Wir würden bei uns gerne aus dem Internet auf die Schulkonsole zugreifen.
Bisher machen wir es per SSH Tunnel, aber das ist uns auf Dauer (und für nicht Profis) zu umständlich.
Ich würde die Schulkonsole gerne einfach über eine Subdomain (z.B: verwaltung.xvz.de) ins Netz stellen, habe aber recht viel über Sicherheitsprobleme bei Ajenti gelesen:
Deshalb meine Frage:
Ist es sicher, die Schulkonsole „einfach so“ ins Internet zu öffnen? Habt ihr Erfahrungen damit?
Falls es tatsächlich problematisch sein sollte, werde ich vermutlich einen reverse Proxy davor schalten, der zuerst per HTTP basic die LDAP Anmeldedaten abfragt, das sollte aus meiner Sicht sicher sein, oder?
Die CVS sind alt, hatte ich damals nachgeschaut, muss ich wieder überprüfen mit den neuen Versionen, aber für LMN nuzten wir sowieso einen anderen Auth Backend.
Issue 1306 kann man vergessen, das betrifft uns gar nicht.
Allgemein ist die Frage Schulkonsole im Internet hier im Forum relativ umstritten, und das ist einen Punkt der wir im Entwicklerkreis noch klären müssen.
Die Hauptfrage in deinem Fall ist : wofür ? ( brauchst auch nicht hier antworten die Frage ist nur für dich ).
Es gibt kein 100% im Sicherheit ( s. Solarwinds ), das ist nicht möglich, aber mit einem Auth Proxy wächst auf jedem deine Sicherheit.
Allgemein ist die Frage Schulkonsole im Internet hier im Forum relativ
umstritten,
ja
Ich gehöre zur Fraktion „lieber nicht“.
Die Hauptfrage in deinem Fall ist : wofür ? ( brauchst auch nicht hier
antworten die Frage ist nur für dich ).
ich nehme an, es geht um das Passwortändern.
Ich kann verstehen dass das in Distanzzeiten ein wünschenswertes Feature
ist.
Es gibt kein 100% im Sicherheit ( s. Solarwinds ), das ist nicht
möglich, aber mit einem Auth Proxy wächst auf jedem deine Sicherheit.
ja: das mit dem auth vor der Seite hilft erstmal gegen Böswillige Fremde.
Aber vergiss nicht die User die anderen „einen Streich“ spielen wollen
(in manchen Fällen ist das eher verharmlost).
Wenn der Peter aus der 9ten den Zettel vom Max aus der 5ten gefunden hat
und das Passswort ändert… ober Abgaben in dessen Namen tätigt (sollte
ja mit dem Hochladen Knopf in der WebUI auch von Zuhause aus gehen).
Es ist natürlich viel mehr Denkbar.
Ich hab es in Zeiten geschlossener Schulen so gemacht, dass mir NUtzer,
die das Passwort „vergessen“ hatten, sich an mich wenden mußten.
Entweder sie schickten mir eine Mail mit einer Mobilfunknummer (für das
Passwort) oder ich hinterlegte es im Sekretariat und sie konnten es dort
per Anruf abrufen.
Das hat so geklappt.
Ca. 15 mal mußte ich aktiv werden für ein „verlorenes“ Passwort.
Ich hab 1300 Schüler.
Nein, bei und geht es um die Userverwaltung. (Passwortänderung machen wir mit Keycloak)
Das soll bei uns nämlich vom Vorstand in den Vorstandssitzungen geregelt werden und die finden immer von zu Hause statt.
Das ist ein guter Punkt, das kann ich aber mit dem Auth Proxy verhindern, indem ich nur Nutzer zulasse, die im Projekt p_vorstand sind
das ist eine sensationelle Quote, zumal bei dir ja auch die RS dran hängt.
Bei mir ohne LDAP, also für Moodle und Webuntis (ok, habt ihr nicht) getrennte Zugangsdaten, waren es eher anfangs 15 und später 1-5 pro Tag.
Leider nicht nur auf die WRS scheinbar, wobei wir dort nicht wenige SuS haben, die schon überfordert sind, ihren Benutzernamen und Passwort richtig aus dem Schulplaner, wo man es ihnen rein geschrieben hat, abzutippen.
Über „Zugangsdaten schreibt man nicht unverschlüsselt auf“ braucht man da gar nicht anfangen zu reden.
Und um ehrlich zu sein, habe ich angesichts der Menge die Passwörter auch per Mail verschickt, wenn die SuS auch in den verschlüsselten Untis-Messenger nicht mehr rein kamen (sonst habe ich es ihnen dort geschickt.
Mir ist klar, dass das der Erziehung zu sicherem Umgang mit Zugangsdaten entgegen steht, wenn man Passwörter per Mail verschickt (und diese auch praktisch in falsche Hände kommen könnten, z.B. indem sich jemand als wer anderes ausgibt), aber wie gesagt, das war anders nicht bewältigt, da ich eigentlich meine Zeit für den Fernunterricht und dessen Vor- und Nachbereitung gebraucht habe.
Ca. 15 mal mußte ich aktiv werden für ein „verlorenes“ Passwort.
Ich hab 1300 Schüler.
das ist eine sensationelle Quote, zumal bei dir ja auch die RS dran hängt.
… Realschüler sind nicht doofer als Gymnasiasten (ich muß es wissen:
ich bin ja selber Realschüler gewesen ).
Dass das bei uns so war lag wohl daran, dass in moodle seit ca. 10
Jahren der Vertretungsplan „aushängt“: es also schon seit langem ein
großes eigenes (oder manchmal das der Eltern) Interesse gab da ran zu
kommen
dass Realschüler per se „dümmer“ sind als Gymnasiasten, halte ich auch für Blödsinn. Und dennoch muss man sagen: Deine Zeit als Realschüler kannst du mit heute nicht mehr vergleichen
Da gab es schon eine enorme Verschiebung: wer früher mal Förderschulen besucht hat, ist heute zumeist in der WRS, und wer früher in der WRS war, in der RS.
um mich mal zu outen. Ich bin Hauptschüler mit zwei Kurzschuljahren und war von der Klasse 1 - 8 immer mit zwei Jahrgängen in einem Unterrichtsaum. Erst in Klasse 9 war ich nur mit meinem Jahrgang in einem Klassenraum.
Wenn ich dann lese, dass Jugendliche durch Corona für ihr Leben geschädigt werden, weil mal etwas Unterricht aus fiel, dann kann ich nur müde lächeln .
.