Beratung und Support Technische Plattform Support-Netz-Portal paedml stabil und zuverlässig vernetzen Verfahrensverzeichnis Anhang zu Anlage 4 zu 11 Verfahrensverzeichnis für die paedml Linux Stand 03.03.2015 paedml Linux Version: Version 6.x
Impressum Herausgeber Landesmedienzentrum Baden-Württemberg (LMZ) Support-Netz Rotenbergstraße 111 70190 Stuttgart Autoren ZEN Linux Endredaktion Roland Walter Bildnachweis Titelbilder: Thinkstock Weitere Informationen www.support-netz.de www.lmz-bw.de Änderungen und Irrtümer vorbehalten. Veröffentlicht: 2015 Landesmedienzentrum Baden-Württemberg
Inhaltsverzeichnis 1. Rollen- und Rechtekonzeption... 4 1.1 Rechte auf der Arbeitsstation... 4 1.2 Rechte auf dem Server... 4 1.2.1 Zugriffsrechte der Lehrkräfte... 4 1.2.2 Zugriffsrechte der Schüler... 4 1.2.3 Zugriffsrechte des Netzwerkberaters... 4 1.3 Zugriffsrechte auf Projekte... 4 1.4 Ferndiagnose und Fernwartung durch das LMZ Baden-Württemberg... 5 2. Speicherung personenbezogener Daten... 6 2.1 Zugangsdaten... 6 2.2 Daten, die im Verlauf der Nutzung der paedml entstehen... 6 2.2.1 Arbeitssitzungsdaten... 6 2.2.2 Webseitenaufrufe... 6 3. Sperr- und Löschfristen... 7 3.1 Zugangsdaten... 7 3.2 Nutzungsdaten... 7 4. Beschreibung der eingesetzten Software... 8
1. Rollen- und Rechtekonzeption In der paedml Linux gibt es die Nutzergruppen Schüler, Lehrer und Netzwerkberater. Zugang auf das Netzwerk haben alle Nutzergruppen. 1.1 Rechte auf der Arbeitsstation Normale Benutzer (Schüler und Lehrer) haben keine administrativen Berechtigungen auf der Arbeitsstation. Bei der Anmeldung wird ein lokales Benutzerprofil verwendet, das beim nächsten Neustart der Arbeitsstation gelöscht wird. 1.2 Rechte auf dem Server Die eigentliche Arbeit im Schulnetzwerk also die Ablage von Daten findet in Verzeichnissen auf dem Server statt. Nach der Anmeldung am Arbeitsrechner kann auf diese Verzeichnisse zugegriffen werden. Dabei haben die Nutzergruppen im Auslieferungszustand die im folgenden beschriebenen Rechte. 1.2.1 Zugriffsrechte der Lehrkräfte Lehrkräfte haben Zugriff auf ihr eigenes Heimatverzeichnis und auf die die Heimatverzeichnisse aller Schüler. Darüber hinaus haben Lehrkräfte Zugriff auf die Tauschverzeichnisse (Lehrertauschverzeichnis, Klassentauschverzeichnisse, Projekttauschverzeichnisse). 1.2.2 Zugriffsrechte der Schüler Schüler haben Zugriff auf das jeweils eigene Heimatverzeichnis sowie auf das Tauschverzeichnis der eigenen Klasse und auf Tauschverzeichnisse von Projekten, denen sie angehören. 1.2.3 Zugriffsrechte des Netzwerkberaters Der Netzwerkberater (Systemadministrator der Schule) hat alle Systemrechte. Er verwendet abhängig von seiner jeweiligen Tätigkeit am System einen vordefinierten Benutzer mit administrativer Rolle. Mit den Benutzern "root", "Administrator", "domadmin" und "netzwerkberater" können hierbei alle Daten auf den Schulservern eingesehen werden. Im Wartungsfall werden die administrativen Benutzerprofile auch vom jeweiligen Dienstleister verwendet. Sofern ein Client nicht neu gestartet wurde, können vom lokalen "Administrator" der Arbeitsplatzrechner auch darauf befindliche Benutzerprofile eingesehen werden. 1.3 Zugriffsrechte auf Projekte Auf die Projektverzeichnisse können nur Projektmitglieder und Projektleiter, sowie der Administrator zugreifen. paedml Linux / Version: Version 6.x / Verfahrensverzeichnis / Stand 03.03.2015 Seite 4
1.4 Ferndiagnose und Fernwartung durch das LMZ Baden- Württemberg Bei der Inanspruchnahme von Ferndiagnose (zur Fehlersuche) oder Fernwartung (zur Fehlerbehebung) durch das LMZ kann das Benutzerkonto remoteadmin verwendet werden. Das Passwort wird im User Help Desk (Anwenderunterstützung) der Abteilung Support-Netz des LMZ hinterlegt. Die Rechtevergabe an Dienstleister liegt im Ermessen des Netzwerkberaters. paedml Linux / Version: Version 6.x / Verfahrensverzeichnis / Stand 03.03.2015 Seite 5
2. Speicherung personenbezogener Daten Personenbezogene Daten werden von den Nutzergruppen Lehrer, Schüler und Netzwerkberater gespeichert und werden in Personalien, Arbeitssitzungsdaten und Webseitenaufrufe eingeteilt. Im Auslieferungszustand sind alle personenbezogenen Daten dem Netzwerkberater zugänglich. 2.1 Zugangsdaten Im Auslieferungszustand enthält die paedml keine personenbezogenen Daten. Diese Informationen können in einer Schüler- und Lehrerliste textbasiert gespeichert und in die paedml importiert werden. Die Benutzerdaten werden hierfür aus dem Schulverwaltungsprogramm übertragen und in das System eingelesen. Alternativ können Benutzer manuell über die Schulkonsole angelegt werden. Die Daten werden in einer Benutzerdatenbank auf dem Server gespeichert Folgende Personalien werden für die Erstellung der Benutzerprofile gespeichert: Lehrer: Nachname, Vorname, Geburtsdatum, Benutzername Schüler: Nachname, Vorname, Geburtsdatum, Benutzername, Klasse Netzwerkberater: Für diesen Benutzer existiert bereits ein Systemkonto, das frei von Personalien ist. 2.2 Daten, die im Verlauf der Nutzung der paedml entstehen Nutzungsdaten fallen bei allen Nutzergruppen bei der Durchführung bestimmter Aktionen im System an (An-/Abmelden und Webseitenaufrufe) und werden in Protokollen gespeichert. Diese Protokolle werden eingeteilt in die Gruppen Arbeitssitzungsdaten und Webseitenaufrufe (Intranet und Internet). 2.2.1 Arbeitssitzungsdaten alle Benutzer: Datum, Uhrzeit, Benutzername, An- oder Abmeldung, Rechneradresse 2.2.2 Webseitenaufrufe alle Benutzer: Datum, Uhrzeit, Webseite (URL), Benutzername, Rechneradresse paedml Linux / Version: Version 6.x / Verfahrensverzeichnis / Stand 03.03.2015 Seite 6
3. Sperr- und Löschfristen 3.1 Zugangsdaten Personalien, Benutzerdaten und persönliche Verzeichnisse von Nutzern, die nicht mehr zugangsberechtigt sind, müssen vom Netzwerkberater manuell gelöscht werden. 3.2 Nutzungsdaten Nutzungsdaten werden automatisch nach Ablauf der Löschfrist oder Erreichen des maximalen Datenvolumens gelöscht. Protokollgruppe Verzeichnis Dateiname Frist Arbeitssitzung /home/administrator/ logon.txt 30 Tage /var/log/ auth.log 30 Tage Intranet-Webseiten /var/log/apache2/ access.log 30 Tage other_vhosts_access.log error.log 30 Tage 30 Tage Internet-Webseiten /var/log/squid3/ access.log 30 Tage paedml Linux / Version: Version 6.x / Verfahrensverzeichnis / Stand 03.03.2015 Seite 7
4. Beschreibung der eingesetzten Software Die Server der paedml Linux 6.0 werden mit folgender Standardsoftware betrieben: paedml 6.0 Server Betriebssystem: Univention UCS 3.2-x basierend auf Debian GNU/Linux Version 6 Firewall Betriebssystem: pfsense Version 2.1.x basierend auf FreeBSD 8.3 paedml Linux / Version: Version 6.x / Verfahrensverzeichnis / Stand 03.03.2015 Seite 8
Landesmedienzentrum Baden-Württemberg (LMZ) Support Netz Rotenbergstraße 111 70190 Stuttgart Landesmedienzentrum Baden-Württemberg, 2015