Accounts für Eltern im LDAP

Bei uns sollen die Eltern kurz- bis mittelfristig eigene Accounts bekommen.

  • Damit sollen sie sich unter https://www.ohgw.de/ im Intranet „OHG intern“ anmelden und auf geschützte Inhalte zugreifen können.
  • Ich denke auch daran, diese Accounts in WebUntis zu verwenden. Eigentlich finde ich es nicht o.k., wenn die SuS ihre Passörter den Eltern aushändigen, damit diese den Stunden- und Vertretungsplan einsehen können.
  • In einem Fall gab es schon Bedarf dafür, einigen Eltern im Rahmen eines Schüler-Eltern-Lehrer-Chor-Projektes Zugriff auf einige Ordner in der Nextcloud zu gewähren.

Die geplanten Anwendungen sind also vielfältig. Man müsste dazu natürlich auch die Info aus dem Verwaltungssystem ziehen, welche SuS zu welchen Eltern gehören und auf diese Weise ermitteln, welche Klassen für welche Eltern relevant sind.

Seht Ihr eine gute Möglichkeit dafür, die Eltern-Accounts im LDAP von linuxmuster.net zu verwalten? Oder wäre es besser, ein völlig separates LDAP zu diesem Zweck aufzusetzen, z.B. auf dem Docker-Host? Ich bin allerdings nicht sicher, ob sich in allen Systemen mehrere LDAPs eintragen lassen.

Hallo Matthias,

wir machen das ohne viel Aufwand wie folgt:

In jeder Klasse gibt es einen Account für die Eltern, z. B. eltern7a.
Das Passwort wird jedes Jahr neu gesetzt und zu Schuljahresbeginn
bekanntgegeben (immer nur für die eigene Klasse). Für diese Accounts
haben wir manuell die Anmeldung an Clients deaktiviert sowie die Mails
ins Nirvana geschickt.

Die Eltern greifen damit vor allem auf die Klassenkalender zu.

Beste Grüße

Jörg

1 „Gefällt mir“

Hallo Jörg,

vielen Dank für die schnelle Antwort!

Letztlich möchte ich auf individuelle Eltern-Accounts hinaus. Soweit das rechtlich zulässig ist, würde ich bestimmte Formulare (Einverständniserklärungen etc.) gern im Intranet abhandeln. Das spart nicht nur Papier, sondern entlastet auch die Klassenlehrer …

Interessant ist aber schon mal, dass Ihr die Klassenaccounts im regulären LDAP unterbringt.

Ich frage mich, ob linuxmuster.net bei Updates etc. Probleme bekommt, wenn man beispielsweise im Baum manuell noch einen weiteren Zweig für Eltern anlegt.

Viele Grüße
Matthias

Hallo Jörg,
hallo Matthias,

berauschender Gedanke.

Das Risiko würde ich umgehen: Dir steht doch frei wie ihr die Klassen benennt.

Also alle Eltern der Klasse 7a in die Klasse el_7a.

Nachteil:

  • LuL könnten sich in diese Klasse eintragen und hätten erweiterte Rechte.
  • Eltern von Geschwisterkinder bekommen zwei Logins

Alle Eltern der Klasse 7a in eine Extra-Klasse. Wie bei der 6.2 wobei ich nicht weiß, ob das dann umsetzbar bar ist mit persönlichen Logins.

@jeffbeck: Wie siehst du das?

Beste Grüße

Thorsten

Hallo Jörg,
hallo Matthias,

berauschender Gedanke.

Das Risiko würde ich umgehen: Dir steht doch frei wie ihr die Klassen benennt.

Also alle Eltern der Klasse 7a in die Klasse el_7a.

Nachteil:

  • LuL könnten sich in die Klasse eintragen, mit erweiterten Rechten.
  • Bei Geschwisterkinder je ein neuer Account

Alternativ: Extra-Klasse wie in der 6.2 für VHS u.a. Wobei da wird es schwierig mit deiner Vorgabe persönlicher Login.

@jeffbeck: Ist dahin etwas angedacht bzw. was hältst du von meinen Vorschlägen?

Beste Grüße

Thorsten

Hallo Thorsten,

die Idee mit den Klassen für Eltern ist auch gut. Mehrere Accounts bei Geschwisterkindern finde ich aber nicht wirklich schön … Langfristig würde ich die (familiäre) Struktur gern sauber im LDAP abbilden. Nach meiner Erfahrung rächt es sich später immer, wenn man wesentliche Aspekte bei der Datenmodellierung unberücksichtigt lässt.

Unser Elternbeirat ist recht aktiv. Daher kommt auch der Wunsch nach einer digitalen Infrastruktur für Eltern (z.B. zum Hinterlegen von Protokollen von Elternabenden, Kalender-Abos usw.), den ich durchaus nachvollziehen kann.

Wäre eine stärkere Berücksichtigung der Eltern etwas für lmn8?

Beste Grüße
Matthias

Hallo Matthias,

Fände ich gut! Lass uns mal hören was @jeffbeck dazu meint. Eventuell muss es gar nicht eine FR für die 8.x sein?

Beste Grüße

Thorsten

Hallo ihr,

ich muss sagen, dass war bisher in der 7er nicht einmal angedacht, dass Eltern einen Account bekommen.

Wenn man sich die Mühe machen möchte, bzw. darin sogar zeitliche Vorteile sieht, würde ich es so machen wie vorgeschlagen:

  • Die Eltern sollten in eine eigene Schüler-Klasse mit entsprechendem Namen (keinesfalls Lehrer)
  • entweder in students.csv (2 Dateien zusammenhängen) oder extrastudents.csv

Einen Elternaccount für alle Eltern finde ich nicht so gut. Alles ausgeteilte usw. landet dann bei den Eltern.

Im Allgemeinen kann ich allerdings die Konsequenzen nicht vollständig einschätzen.

Beispiel: Bei der Moodle-Anmeldung sage ich meinen Schülern z.B. wenn sie ihre E-Mail Adresse eingeben, dass sie sie den anderen Schülern und Lehrern zeigen können, oder nicht.
Da müsste man dann entsprechend aufklären, wenn sie da auch Eltern tummeln können/sollen.

Das war nur ein Beipiel für Datenschutzrechtliche Bedenken.

Um die Eltern und Schüler zu verknüpfen könnte man die custom attribute nutzen oder der Kommentag beim user (siehe sophomorix-user -h):

Updating comment of a user:
  --user <user> --comment "This is the comment"


Updating sophomorixCustom1 - sophomorixCustom5:
  --user <user> --custom<n> "Content of sophomorixCustom<n>"
Updating sophomorixCustomMulti1 - sophomorixCustomMulti5:
  --user <user> --custom-multi<n> "Content of sophomorixCustomMulti<n>"
  --user <user> --add-custom-multi<n> "Added entry in sophomorixCustomMulti<n>"
  --user <user> --remove-custom-multi<n> "Removed entry from sophomorixCustomMulti<n>"

Hallo zusammen,

ich erinnere mich, das vor Jahren mal auf einer Entwicklertagung angesprochen zu haben - und damals noch recht alleine war (man könne das ja über Extraklassen machen, „wenn man so etwas unbedingt will“).
Ich fände es nach wie vor super, wenn irgendwann mal eine flexible hierarchische Nutzer- und Klassenverwaltung angedacht wird - ich glaube nicht, dass man jede Schule über die derzeitige „flache“ Struktur (Nutzer- und Klassenebene) auf Dauer sinnvoll abbilden kann. Es gibt dynamische Klassenstrukturen (Kurse/Ganztag/…), die man nicht immer wieder „neu“ abbilden möchte. Neben Schülern und Lehrern gibt es nun einmal auch andere am Schulleben Beteiligte und die haben eben z.T. schon auch mit der Pädagogik zu tun und könnten dann einen passenden Platz im System bekommen (und nicht etwa auf einem Niveau mit „Klassen“ oder - z.B. bei externen DaZ-Lehrkräften - gar mit regulären „Lehrkräften“).

Wir haben das bei uns fürs Erste übrigens so gelöst (steht auch schon irgendwo im ask):
Wir nutzen Moodle in zunehmendem Maße. Moodle bietet neben der LDAP-Authentifizierung auch weitere Authentifizierungsvarianten an - eine davon ist die Selbsteinschreibung.
Die Eltern melden sich also selbst beim ersten Elternabend ein und melden sich in vorbereiteten Elternkursen zu den Klassen an. Die Daten, die sie mit anderen Eltern teilen wollen, schreiben sie in eine Datenbank. Es gibt ein zusätzliches Profilfeld „Name des Kindes“, in das die Eltern (da gibt es ja alle möglichen Konstellationen) ihr Kind/ihre Kinder hineinschreiben können.

Das ermöglicht uns sehr zuverlässige Elternkommunikation:

  • das Moodle-Kursforum kann für Nachrichten an die Eltern genutzt werden
  • die Eltern sind über das Nachrichtensystem erreichbar (und erreichen Lehrkräfte über selbiges)
  • die Moodle-Anmelde-Unwilligen erreicht alles auch per Email
  • Formulare, etc. können in den Elternkursen hinterlegt werden
  • durch Meta-Kurse erreicht z.B. die Schulleitung auch alle Eltern eines Jahrgangs oder die gesamte Elternschaft

Das startet gerade im dritten Jahr und im Vergleich zu allem, was wir vorher hatten (händisch gepflegter Mail-Verteiler, Mailman-Mailing-Listen, manuell gepflegte Accounts in Elternklassen) ist es zuverlässig und entspannt. Und da die Eltern sich selbst eintragen, löst es vermutlich auch das ein oder andere Datenschutzproblem…

Viele Grüße
Thomas

1 „Gefällt mir“

Hallo zusammen,

gibt es bezüglich anderer Accounts im LDAP inzwischen schon Planungen in der Entwicklung? So nach und nach sehe ich immer mehr Anwendungsfälle:

  • Sekretariat (greifen auf Moodle, Cloud und WebUntis zu),
  • Praktikanten (wären so etwas wie „extrateachers“ für einen begrenzten Zeitraum) und
  • (wie oben diskutiert) Eltern/Erziehungsberechtigte (v.a. WebUntis, ggf. auch Cloud).

Viele Grüße
Matthias

Hallo Matthias,

die beiden Gruppen haben bei mir Accounts in den extrausers.
Referendare sind „teacher“.

Eltern haben in unserem Netzwerk nix zu suchen: weder auf der Cloud noch in moodle: die sind nämlich keine Angehörigen der Schule.

LG

Holger

Hallo Holger,

OK, dennoch wäre es ja gut bzw an der Zeit, dass man alle Eltern über einen einheitlichen Weg kontaktieren könnte! Daher der Vorschlag, jedem Schüler über ein custom Feld gleich eine Eltern- bzw besser Erziehungsberechtigten-E-Mail Adresse in der Form E.nameschueler@meine-domain.de einzuführen. …

Viele Grüße
Michael

Hallo Holger,

Deine Ansicht, dass Eltern im schulischen Netzwerk gar nix zu suchen haben, teile ich so nicht. Gewählte Elternvertreter laden zu Klassenpflegschaftssitzungen ein (virtuell ggf. per BBB). Es gibt den Elternbeirat und die Schulkonferenz als offizielle Gremien. Es wäre also durchaus sinnvoll, eine (separate) Cloud-Instanz einzurichten, in der man Protokolle in entsprechenden Ordnern mit passenden Freigaben hinterlegt. Dass Eltern mit eigenem Account auf WebUntis zugreifen möchten, ist auch nachvollziehbar. Irgendwo muss man also die Informationen darüber verwalten, welche Kinder zu welchen Eltern gehören, damit die Eltern nur die jeweiligen Stundenpläne angezeigt bekommen.

Falls lmn auf absehbare Zeit nichts in dieser Richtung bieten wird, müssten wir alles selbst stricken (z.B. in einer separaten VM mit 389-DS). Wenn das klar wäre, wüssten wir auch, woran wir sind.

Wie laufen die Entscheidungsprozesse bei lmn? Kann man ein Feature Request stellen, über welches die Entwickler dann entscheiden? Wenn ja, wo und wie?

Viele Grüße
Matthias

Hallo!

Ich denke schon seit einiger Zeit darüber nach. Mein Ansatz ist aber das mit Bordmittel der lmn umzusetzen.

  • Schulverwaltungsprogramm nutzen um die Daten der Verantwortlichen gemäß der Klasseneinteilung zu exportieren.
  • Diese in lmn als eigenständige Elternklassen einpflegen, z.B. e5a, e5b, e12jg
  • Diese Klassen werden in lmn auf unsichtbar (nicht anzeigen) gesetzt

Personenbezogene Kommunikation die einzelne SuS und deren Verantwortlichen betreffen, müssen eh über die Verwaltung (gesicherter Kanal) laufen.

Beste Grüße

Thorsten

Am Besten auf GitHub im emtsprechenden Repo als issue:

VG, Dorian

Hallo,

wir haben bereits ein Lehrer-Moodle (für Schulleitung, Lehrkräfte, Schulische Mitarbeiter)
und ein seperates Schul-Moodle (zum Unterrichten)
und denken gerade über ein seperates Eltern-Moodle nach, um von den unkomfortablen Mailverteilern weg zu kommen.

Die Kontaktdaten der Eltern gehören ins Verwaltungsnetz - bei uns in BW in die ASV-Datenbank. Von dort kann man Exporte machen, die man z.B. für die Benutzeranlage im Moodle verwendet.
Alles natürlich immer mit Einwilligung der Betroffenen.

Unser Verwaltungsnetz-Kollege macht so wahrscheinlich z.B. den Export der Mailadressen der Eltern mit denen sie sich im WebUntis anmelden können - das bietet WebUntis als Feature.

Ich würde das Päd. Netzwerk nur mit Bauschschmerzen für Benutzer verwenden, die da eigentlich nicht hin gehören - und diese deshalb dann für andere unsichtbar gemacht werden müssen.

Zum Thema Eltern-Moodle (oder vielleicht auch nextcloud???) würde ich mich gerne hier austauschen.

Gruß
Stefan

Hallo Stefan,

Ich gebe Dir völlig recht, dass die Stammdaten in ASV-BW gehören und von dort (mit Einwilligung) exportiert werden sollten.

Ich gehe nochmal einen Schritt zurück. Aktuell haben wir von Elternseite her drei Anforderungen:

  1. Zugriff auf WebUntis (muss auch bei mehreren Kindern in verschiedenen Klassen funktionieren),
  2. Speichern von Konferenzprotokollen etc. (Klassenpflegschaften, Elternbeirat, Schulkonferenz) mit passenen Zugriffsrechten,
  3. Videokonferenzen (per BBB) bei Bedarf.

Dies spricht m.E. für feste Elternaccounts (pro Person!), die sich durch das Schulleben der Kinder hinweg nicht ändern.

Eine separate Nextcloud-Instanz für Anforderung 2 und auch 3 (siehe die sehr gute BBB-App für Nextcloud) dürfte für die meisten Eltern intuitiver sein als Moodle. Viele kennen sicher OneDrive, GoogleDrive, Dropbox und Co.

Ein ganz eigenes LDAP für die Eltern aufzusetzen und ein kleines Skript zum Datenabgleich aus ASV-BW zu schreiben, wäre ja kein allzu großes Problem. Aktuell scheint es mir aber so, als könne man in WebUntis nur einen LDAP-Server eintragen. In diesem Fall müsste man also zwangläufig die Eltern auch in lmn erfassen.

Viele Grüße
Matthias

Habe vom Untis-Support die Bestätigung bekommen: Aktuell kann man in WebUntis nur einen LDAP-Server eintragen.

Hallo Matthias,

bei WebUntis muss aber auch eine Anmeldung für Eltern geben per Mail-Adresse.

Bei uns ist das so, dass sich die Lehrer, Schüler und schulische Mitarbeiter per LDAPs anmelden und die Eltern über die beim Schüler hinterlegten Mailadressen. Die betreue WebUntis nicht - daher kenne ich dazu keine Details.

Gruß
Stefan

Hallo zusammen

Wir sind jetzt im dritten Jahr (nach Papier, Email, Mailman-Listen, Moodle-Projekt-Klassen-Elternschaften), in dem wir sämtliche Eltern bei uns in Moodle eingepflegt haben.

MIr ist nicht klar, warum Eltern nicht in die Schul-Instanz von Moodle hinein sollten. Wenn das sauber konfiguriert ist, haben sie keinerlei Zugriff auf irgendetwas, was sie nicht haben dürfen. Wenn das NICHT sauber konfiguriert ist, hilft auch ein separates Moodle nicht (außer, man sichert das grundsätzlich anders ab).

Die Vorteile sind enorm. Kommunikation zwischen Eltern-, Schüler- und Lehrerschaft ist problemlos über Moodle möglich. Gremien der Schule können mit allen Beteiligten abgebildet werden und die Kommunikationswege von Moodle nutzen. Unabhängig von den Stammdaten in der Schulverwaltung entscheiden die Eltern bei uns freiwillig, welche Kontaktinformationen sie in den Moodle-Kurs einstellen. Darauf hat dann ja auch nur die Elternschaft der Klasse (und natürlich der 4-Augen-Admin) Zugriff.

Die Eltern bei uns geben uns inzwischen regelmäßig sehr positive Rückmeldung über diese Struktur. Sämtliche Informationen werden über die Klassenkurse oder Metakurse (für die Stufe/für die gesamte Elternschaft) verteilt - dort sind die jeweiligen KoordinatorInnen zuständig. Da bei uns (via REST-Schnittstelle) hierarchich die gesamte Schulstruktur (Jahrgänge/Klassen/Kurse) aus der Schulverwaltung heraus vorangelegt wird, können zum Schuljahresbeginn schon bei der Anmeldung, spätestens gemeinsam beim ersten Elternabend alle Eltern über einen Zugangscode (Moodle-Selbsteinschreibung mit Schlüssel) in die jeweiligen Elternkurse. Innerhalb der Elternkurse gibt es eine (per Vorlagenkurs zentral gepflegte) Standardstruktur mit wichtigen Dokumenten, Adress-Datenbank, Bücherlisten, uvm. Dieses Jahr testen wir z.B. erstmals ein Terminfindungstool in Moodle für Elterngespräche. Ein Webuntis-Export wird bei uns in Moodle eingebunden (als HTML-Seiten), so dass auch die Eltern Zugriff auf den Vertretungsplan haben (ohne im LDAP sein zu müssen oder die Kinder um die Passwörter zu bitten).

Ich denke auch, dass ein Einpflegen der Eltern in den LDAP nicht notwendig ist und viel Arbeit machen würde. Auf der anderen Seite sehe ich (bei geringen Kosten) enorme Chancen für die Einbindung der Eltern in die digitalen Strukturen der Schule. Ob Eltern da etwas „zu suchen haben“ ist wohl nicht zuletzt eine Frage der Schulkultur :slight_smile:

Dass eine Einbindung von Eltern/Mitarbeitern bei der LML nicht explizit vorgesehen ist (und es eben nur die flache, workaroundig wirkende Möglichkeit von Projekten und Extralisten gibt), fand ich schon vor vielen Jahren ein echtes Manko. Mit den immer mehr im Mittelpunkt stehenden Plattformen und den digitalen Endgeräten sowie unserem Weg, die Plattformen direkt mit Benutzern und Gruppen zu bespielen, verliert der LDAP/AD aber ohnehin an Bedeutung (während Linbo für die Gerätebespielung umso wichtiger wird - die Eltern staunen Jahr um Jahr, das wir es mit den paar Leuten hinbekommen, hunderte Geräte mit zwei Betriebssystemen auf aktuellem Stand zu halten).

Viele Grüße
Thomas

2 „Gefällt mir“