Accounts für Eltern im LDAP

Server Benutzerverwaltung
4

Hallo Jörg,
hallo Matthias,

berauschender Gedanke.

Das Risiko würde ich umgehen: Dir steht doch frei wie ihr die Klassen benennt.

Also alle Eltern der Klasse 7a in die Klasse el_7a.

Nachteil:

  • LuL könnten sich in diese Klasse eintragen und hätten erweiterte Rechte.
  • Eltern von Geschwisterkinder bekommen zwei Logins

Alle Eltern der Klasse 7a in eine Extra-Klasse. Wie bei der 6.2 wobei ich nicht weiß, ob das dann umsetzbar bar ist mit persönlichen Logins.

@jeffbeck: Wie siehst du das?

Beste Grüße

Thorsten

5

Hallo Jörg,
hallo Matthias,

berauschender Gedanke.

Das Risiko würde ich umgehen: Dir steht doch frei wie ihr die Klassen benennt.

Also alle Eltern der Klasse 7a in die Klasse el_7a.

Nachteil:

  • LuL könnten sich in die Klasse eintragen, mit erweiterten Rechten.
  • Bei Geschwisterkinder je ein neuer Account

Alternativ: Extra-Klasse wie in der 6.2 für VHS u.a. Wobei da wird es schwierig mit deiner Vorgabe persönlicher Login.

@jeffbeck: Ist dahin etwas angedacht bzw. was hältst du von meinen Vorschlägen?

Beste Grüße

Thorsten

6

Hallo Thorsten,

die Idee mit den Klassen für Eltern ist auch gut. Mehrere Accounts bei Geschwisterkindern finde ich aber nicht wirklich schön … Langfristig würde ich die (familiäre) Struktur gern sauber im LDAP abbilden. Nach meiner Erfahrung rächt es sich später immer, wenn man wesentliche Aspekte bei der Datenmodellierung unberücksichtigt lässt.

Unser Elternbeirat ist recht aktiv. Daher kommt auch der Wunsch nach einer digitalen Infrastruktur für Eltern (z.B. zum Hinterlegen von Protokollen von Elternabenden, Kalender-Abos usw.), den ich durchaus nachvollziehen kann.

Wäre eine stärkere Berücksichtigung der Eltern etwas für lmn8?

Beste Grüße
Matthias

7

Hallo Matthias,

Fände ich gut! Lass uns mal hören was @jeffbeck dazu meint. Eventuell muss es gar nicht eine FR für die 8.x sein?

Beste Grüße

Thorsten

8

Hallo ihr,

ich muss sagen, dass war bisher in der 7er nicht einmal angedacht, dass Eltern einen Account bekommen.

Wenn man sich die Mühe machen möchte, bzw. darin sogar zeitliche Vorteile sieht, würde ich es so machen wie vorgeschlagen:

  • Die Eltern sollten in eine eigene Schüler-Klasse mit entsprechendem Namen (keinesfalls Lehrer)
  • entweder in students.csv (2 Dateien zusammenhängen) oder extrastudents.csv

Einen Elternaccount für alle Eltern finde ich nicht so gut. Alles ausgeteilte usw. landet dann bei den Eltern.

Im Allgemeinen kann ich allerdings die Konsequenzen nicht vollständig einschätzen.

Beispiel: Bei der Moodle-Anmeldung sage ich meinen Schülern z.B. wenn sie ihre E-Mail Adresse eingeben, dass sie sie den anderen Schülern und Lehrern zeigen können, oder nicht.
Da müsste man dann entsprechend aufklären, wenn sie da auch Eltern tummeln können/sollen.

Das war nur ein Beipiel für Datenschutzrechtliche Bedenken.

Um die Eltern und Schüler zu verknüpfen könnte man die custom attribute nutzen oder der Kommentag beim user (siehe sophomorix-user -h):

Updating comment of a user:
  --user <user> --comment "This is the comment"


Updating sophomorixCustom1 - sophomorixCustom5:
  --user <user> --custom<n> "Content of sophomorixCustom<n>"
Updating sophomorixCustomMulti1 - sophomorixCustomMulti5:
  --user <user> --custom-multi<n> "Content of sophomorixCustomMulti<n>"
  --user <user> --add-custom-multi<n> "Added entry in sophomorixCustomMulti<n>"
  --user <user> --remove-custom-multi<n> "Removed entry from sophomorixCustomMulti<n>"
9

Hallo zusammen,

ich erinnere mich, das vor Jahren mal auf einer Entwicklertagung angesprochen zu haben - und damals noch recht alleine war (man könne das ja über Extraklassen machen, „wenn man so etwas unbedingt will“).
Ich fände es nach wie vor super, wenn irgendwann mal eine flexible hierarchische Nutzer- und Klassenverwaltung angedacht wird - ich glaube nicht, dass man jede Schule über die derzeitige „flache“ Struktur (Nutzer- und Klassenebene) auf Dauer sinnvoll abbilden kann. Es gibt dynamische Klassenstrukturen (Kurse/Ganztag/…), die man nicht immer wieder „neu“ abbilden möchte. Neben Schülern und Lehrern gibt es nun einmal auch andere am Schulleben Beteiligte und die haben eben z.T. schon auch mit der Pädagogik zu tun und könnten dann einen passenden Platz im System bekommen (und nicht etwa auf einem Niveau mit „Klassen“ oder - z.B. bei externen DaZ-Lehrkräften - gar mit regulären „Lehrkräften“).

Wir haben das bei uns fürs Erste übrigens so gelöst (steht auch schon irgendwo im ask):
Wir nutzen Moodle in zunehmendem Maße. Moodle bietet neben der LDAP-Authentifizierung auch weitere Authentifizierungsvarianten an - eine davon ist die Selbsteinschreibung.
Die Eltern melden sich also selbst beim ersten Elternabend ein und melden sich in vorbereiteten Elternkursen zu den Klassen an. Die Daten, die sie mit anderen Eltern teilen wollen, schreiben sie in eine Datenbank. Es gibt ein zusätzliches Profilfeld „Name des Kindes“, in das die Eltern (da gibt es ja alle möglichen Konstellationen) ihr Kind/ihre Kinder hineinschreiben können.

Das ermöglicht uns sehr zuverlässige Elternkommunikation:

  • das Moodle-Kursforum kann für Nachrichten an die Eltern genutzt werden
  • die Eltern sind über das Nachrichtensystem erreichbar (und erreichen Lehrkräfte über selbiges)
  • die Moodle-Anmelde-Unwilligen erreicht alles auch per Email
  • Formulare, etc. können in den Elternkursen hinterlegt werden
  • durch Meta-Kurse erreicht z.B. die Schulleitung auch alle Eltern eines Jahrgangs oder die gesamte Elternschaft

Das startet gerade im dritten Jahr und im Vergleich zu allem, was wir vorher hatten (händisch gepflegter Mail-Verteiler, Mailman-Mailing-Listen, manuell gepflegte Accounts in Elternklassen) ist es zuverlässig und entspannt. Und da die Eltern sich selbst eintragen, löst es vermutlich auch das ein oder andere Datenschutzproblem…

Viele Grüße
Thomas

1 „Gefällt mir“
10

Hallo zusammen,

gibt es bezüglich anderer Accounts im LDAP inzwischen schon Planungen in der Entwicklung? So nach und nach sehe ich immer mehr Anwendungsfälle:

  • Sekretariat (greifen auf Moodle, Cloud und WebUntis zu),
  • Praktikanten (wären so etwas wie „extrateachers“ für einen begrenzten Zeitraum) und
  • (wie oben diskutiert) Eltern/Erziehungsberechtigte (v.a. WebUntis, ggf. auch Cloud).

Viele Grüße
Matthias

11

Hallo Matthias,

die beiden Gruppen haben bei mir Accounts in den extrausers.
Referendare sind „teacher“.

Eltern haben in unserem Netzwerk nix zu suchen: weder auf der Cloud noch in moodle: die sind nämlich keine Angehörigen der Schule.

LG

Holger

12

Hallo Holger,

OK, dennoch wäre es ja gut bzw an der Zeit, dass man alle Eltern über einen einheitlichen Weg kontaktieren könnte! Daher der Vorschlag, jedem Schüler über ein custom Feld gleich eine Eltern- bzw besser Erziehungsberechtigten-E-Mail Adresse in der Form E.nameschueler@meine-domain.de einzuführen. …

Viele Grüße
Michael

13

Hallo Holger,

Deine Ansicht, dass Eltern im schulischen Netzwerk gar nix zu suchen haben, teile ich so nicht. Gewählte Elternvertreter laden zu Klassenpflegschaftssitzungen ein (virtuell ggf. per BBB). Es gibt den Elternbeirat und die Schulkonferenz als offizielle Gremien. Es wäre also durchaus sinnvoll, eine (separate) Cloud-Instanz einzurichten, in der man Protokolle in entsprechenden Ordnern mit passenden Freigaben hinterlegt. Dass Eltern mit eigenem Account auf WebUntis zugreifen möchten, ist auch nachvollziehbar. Irgendwo muss man also die Informationen darüber verwalten, welche Kinder zu welchen Eltern gehören, damit die Eltern nur die jeweiligen Stundenpläne angezeigt bekommen.

Falls lmn auf absehbare Zeit nichts in dieser Richtung bieten wird, müssten wir alles selbst stricken (z.B. in einer separaten VM mit 389-DS). Wenn das klar wäre, wüssten wir auch, woran wir sind.

Wie laufen die Entscheidungsprozesse bei lmn? Kann man ein Feature Request stellen, über welches die Entwickler dann entscheiden? Wenn ja, wo und wie?

Viele Grüße
Matthias

14

Hallo!

Ich denke schon seit einiger Zeit darüber nach. Mein Ansatz ist aber das mit Bordmittel der lmn umzusetzen.

  • Schulverwaltungsprogramm nutzen um die Daten der Verantwortlichen gemäß der Klasseneinteilung zu exportieren.
  • Diese in lmn als eigenständige Elternklassen einpflegen, z.B. e5a, e5b, e12jg
  • Diese Klassen werden in lmn auf unsichtbar (nicht anzeigen) gesetzt

Personenbezogene Kommunikation die einzelne SuS und deren Verantwortlichen betreffen, müssen eh über die Verwaltung (gesicherter Kanal) laufen.

Beste Grüße

Thorsten

15

Am Besten auf GitHub im emtsprechenden Repo als issue:

VG, Dorian

16

Hallo,

wir haben bereits ein Lehrer-Moodle (für Schulleitung, Lehrkräfte, Schulische Mitarbeiter)
und ein seperates Schul-Moodle (zum Unterrichten)
und denken gerade über ein seperates Eltern-Moodle nach, um von den unkomfortablen Mailverteilern weg zu kommen.

Die Kontaktdaten der Eltern gehören ins Verwaltungsnetz - bei uns in BW in die ASV-Datenbank. Von dort kann man Exporte machen, die man z.B. für die Benutzeranlage im Moodle verwendet.
Alles natürlich immer mit Einwilligung der Betroffenen.

Unser Verwaltungsnetz-Kollege macht so wahrscheinlich z.B. den Export der Mailadressen der Eltern mit denen sie sich im WebUntis anmelden können - das bietet WebUntis als Feature.

Ich würde das Päd. Netzwerk nur mit Bauschschmerzen für Benutzer verwenden, die da eigentlich nicht hin gehören - und diese deshalb dann für andere unsichtbar gemacht werden müssen.

Zum Thema Eltern-Moodle (oder vielleicht auch nextcloud???) würde ich mich gerne hier austauschen.

Gruß
Stefan

17

Hallo Stefan,

Ich gebe Dir völlig recht, dass die Stammdaten in ASV-BW gehören und von dort (mit Einwilligung) exportiert werden sollten.

Ich gehe nochmal einen Schritt zurück. Aktuell haben wir von Elternseite her drei Anforderungen:

  1. Zugriff auf WebUntis (muss auch bei mehreren Kindern in verschiedenen Klassen funktionieren),
  2. Speichern von Konferenzprotokollen etc. (Klassenpflegschaften, Elternbeirat, Schulkonferenz) mit passenen Zugriffsrechten,
  3. Videokonferenzen (per BBB) bei Bedarf.

Dies spricht m.E. für feste Elternaccounts (pro Person!), die sich durch das Schulleben der Kinder hinweg nicht ändern.

Eine separate Nextcloud-Instanz für Anforderung 2 und auch 3 (siehe die sehr gute BBB-App für Nextcloud) dürfte für die meisten Eltern intuitiver sein als Moodle. Viele kennen sicher OneDrive, GoogleDrive, Dropbox und Co.

Ein ganz eigenes LDAP für die Eltern aufzusetzen und ein kleines Skript zum Datenabgleich aus ASV-BW zu schreiben, wäre ja kein allzu großes Problem. Aktuell scheint es mir aber so, als könne man in WebUntis nur einen LDAP-Server eintragen. In diesem Fall müsste man also zwangläufig die Eltern auch in lmn erfassen.

Viele Grüße
Matthias

18

Habe vom Untis-Support die Bestätigung bekommen: Aktuell kann man in WebUntis nur einen LDAP-Server eintragen.

19

Hallo Matthias,

bei WebUntis muss aber auch eine Anmeldung für Eltern geben per Mail-Adresse.

Bei uns ist das so, dass sich die Lehrer, Schüler und schulische Mitarbeiter per LDAPs anmelden und die Eltern über die beim Schüler hinterlegten Mailadressen. Die betreue WebUntis nicht - daher kenne ich dazu keine Details.

Gruß
Stefan

20

Hallo zusammen

Wir sind jetzt im dritten Jahr (nach Papier, Email, Mailman-Listen, Moodle-Projekt-Klassen-Elternschaften), in dem wir sämtliche Eltern bei uns in Moodle eingepflegt haben.

MIr ist nicht klar, warum Eltern nicht in die Schul-Instanz von Moodle hinein sollten. Wenn das sauber konfiguriert ist, haben sie keinerlei Zugriff auf irgendetwas, was sie nicht haben dürfen. Wenn das NICHT sauber konfiguriert ist, hilft auch ein separates Moodle nicht (außer, man sichert das grundsätzlich anders ab).

Die Vorteile sind enorm. Kommunikation zwischen Eltern-, Schüler- und Lehrerschaft ist problemlos über Moodle möglich. Gremien der Schule können mit allen Beteiligten abgebildet werden und die Kommunikationswege von Moodle nutzen. Unabhängig von den Stammdaten in der Schulverwaltung entscheiden die Eltern bei uns freiwillig, welche Kontaktinformationen sie in den Moodle-Kurs einstellen. Darauf hat dann ja auch nur die Elternschaft der Klasse (und natürlich der 4-Augen-Admin) Zugriff.

Die Eltern bei uns geben uns inzwischen regelmäßig sehr positive Rückmeldung über diese Struktur. Sämtliche Informationen werden über die Klassenkurse oder Metakurse (für die Stufe/für die gesamte Elternschaft) verteilt - dort sind die jeweiligen KoordinatorInnen zuständig. Da bei uns (via REST-Schnittstelle) hierarchich die gesamte Schulstruktur (Jahrgänge/Klassen/Kurse) aus der Schulverwaltung heraus vorangelegt wird, können zum Schuljahresbeginn schon bei der Anmeldung, spätestens gemeinsam beim ersten Elternabend alle Eltern über einen Zugangscode (Moodle-Selbsteinschreibung mit Schlüssel) in die jeweiligen Elternkurse. Innerhalb der Elternkurse gibt es eine (per Vorlagenkurs zentral gepflegte) Standardstruktur mit wichtigen Dokumenten, Adress-Datenbank, Bücherlisten, uvm. Dieses Jahr testen wir z.B. erstmals ein Terminfindungstool in Moodle für Elterngespräche. Ein Webuntis-Export wird bei uns in Moodle eingebunden (als HTML-Seiten), so dass auch die Eltern Zugriff auf den Vertretungsplan haben (ohne im LDAP sein zu müssen oder die Kinder um die Passwörter zu bitten).

Ich denke auch, dass ein Einpflegen der Eltern in den LDAP nicht notwendig ist und viel Arbeit machen würde. Auf der anderen Seite sehe ich (bei geringen Kosten) enorme Chancen für die Einbindung der Eltern in die digitalen Strukturen der Schule. Ob Eltern da etwas „zu suchen haben“ ist wohl nicht zuletzt eine Frage der Schulkultur :slight_smile:

Dass eine Einbindung von Eltern/Mitarbeitern bei der LML nicht explizit vorgesehen ist (und es eben nur die flache, workaroundig wirkende Möglichkeit von Projekten und Extralisten gibt), fand ich schon vor vielen Jahren ein echtes Manko. Mit den immer mehr im Mittelpunkt stehenden Plattformen und den digitalen Endgeräten sowie unserem Weg, die Plattformen direkt mit Benutzern und Gruppen zu bespielen, verliert der LDAP/AD aber ohnehin an Bedeutung (während Linbo für die Gerätebespielung umso wichtiger wird - die Eltern staunen Jahr um Jahr, das wir es mit den paar Leuten hinbekommen, hunderte Geräte mit zwei Betriebssystemen auf aktuellem Stand zu halten).

Viele Grüße
Thomas

2 „Gefällt mir“
21

Hallo Thomas,
ich stimme Dir vollständig zu – die Kommunikation mit den Eltern wird zusehends wichtiger und sollte daher von vorne herein einheitlich und einfach organisiert sein. Der Weg, wie Ihr ihn über moodle realisiert habt, ist reizvoll – leider benötigt man für die REST-API ja doch div. Python-Kenntnisse, wenn man etwas ändern möchte.

Dass das LDAP/AD an Bedeutung verliert, kann ich übrigens nicht bestätigen – eher im Gegenteil: Die Dienste, die auf das AD zugreifen wollen, werden doch immer zahlreicher und es hat eher eine immer zentralere Rolle.

Die Möglichkeit von Projekten, mit denen man so eine Elterngruppe immerhin über den v7-Server abbilden könnte, sehe ich auch. Dazu hatte ich ja erst kürzlich auf den „Projekt-Manager“ verwiesen (ohne jedoch irgendeine Resonanz erhalten zu haben, was mich ehrlich gesagt wundert :thinking:).

Übrigens finde ich Deine Idee mit dem Vorlagenkurs, der schon soweit vorbereitet ist, dass da am Schuljahresanfang bereits die wichtigsten Dokumente/Links abgelegt sind, natürlich top!

Bei uns war es ja so, dass wir im letzten Schuljahr die REST-API nutzen konnten, weil wir einen Python-Kenner an Bord hatten. Das ist aber jetzt nicht mehr der Fall … so dass wir auf die CSV-Version zurückgefallen sind. Das ist natürlich nicht mal halb so elegant aber besser als nichts.

Viele Grüße,
Michael

22

Hallo zusammen,

auch bei uns spielt die LDAP-Anbindung inzwischen eine ganz zentrale Rolle.

Aktuell sind für Schüler und Lehrer folgende Systeme per LDAP an die lmn7 angebunden bzw. in Planung:

  • Moodle
  • pädagogische Cloud (Nextcloud für Lehrer und Schüler)
  • Lehrer-Cloud (eigene Nextcloud-Instanz nur für Lehrer)
  • Schulwiki/Schulportfolio
  • eigener BBB-Server (Greenlight wird ggf. bald deaktiviert und komplett durch App in Nextcloud ersetzt)
  • eigener Git-Server (gitea) für den Informatikunterricht
  • eigener JupyterHub für den Informatikunterricht

Die Benutzer können also mit einem einzigen Account auf alle Systeme zugreifen.

Im digitalen Zeitalter halte ich es für selbstverständlich, dass auch Eltern von Anfang an einen einzigen schulischen Account bekommen, mit dem sie auf die für sie relevanten Dienste zugreifen können. Die Frage, ob dieser in der lmn7 oder anderswo verortet sein sollte, kann man durchaus diskutieren. Solange einige Systeme (wie WebUntis) nur einen LDAP-Server erlauben, brächte eine Separierung aber zwangsläufig Nachteile.

Die von Euch ins Spiel gebrachten Optionen, Moodle oder den Projektmanager zu nutzen, werde ich mir nochmal genau ansehen. Vielen Dank für die rege Beteiligung an der Diskussion!

Beste Grüße
Matthias

23

Hallo Michael,

Was ich damit meinte, ist, dass unser LDAP/AD nur noch zur reinen Authentifizierung herhält (und das könnte auch ein anderer Dienst tun). Natürlich macht es grundsätzlich Sinn, dass es einen zentralen Anmeldedienst gibt.

Aber darüber hinaus sehe ich derzeit nicht, welche Vorteile uns ein Active Directory verschafft.

Viele Grüße
Thomas