wir betreuen eine gewerbliche Schule, die zu den Sommerferien auf linuxmuster.net wechselt. Weil die Schüler (und wohl auch manche Kollegen) ständig ihre Kennwörter vergessen, wird als zusätzliche Anforderung an die Lösung seitens der Schulleitung die Möglichkeit eines Self Service Password Resets (SSPR) gestellt. Also Benutzer sollen selbst ihr Kennwort zurücksetzen können. Die Schule hatte bislang auch schon ein entsprechendes WebPortal in Form einer eigenständigen virtuellen Appliance zu diesem Zweck. Allerdings wird das Prinzip der erforderlichen Sicherheitsfragen als zu umständlich (Es werden bei Einrichtung vier Fragen gestellt, bei Passwort vergessen müssen zwei richtig beantwortet werden) angesehen. Es gäbe auch die Möglichkeit das über ein One Time Password via SMS zu lösen, allerdings hatte die Schule bislang kein eigenes SMS Gateway. Leider kann man bei dieser Appliance auch keine zweite externe EMail-Adresse hinterlegen, an die im Bedarfsfall das neue Kennwort oder das OTP geschickt wird.
Kennt ihr evtl. brauchbare OpenSource-Lösungen die das können? Bzw. ist eine evtl. Integration sogar in linuxmuster.net geplant?
ich kann leider nur indirekt helfen:
es ist doch so: ist den Schülern (bzw. KollegInnen) klar, dass der Lehrer (bzw. Admin) die Passwörter resetten kann, vergessen sie die andauernd und die ersten 10 Minuten jeder Informatikstunde gehen dafür drauf.
Ich handhabe das daher so: nach Bekanntgabe der Erst- und Änderung in sichere eigene Passwörter gibt es noch 1 Woche lang einen „Freischuss“, danach „kostet“ es einen selbst(!)gebackenen Kuchen, der mit der gesamten Klasse verzehrt wird. Ergebnis: ich resette 1-3 Passwörter for free und den Rest des Jahres gibt’s leider meist keinen , max 1 Kuchen… Komisch, plötzlich können sie sich die Passwörter merken…
Ich denke, das ließe sich auf KollegInnen übertragen. Da braucht’s kein Self Service Password Rest oder wie auch immer.
die Idee, das Problem über „erzieherische Maßnahmen“ zu regeln, hatte ich der Schulleitung schon vorgeschlagen. Allerdings ist man dann in Zeiten des Fernunterichts zu dem Entschluss gekommen, dass es nicht Aufgabe der Fachlehrer bzw. Netzberater sein kann, ständig irgendwelche Kennwörter zurückzusetzen, so dass es ohne SSPR nicht geht.
Hier soll es wohl darum gehen, dass sichergestellt werden soll, dass die Schüler quasi zu jeder Zeit die Möglichkeit haben, sich an den Online-Diensten (Mail, Could-Services, Moodle, Webuntis und was die nicht alle haben) anzumelden und diese entsprechend der Vorgabe der Schule bzw. Aufgabenstellung zu nutzen, OHNE das es die Möglichkeit einer Ausrede gibt (Benutzername oder Kennwort vergessen).
Im Moment besteht für alle Benutzer der Schule die Möglichkeit die Kennwörter selbst zu verwalten.
Sprich Online-Passwort ändern, Benutzername anhand Nachname und falls notwendig Vorname und Geburtsdatum abfragen falls vergessen, Kennwort zurücksetzen falls vergessen, all das funktioniert.
ABER, um sein Kennwort im Falle des Vergessen zurück setzen zu können, man muss halt die Sicherheitsfragen einrichten und das scheint zuviel verlangt zu sein.
Man will eine (möglichst kostenfreie) Lösung für das Problem haben, bei der man zusätzlich zur Schulemail, eine externe Mailadresse (web.de, gmail, gmx, eigene-mail-domain…) einrichten kann, an die im Bedarfsfall das neue Kennwort geschickt wird.
Daher meine Frage an euch, ob ihr sowas kennt, irgendwo im Einsatz habt oder ggf. es sogar in die Lösung integrieren wollt.
ich kenne leider keine Lösung, die das bietet aber prinzipiell sollte so was ja auch mit linuxmuster.net umsetzbar und z.B. in die Anmeldeprozedur der Schulkonsole integrierbar sein. Um in Zeiten von Corona/Fernunterricht auch von zu Hause das Passwort ändern zu können, müsste die Schulkonsole aber auch aus dem Internet erreichbar gemacht werden. Letzteres kann ja jetzt schon leicht umgesetzt werden, wenn man das denn möchte (prinzipiell eine wichtige Frage, da mach ich gleich nen extra Thread dazu auf).
Ich bin allerdings kein Entwickler. Ich denke, das Beste wird sein, Du erstellst einen Feature Request auf Github.
Würde uns allen ja die Arbeit erleichtern, auch wenn ich dann auf den ein oder anderen Kuchen verzichten müsste
das muss noch nichtmal über die Schulkonsole laufen. Die würde ich auch nicht im Internet veröffentlichen. In der jetzigen Lösung wird dies auch über eine eigenständige Appliance gelöst. Benutzerinformationen werden über LDAPS vom Verzeichnisdienst abgerufen. Problem an dieser Lösung ist: Es werden alle Benutzerinformationen ausschließlich über LDAP abgefragt. Sie bietet keine Möglichkeit eine zusätzliche externe EMail-Adresse für das entsprechende LDAP-Konto anzulegen. Es gibt aber Lösungen die das können. Die sind aber kostenpflichtig ($1,50 proUser/proMonat) und dass wären dann mal eben ca. $2300 Lizenzgebühren monatlich an der Schule. Die jetzige Lösung ist an sich auch nicht kostenfrei, aber Bestandteil der Serversuite, welche die Schule bislang noch im Einsatz hat, also eben bereits mitbezahlt.
Wenns sowas für lmn7 z.B. als Dockercontainer gäbe…das wäre der Clou. Oder falls nicht…evtl. kennt ja jemand was Brauchbares.
okay, ich hab die SSPR heute mal getestet und mit der habe ich aber das gleiche Problem wie mit der bestehenden SSPR. Passwort-Reset per EMail funktioniert auch nur mit der im LDAP hinterlegten PRIMÄREN EMail-Adresse und das wäre im Zweifel die Schul-Email, auf die man nicht mehr zugreifen kann, weil man das Kennwort nicht mehr kennt. Das bringt also nur dann was, wenn man noch in irgendeiner Form Zugriff aufs Mail-Konto hat. Natürlich kann man auch nicht einstellen, dass man das Kennwort eine x-beliebige Adresse sendet. Das ist schon mal gut. Aber auch hier fehlt die Möglichkeit eine sekundäre EMail, die man irgendwie mit dem LDAP-Account alloziieren kann, einzurichten, an die dann das Recovery-Passwort, bzw. der Link geschickt wird.
Entweder bräuchte man ein zusätzliches LDAP-Attribut (z.B. secondary-EMail), oder eine zusätzliche Datenbank in der die zweite EMail mit dem LDAP-Account alloziiert wird und die der Benutzer selbst hinzufügen kann. Quasi so…ich werde bei Moodle über LDAP automatisch als Benutzer angelegt und kann da zusätzlich noch meine private EMail-Adresse hinterlegen, damit ich die Schul-Email nicht nutzen muss, weil ich das aus irgendeinem Grund doof finde (auch der Prozentsatz der LEHRKRÄFTE, die EMails an ihr EMail-Schulkonto an ihre private EMail weiterleiten, ist erschreckend hoch).
Also, die vorgeschlagene SSPR ist nicht schlecht, aber genau das oben genannte Feature bietet sie nicht. Das will die Schulleitung aber mit dem Argument „Ja, auf der Webseite xy, hab ich mich registriert und da geht das auch, wenn ich einfach auf Passwort vergessen klicke“ genau so haben. Ist ja nicht so, dass ich mir das aus den Fingern sauge…
Also, die vorgeschlagene SSPR ist nicht schlecht, aber genau das oben
genannte Feature bietet sie nicht. Das will die Schulleitung aber mit
dem Argument „Ja, auf der Webseite xy, hab ich mich registriert und da
geht das auch, wenn ich einfach auf Passwort vergessen klicke“ genau so
haben.
das ist ein sehr unfairer Vergleich, da die Webseite beim Registrieren
eine email ADresse abfrägt: und an die geht dann die Passwortändern mail.
In der Schule haben wir aber nicht „eine Webseite“ sondern ein sehr
vielschichtiges Netz mit vielen Diensten.
Wenn dann die email Adresse, die von der Einrichtung vergeben wird nicht
„die richtige“ ist … was soll man da machen?
Der einzige Weg wäre, wie du schon sagst: ein zweites Feld im LDAP.
Da sind bestimmt noch ein paar frei: aber die Nutzer müßten es ja selber
befüllen: also müßte es in der WebUI eine Möglichkeit dazu geben.
Das dürfte kein Hexenwerk sein, wenn wir erstmal von Rüdiger ein Feld
zugewiesen bekommen haben.
insofern würde ich das ganze mal als Featurerequest an sehen.
Aber für was? Für die WebUI?
Aber dann müsste auf alle Fälle sicher gestellt sein, dass User einen Eintrag gemacht haben. Am besten Deutlicher Hinweis in der Schulkonsole, dass noch keine Notfall-Adresse eingetragen ist!
Hintergrund: Die Mehrheit macht es nämlich nicht, ich alter Zweifler, und dann kommen vermehrt Anfragen bzgl das geht ja gar nicht mit dem „Passwort vergessen“-Button.
Vielleicht wäre es sogar möglich unsere lieben User zu „zwingen“ in dem sich beim ersten Einloggen die WebUI automatisch öffnet.
kann man überhaupt einen Schülern zwingen, eine private Emailadresse zu geben ?
haben tatsächlich alle Schüler überhaupt eine private Emailadresse ?
sind alle Schülern mindestens einmal vor die Schulkonsole wenn sie in die Schule kommen ?
Man kann relativ schnell ein Feld dafür in die Webui hinfügen, aber das Konzept, was hinter steckt sehe ich schwieriger aufzubauen, das soll man gut überlegen.
Das sehe ich auch so, darum auch meinen Einwand. Wenn es einen Knopf „Password vergessen“ gibt, dann muss der auch immer zu einem Resultat führen. Es bringt dem Admin nur Arbeit, wenn das nicht für alle User funktioniert. In dem gewünschten Fall wäre eine zweite Mail-Adresse Voraussetzung und somit in meinen Augen fehlerträchtig.
Das sehe ich auch so, darum auch meinen Einwand. Wenn es einen Knopf
„Password vergessen“ gibt, dann muss der auch immer zu einem Resultat
führen. Es bringt dem Admin nur Arbeit, wenn das nicht für alle User
funktioniert. In dem gewünschten Fall wäre eine zweite Mail-Adresse
Voraussetzung und somit in meinen Augen fehlerträchtig.
mit jeder neuen Funktion bringen wird uns Fehlerquellen ins Haus.
Was die vorhaben ist komplex: wenn sie meinen dass das einfach und
robust umsetzbar sein könnte, dann haben sie da eine falsche Vorstellung.
Wir stellen die gewünschte Funktionalität bereit: ein zweites Mailfeld
im LDAP und eine Möglichkeit dieses durch die Nutzer selbst in der WebUI
zu füllen.
Der Rest ist das Problem der Schule… die müssen das halt schulen: da
können wir herzlich wenig machen.
Deine Zwangslösung (erstes Einloggen in der WebUI) behebt nicht das
Problem, dass Schüler in der 5ten Klasse keine eigenen email Adressen
haben und die der Eltern nicht auswendig kennen: die
Rücksetzmailadressen müssen also sowiso im laufenden Betrieb rein wandern.
Wart es nur ab: irgendwann kommt eine Schule, die das per SMS haben will…
Ich hab 1600 Nutzer: andauernd vergisst einer sein Passwort (… der Hund
hat den Zettel gefressen … ihr kennt das).
Wir haben eine gute Lösung: jeder Lehrer kann das Passwort eines
Schülers setzen.
Ja, das hat bei mir auch eine ganze Weile gedauert, bis das das
Kollegium durchdrungen hat: ich habe bestimmt 3 Jahre lang immer mal
wieder Schüler wegschicken müssen, die ein neues Passwort haben wollten:
ihr Lehrer hatte sie zu mir geschickt und ich habe sie zurück geschickt.
Das muss man halt mal machen, dann klappt unser System ganz wunderbar.
Dazu ist die Schule die Thomas betreut halt nicht bereit: also lassen
sie von einem Dienstleister eine Extrawurst bauen: ist ja OK: können sie
ja machen.
Ich bin halt kein Freund von „alles ist technisch lösbar“, manchmal sag
ich auch: der technische Aufwand ist zu hoch: lasst uns das mit anderen
Mitteln lösen.
Manchmal gibt es keine 100%ige Lösung … ich kann damit leben.
In der Coronazeit hab ich insgesammt 15 Passwörter setzen müssen, weil
die Kollegen ja nicht mehr an die WebUI kamen … damit kann ich leben.
aktuell haben die noch eine ganz andere Lösung. Leider gibts in dieser LDAP-Struktur das Feld zusätzliche EMail oder so nicht. Und ich will da jetzt auch nicht in der eDirectory rumfummeln, da die Lösung ohnehin gegen die Limu7 abgelöst wird.
Und ja…im Prinzip wäre ein zweites Feld für die zusätzliche email-Adresse genau das Richtige. Am Besten gleich beim Benutzerimport per csv mit ausfüllen :).
Natürlich kann man über Sinn und Zweck der SSPR nachdenken und ob man das alles technisch lösen muss. Im Wesentlichen hängt das mit dem Profil der Schule zusammen, an der u.a. Informationstechnologie, E-Technik und Automatisierungstechnologie, Microcontroller, Robotik und Netzwerktechnik unterrichtet wird. Die haben eben auch eine komplette Industrie 4.0 Fertigungsstraße usw.
Daher will die Schule natürlich auch in allem was ihre eigenen it-Dienste angeht, weit vorn sein. Natürlich sind dies Anforderungen, die nicht jetzt Schule braucht.
Aber aus Sicht der Schulleitung benötigt man als technische Schule auch eine technische Lösung für das Problem.
Im Prinzip will man einen Riegel vor die Ausrede schieben „Ich konnte dies und jenes nicht machen, weil ich mein Passwort, Benutzernamen oder beides vergessen habe und mir konnte keiner helfen…“ Mit der SSPR kann man halt sagen -> Damit kannst du deine Kontodaten im Falle des Vergessens verwalten und ggf. selbst wiederherstellen. Wenn du das nicht nutzt und deswegen keine Ergebnisse zu den gestellten Aufgaben vorliegen, wird das Nicht-Leistung gewertet.
Wie gesagt, ein zusätzliches Feld für eine zweite EMail-Adresse würde schon reichen.
Vielen Dank an alle soweit erstmal. Ich weiß die Anforderungen sind „speziell“, aber an der Schule ist so gut wie nichts Standard.
Die Möglichkeit per SMS gibts auch…man braucht dann ein entsprechendes SMS-Gateway.
Man könnte auch eine Kombination aus Challenges (also Sicherheitsfragen), EMail-Token und SMS One-TimePassword machen. Oder optional, wie man will.
Bei den SSPR-Lösungen die ich jetzt aus der Praxis kenne, muss aber auch die Telefonnummer für SMS-Wiederherstellung aus dem LDAP abrufbar sein.
Wie gesagt, ein zusätzliches Feld für eine zweite EMail-Adresse würde
schon reichen.
das Feld gibt es schon: dieses zugänglich zu machen für die Nutzer in
der WebUI wird kein Problem: allerdings steht bei den Entwicklern erst
mal auf der Roadmap den Zugang für Schüler zur WebUI um zu stellen.
Wenn das getan ist, dann integrieren sie das Feld auch in die WebUI.
Die WebUI mit geändertem Schülerzugang ist derzeit im Testing.
Vielen Dank an alle soweit erstmal. Ich weiß die Anforderungen sind
„speziell“, aber an der Schule ist so gut wie nichts Standard.
ich find es ja super, dass sich ein Dienstleister so einem Fall annimmt
, max 1 Kuchen… Komisch, plötzlich können sie sich die Passwörter merken…
