Univention Bugzilla – Bug 44739
Redesign internet rules for WLAN access
Last modified: 2020-07-14 09:39:59 CEST
Sorry, in german ;-) Related to: Bug 32229 and Bug 44243 Die Internetregel-Mimik in UCS@school ist zwar technisch sehr flexibel aber für Kunden häufig recht schwer verständlich. Ganz speziell auch die Konfiguration des WLAN-Zugangs. Überhaupt erstmal zu verstehen, dass der WLAN-Zugang über Internetregeln gesteuert wird, wird leider häufig nicht verstanden. Darüber hinaus gibt es noch weitere Ungereimtheiten auf die ich gar nicht weiter eingehen möchte sondern direkt auf mögliche Verbesserungen. 1. Zielgruppen In UCS@school gibt es Schüler, Lehrer, Schuladmins die während der täglichen Arbeit mit dem WLAN-Zugang arbeiten müssen. Darüber hinaus gibt es Domänen Admins die auch hin und wieder an unterschiedlichen Schulen WLAN-Zugang benötigen. Außerdem gibt es Maschinenkonten. Im LDAP eigentlich nur schuleigene Geräte -> Geteilte Windows Desktops, geteilte iPads, Lehrerlaptops, Lehrer iPads 2. Zielszenario Schüler sollen in einem modernen Schulkonzept erstmal WLAN-Zugang erhalten. Lehrer sollen ihnen jedoch möglichst einfach den Zugang mindestens temporär abschalten können. Wichtig ist Klassenbasiert (Gruppenbasiert). Nutzerbasiert hat aus meiner Sicht erstmal nicht so die Priorität da diese Anforderungen bisher noch nie an mich herangetragen wurde. Lehrer sollen grundsätzlich immer WLAN-Zugang erhalten. Möglicherweise in wenigen Ausnahmefällen mal nicht. Schuladmins und Domänen Admins sollten grundsätzlich immer WLAN-Zugang erhalten. Maschinenkonten sollten standardmäßig WLAN-Zugang erhalten. Für geteilte Windows Desktops und geteilte iPads sollte es abschaltbar sein. 3. Ist-Zustand Derzeit gibt es Standardmäßig in UCS@school zwei Internetregeln. 1. "Kein Internet" bei der der WLAN-Zugang deaktiviert ist mit der Priorität "0 (niedrig)". 2. "Unbeschränkt" bei der der WLAN-Zugang deaktiviert ist mit der Priorität "0 (niedrig)". Warum bei der Regel 2. "Unbeschränkt" der WLAN-Zugang deaktiviert ist, verstand bisher noch keiner meiner Kunden. Selbst bei der Regel 1. gab es schon nachfragen weil der Zugang ja eigentlich aktiviert werden könnte aber dann der Proxy den Zugang verweigern müsste. Außerdem war den meisten Kunden nicht begreiflich warum Änderungen (WLAN-Zugang aktivieren) die an der Regel 2. "Unbeschränkt" durchgeführt wurden sich nicht auf die "-- Voreinstellungen (Unbeschränkt) --" auswirkten. Die Doppelung "Unbeschränkt" ist hier sehr unglücklich gewählt. 3. Lösungsmöglichkeiten Perspektivisch würde ich die Funktionalität WLAN-Zugang gerne in einem eigenen UMC-Modul sehen aber das könnte später umgesetzt werden. Meine hoffentlich etwas einfachere Idee für die Umsetzung wären folgende. 1. Es wird alles konfigurierbaren Internetregeln gelöst. Das heißt, es gibt keine "Voreinstellungen". Es gibt nur Internetregeln und die werden nach einem Standard den Benutzerrollen zugewiesen. 2. Diese Standardregeln heißen: "Internetregel SchülerInnen" "Internetregel LehrerInnnen" "Internetregeln Schuladmins" "Internetregel Domänen Administratoren" "Kein Internet" "Kein WLAN" "Unbeschränkt" Zur Internetregel SchülerInnen) Regeltyp = Sperrliste, Internet-Domänen = leer, WLAN-Authentifizierung aktiviert, Priorität = 0 (niedrig) Zur Internetregel LehrerInnen) Regeltyp = Sperrliste, Internet-Domänen = leer, WLAN-Authentifizierung aktiviert, Priorität = 0 (niedrig) Zur Internetregel Schuladmins) Regeltyp = Sperrliste, Internet-Domänen = leer, WLAN-Authentifizierung aktiviert, Priorität = 0 (niedrig) Zur Internetregel Domänen Administratoren) Regeltyp = Sperrliste, Internet-Domänen = leer, WLAN-Authentifizierung aktiviert, Priorität = 0 (niedrig) Zu Kein Internet) Regeltyp = Freigabeliste, Internet-Domänen = leer, WLAN-Authentifizierung deaktiviert, Priorität = 2 Zu Kein WLAN) Regeltyp = Freigabeliste, Internet-Domänen = leer, WLAN-Authentifizierung deaktiviert, Priorität = 2 Zu Unbeschränkt) Regeltyp = Sperrliste, Internet-Domänen = leer, WLAN-Authentifizierung aktiviert, Priorität = 1 Diese Internetregeln müssen nun den Rollen und Gerätenklassen standardmäßig zugewiesen werden: SchülerInnen = Internetregel SchülerInnen LehrerInnen = Internetregel LehrerInnen Schuladmins = Schuladmins Domänen Administratoren = Internetregel Domänen Administratoren Windows Hosts = Unbeschränkt Mac OS = Unbeschränkt Wobei beachtet werden sollte, dass das es standardmäßig vier "Klassen" in dem Modul "Internetregeln zuweisen" geben sollte: 1. Schuleigene Windows PCs 2. Schuleigene iPads 3. Lehrerrechner 4. Lehrer-iPads Alle Windows-PCs der Schule sollten automatisch in die Klasse "Schuleigene Windows PCs" und alle Mac OS Geräte in die Klasse "Schuleigene iPads" importiert werden. Dies ist aus meiner Sicht der einfachste Weg die Annahmen und Workflows der Zielgruppen abzubilden. Folgendermaßen könnten dann die Zielszenarien abgebildet werden: 1. Schüler sollen in einem modernen Schulkonzept erstmal WLAN-Zugang erhalten. = "Internetregel Schüler" = Prio 1 2. Lehrer sollen ihnen jedoch möglichst einfach den Zugang mindestens temporär abschalten können. Klassenbasiert (Gruppenbasiert). = "Kein WLAN" = Prio 2 3. Lehrer sollen grundsätzlich immer WLAN-Zugang erhalten. Möglicherweise in wenigen Ausnahmefällen mal nicht. = "Internetregel LehrerInnnen" 4. Schuladmins und Domänen Admins sollten grundsätzlich immer WLAN-Zugang erhalten. = "Internetregeln Schuladmins" & "Internetregel Domänen Administratoren" 5. Maschinenkonten sollten standardmäßig WLAN-Zugang erhalten. Für geteilte Windows Desktops und geteilte iPads sollte es abschaltbar sein. = Windows Hosts = Unbeschränkt & Mac OS = Unbeschränkt