Nach dem Download startet die Clientsoftware sofort und öffnet nach Benutername- und Passworteingabe unkompliziert das Postfach. Das ging schnell und einfach. Zur Abwechslung einfach erfreulich.

LDAP-Authentifizierung über SSL für Groupwise 7.x/8.x

Out-of-the-box existieren in einem Novell-Netz unterschiedliche Passwörter für den eDirectory-Zugang und das Groupwise Postfach. Sichtbar wird das beim sog. Webaccess von Groupwise. Wer sich per Novell-Client am PC anmeldet kann zwar ohne weitere Anmeldung den Groupwise-Client starten und das Postfach öffnen, wer aber per Webbrowser zugreifen möchte, z.B. von unterwegs, muss vorher einmal ein Passwort im Client eingegeben haben, damit der Zugang gelingt.

Dahinter steckt die Tatsache, dass einerseits für den Client-Zugang zum Netzwerk und andererseits für den Postfach-Zugang unter Novell separat zwei unterschiedliche Passwörter verwaltet werden.

David Holmes beschreibt in seinem Beitrag: GW-SSL-LDAP Config (novell educ list) , wie Groupwise so konfiguriert werden kann, dass es sich über den vorhandenen LDAP-Dienst zu authentifizieren, so dass ein Passwort ausreicht, um den Zugang zum lokalen Netzwerk und per Webaccess zu gewährleisten.

Damit ist eine Passwortänderung im eDirectory ebenfalls für den Postfachzugang wirksam, so dass keine separate Passwortänderung mehr für das Postfach notwendig ist.

Unter Sicherheitsaspekten ist das eine Reduktion der vorhandenen Beschränkungen, die Benutzer jedoch werden es sicher als Erleichterung erleben.