OpenLDAP automatisch installieren und einrichten

Ich habe heu­te ein Script geschrie­ben, wel­ches OpenLDAP auf Debi­an­sys­te­men auto­ma­tisch instal­lie­ren und auch gleich für ppo­li­cy kon­fi­gu­rie­ren kann. Wer sowas schon­mal von Hand gemacht hat, weiß um die Schwie­rig­kei­ten. Es soll­te auf den meis­ten Debi­an­de­ri­va­ten funk­tio­nie­ren (ent­wi­ckelt habe ich auf stretch), ist aber leicht anpass­bar, da ich alle Ein­zel­schrit­te in Funk­tio­nen gepackt habe.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
#!/bin/bash
 
# globals
LDAPDB="mdb"
PASSWORD="test1234"
HOSTNAME=`hostname`
DOMAIN=`echo  $HOSTNAME | awk -v FS="." '{print $1}'`
TLD=`echo  $HOSTNAME | awk -v FS="." '{print $2}'`
PPOLICY_FILE="/etc/ldap/schema/ppolicy.ldif"
LOGFILE="debug.txt"
 
# basesetup()
# Installs slapd (openLDAP) unattended
# using debconf
 
basesetup() {
 
	PASS=$1
        HOST=$2
	DBTYPE=$3
 
	echo "Building LDAP-Roottree ...\n"
 
	export DEBIAN_FRONTEND=noninteractive
	echo -e " \
		slapd    slapd/internal/generated_adminpw    password   $PASS
		slapd    slapd/password2    password    $PASS
		slapd    slapd/internal/adminpw    password   $PASS
		slapd    slapd/password1    password    $PASS
		slapd	 slapd/backend: string	$DBTYPE
		slapd	 slapd/domain	string	$HOST
	" | debconf-set-selections
 
	apt-get install -y slapd ldap-utils
 
}
 
make_index() {
 
	echo "Adding index ...\n"
 
        echo -e " \
dn: olcDatabase={1}$LDAPDB,cn=config
changetype: modify
add: olcDbIndex
olcDbIndex: mail,givenName eq,subinitial
        " | ldapmodify -Y EXTERNAL -H ldapi:///
 
}
 
# configure_policy()
# installs: 	ppolicy-scheme
# 		ppolicy-module
# 		overlay
# 		ppolicycontext
# 		defaultpolicy
 
configure_policy() {
 
        echo "Setting temporary ACLs ..."
 
        echo -e " \
dn: olcDatabase={1}$LDAPDB,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" write by * none
        " | ldapmodify -Y EXTERNAL -H ldapi:///
 
	echo "Adding ppolicy-scheme ..."
 
	ldapadd -Q -Y EXTERNAL -H ldapi:/// -f $PPOLICY_FILE
 
        echo "Activating ppolicy-module ..."
 
        echo -e " \
dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: ppolicy.la
        " | ldapmodify -Y EXTERNAL -H ldapi:///
 
	/etc/init.d/slapd restart
 
        echo "Generating ppolicy-context ..."
 
        echo -e " \
dn: ou=policies,dc=$DOMAIN,dc=$TLD
objectClass: organizationalUnit
objectClass: top
ou: policies
        " | ldapadd -Q -Y EXTERNAL -H ldapi:///
 
        echo "Setting default policy ..."
 
        echo -e " \
dn: cn=default,ou=policies,dc=$DOMAIN,dc=$TLD
objectClass: top
objectClass: person
objectClass: pwdPolicy
cn: default
sn: default
pwdAllowUserChange: TRUE
# this don't work though documentation says it should
# pwdAttribute: userPassword
# So we use OID for workaround
pwdAttribute: 2.5.4.35
pwdInhistory: 3
pwdLockout: TRUE
pwdLockoutDuration: 1800
pwdMaxAge: 0
pwdMaxFailure: 3
pwdMinLength: 6
pwdMustChange: TRUE
pwdSafeModify: TRUE
# comment for syntax reason (trailing TAB here leads to syntax error when importing)
        " | ldapadd -Q -Y EXTERNAL -H ldapi:///
 
        echo "Generating overlay ..."
 
        echo -e " \
dn: olcOverlay=ppolicy,olcDatabase={1}$LDAPDB,cn=config
objectClass: olcOverlayConfig
objectClass: olcPPolicyConfig
olcOverlay: ppolicy
olcPPolicyDefault: cn=default,ou=policies,dc=$DOMAIN,dc=$TLD
olcPPolicyHashCleartext: FALSE
olcPPolicyUseLockout: FALSE
olcPPolicyForwardUpdates: FALSE
# comment for syntax reason (trailing TAB here leads to syntax error when importing)
        " | ldapadd -Q -Y EXTERNAL -H ldapi:///
 
}
 
# configure_tls()
# does:
#	generating of cert-authority
#	generating of certs for slapd
#	configuring of slapd for using tls
 
configure_tls() {
 
	echo
 
}
 
# toggle_acl()
# sets ACL back to save values after install
 
toggle_acl() {
 
	echo
 
}
 
# debug_output()
# dumps to file:
#	debconf values for slapd
#	complete Root-DN
#	complete cn=config
 
debug_output() {
 
	debconf-show slapd > $LOGFILE
	slapcat >> $LOGFILE
	ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config >> $LOGFILE
 
}
 
 
# cleanldap()
# Removes all of openLDAP
 
cleanldap() {
 
	apt-get remove -y slapd ldap-utils --purge
 
}
 
# main
 
basesetup $PASSWORD $HOSTNAME $LDAPDB
make_index
configure_policy
debug_output
cleanldap

Eigent­lich muss man oben nur ein ande­res Pass­wort set­zen und am Ende das „cleanldap“ aus­kom­men­tie­ren. Da das Gan­ze noch „Work in Pro­gress“ ist, feh­len noch eini­ge Funktionen:

  1. Kon­fi­gu­ra­ti­on für TLS
  2. Inte­gra­ti­on des freeradius-Schemas
  3. Ver­nünf­ti­ge ACLs nach Abschluss der Instal­la­ti­on setzen

Ja, ich ste­he in die­sem Jahr ziem­lich auf LDAP …

Lustige Portweiterleitungen

Unse­re Schul­home­page besitzt einen eige­nen Log­in­be­reich, für den wir ger­ne auch die Nutzername/Passwortwortkombination nut­zen woll­ten wie für den Schul­ser­ver. Meh­re­re unter­schied­li­che Zugän­ge sind in der Regel nut­zer­un­freund­lich und wer­den kaum akzeptiert.

Das ver­wen­de­te Joom­la! hat zum Glück eine Rei­he von Authen­ti­fi­zie­rungs­plugins, unter ande­rem LDAP, POP3, IMAP oder Kebe­ros. Am ein­fachs­ten geht es über IMAP, d.h. Joom­la! ver­sucht sich mit den Nut­zer­da­ten bei Mail­ser­ver des Schul­ser­vers ein­zu­log­gen und wenn das klappt, legt es einen neu­en Benut­zer­ac­count an, den es zukünf­tig immer extern authen­ti­fi­ziert. Dum­mer­wei­se klapp­te das bei uns nur über eine unver­schlüs­sel­te Ver­bin­dung zuver­läs­sig – also kei­ne sinn­vol­le Option.

Glück­li­cher­wei­se läuft unser Joom­la! auf einem VSer­ver, auf den wir Shell­zu­griff haben. Mit einem linux­ty­pi­schen Ein­zei­ler kann man den Mail­ser­ver­port durch einen ver­schlüs­sel­ten Kanal auf den VSer­ver tun­neln – bei uns:

ssh ‑R 1143:localhost:143 unprivileged@vserver.xy ‑N ‑T

Das sorgt dafür, das der unver­schlüs­sel­te Mail­ser­ver­port 143 auf dem VSer­ver unter der Port­num­mer 1143 erreich­bar ist.

Nor­ma­ler­wei­se wür­de nach die­sem Kom­man­do das Pass­wort des Benut­zer „unpri­vi­le­ged“ (der Nut­zer soll­te mög­lichst wenig Rech­te auf dem Ziel­ser­ver haben, wes­halb die Port­num­mer auch grö­ßer als 1024 sein muss) erfragt wer­den. Damit das nicht geschieht, ver­wen­den wir die Authen­ti­fi­zie­rung per Public-Key.

Unser Schul­ser­ver ist nur per VDSL an das Inter­net ange­bun­den und wird ein­mal täg­lich pro­vi­der­sei­tig vom Netz getrennt. Damit wür­de unser Tun­nel zusam­men­bre­chen. Damit das erkannt wird, läuft fol­gen­des Script per cron­job alle fünf Minuten:

#!/bin/bash
COUNT=‚ps aux | grep unpri­vi­le­ged | wc ‑l‚
if [ $COUNT ‑ge 2 ]; then
exit 0
else
ssh ‑R 1143:localhost:143 unprivileged@vserver.xy ‑N ‑T
fi

Die Varia­ble COUNT ent­hält die Aus­ga­be der Befehls­pipe zwi­schen den Back­ticks ‚. Wenn der Tun­nel offen ist, ent­hält die Aus­ga­be zwei Zei­len (den eigent­li­chen Tun­nel­pro­zess und den Such­pro­zess nach „unpri­vi­le­ged“). Wenn das so ist, tut das Script nichts, wenn nicht, star­tet es den Tun­nel ein­fach neu. Das Script muss mit Root­rech­ten lau­fen, da ein Port unter­halb von 1024 lokal ver­wen­det wird.

Auf die­se Wei­se kann man im Prin­zip jeden Dienst lokal auf einen VSer­ver wei­ter­lei­ten, z.B. auf den LDAP der Mus­ter­lö­sung aus Baden-Würt­tem­berg und muss dann kei­ne Klar­text­pass­wör­ter mehr durch die Gegend schicken.

Tablets in der Schule: Bitte (fast) keine Androids mehr!

Vorweg

Ich set­ze per­sön­lich kei­ne Tablets im Unter­richt oder mei­nen eige­nen Work­flow ein. Für mich per­sön­lich sind das Spiel­zeu­ge und kei­ne Arbeits­ge­rä­te. Mei­ne Fin­ger sind zu dick und unmotorisch.

Ich gestal­te mei­nen digi­ta­len Unter­richt aber so, dass das Gerät dafür kaum eine Rol­le spielt, wenn es zumin­dest einen Brow­ser und eini­ger­ma­ßen per­for­man­te Leis­tungs­da­ten zum Ren­dern von Web­in­hal­ten ver­fügt. Mei­ne Tools stel­len stan­dar­di­sier­te Schnitt­stel­len bereit, sodass hof­fent­lich jeder die App und das Gerät dafür nut­zen kann, die/das zu ihr/ihm passt.

App“ ist für mich ein ande­res Wort für „Pro­gramm, des­sen Ober­flä­che auf Touch­be­die­nung zuge­schnit­ten ist“. Damit sind Tablets natür­lich will­kom­men – es gibt ja ande­re Men­schen als mich mit ande­ren Vor­lie­ben und Präferenzen.

Was ich gar nicht mag, ist als Admin Son­der­lö­sun­gen bau­en zu müs­sen, weil ein Her­stel­ler meint, eige­ne „Stan­dards“ sei­en kun­den­freund­li­cher. Des­we­gen has­se ich aus Admi­nis­tra­to­ren­sicht spe­zi­ell Apple wie die Pest. So viel zum Rant.

Was man in der Schule von der Software eines Gerätes erwarten können muss

 

  1. Regel­mä­ßi­ge Betriebssystemupdates
  2. Regel­mä­ßi­ge Sicherheitsupdates
  3. Ver­läss­li­che Sand­bo­xes für Prüfungssituationen
  4. Ver­läss­li­ches, leicht zu bedie­nen­des MDM (Lösung zum Mana­gen der Gerä­te, wenn sie schul­ei­gen sind)

… über einen Zeit­raum von min­des­tens fünf Jah­ren. Ein Her­stel­ler, der das nicht bie­ten kann, hat nach mei­ner Mei­nung in der Schu­le bei schul­ei­ge­nen(!) Gerä­ten nichts verloren.

Damit fal­len (fast) alle Andro­id­ge­rä­te heraus.

Warum keine Androids?

Das Lizenz­mo­dell von Android ermög­licht erst die Her­stel­lung extrem güns­ti­ger Gerä­te. Die Quell­tex­te lie­gen offen, das Sys­tem lässt sich recht unauf­wän­dig an fast jede belie­bi­ge Hard­ware­um­ge­bung anpas­sen, d.h. als Her­stel­ler bin ich in der Wahl mei­ner CPU, mei­nes Gra­fik­pro­zes­sors usw. recht frei. Dar­aus ent­steht eine Viel­zahl an Pro­dukt­li­ni­en. Um das Sys­tem per­for­mant und schlank zu hal­ten, bricht man mit einem Grund­prin­zip von Linux, auf dem Android basiert: Dem gene­ri­schen System.

Ein gene­ri­sches Sys­tem läuft unver­än­dert auf sehr vie­len unter­schied­li­chen Umge­bun­gen: Ubun­tu kann ich auf fast jeden Rech­ner instal­lie­ren – Linux bringt die dafür erfor­der­li­chen Trei­ber gleich mit und erkennt z.B. Hard­ware beim Start vollautomatisch.

Ein gene­ri­sches Sys­tem kann dar­über­hin­aus zen­tral geup­datet wer­den – im Prin­zip läuft ja über­all das Glei­che. Lei­der schleppt natür­lich ein gene­ri­sches Sys­tem alles nur Denk­ba­re an Trei­bern mit sich und ist daher recht groß – das passt vor allem nicht zu güns­ti­ger Hardware.

Kurz gesagt: Bei Andro­iden muss der Her­stel­ler jedes Sicher­heits- und Funk­ti­ons­up­dates für alle sei­ne Pro­dukt­li­ni­en manu­ell ein­pfle­gen und sei­nen Kun­den z.B. als Betriebs­sys­tem­image bereit­stel­len. Das lohnt sich bei Gerä­ten wie Tablets und Han­dys mit ohne­hin meist kur­zer Ver­wen­dungs­zeit in der Regel nicht, sprich:

Die meis­ten Andro­id­ge­rä­te sind nach recht kur­zer Zeit sicher­heits­tech­nisch ein Debakel

Die ein­zi­ge ech­te Aus­nah­me, die ich dies­be­züg­lich ken­ne, ist die Nexus­se­rie von Goog­le selbst. Mei­ne Nexus­ta­blets der ers­ten Genera­ti­on erhal­ten bis heu­te zeit­nah Updates – schon fast vier Jah­re mittlerweile.

Man kann aus­wei­chen auf Com­mu­nities rund um Cya­no­gen­mod – Techi­es wie ich könn­ten das ggf.. – aber für Schu­len im All­ge­mei­nen ist das kei­ne Option.

In der Schu­le brau­che ich nach mei­nem Emp­fin­den Gerä­te, die min­des­tens drei, bes­ser fünf zuver­läs­sig lau­fen. Rea­lis­tisch fin­de ich eher einen Gerä­te­wech­sel nach drei Jah­ren, d.h. min­des­tens(!) drei Gerä­te pro Schul­lauf­bahn, denn schon heu­te wer­den die meis­ten Men­schen (auch und gera­de SuS!)  Gerä­te, die noch älter sind, auf­grund des tech­no­lo­gi­schen Wan­dels als unzu­mut­bar emp­fin­den – daher noch ein Seitenhieb:

Bei Kal­ku­la­tio­nen „Tablet preis­lich gegen Schul­buch / Taschen­rech­ner / Atlas“ ohne Ein­be­zug des tech­no­lo­gi­schen Wan­dels (Pro­duk­t­up­grade nach drei Jah­ren) wäre ich SEHR vor­sich­tig ob des rea­len Preis­vor­teils gegen­über heu­te – unser Wirt­schafts­sys­tem basiert nicht dar­auf, dass wir stän­dig weni­ger ausgeben.

 

iPads und Windowstablets 

Apple ist ein in sich geschlos­se­nes Sys­tem und Micro­soft macht den Her­stel­lern sei­ner Gerä­te recht rigi­de Vor­ga­ben, was die Hard­ware­aus­stat­tung angeht – im Prin­zip fah­ren die die gene­ri­sche Stra­te­gie des Linux­ker­nels. Damit ist die Sicher­heits­pro­ble­ma­tik in einem wesent­li­chen Kern­punkt ent­schärft, weil nicht der Her­stel­ler Updates bereit­stellt, son­dern eben Apple und Micro­soft und die­se Updates auch über die betriebs­sys­tem­ei­ge­nen Mecha­nis­men instal­lie­ren. Die damit ver­bun­de­ne Lang­fris­tig­keit macht den Ein­satz z.B. einer MDM-Lösung oder Klas­sen­raum­steue­rung erst beherrsch­bar: Wenn ich nicht andau­ernd ver­seuch­te Gerä­te wie­der­her­stel­len und neu in eine MDM-Lösung inte­grie­ren muss, wird die Bewäl­ti­gung des Arbeits­pen­sums mög­lich. Und gera­de Schul­ge­rä­te, die durch vie­le Hän­de gehen, sind gegen­über der­ar­ti­gen Drang­sa­lie­run­gen extrem gefähr­det. Selbst Apple hat mitt­ler­wei­le kapiert, dass ein 1:1‑Design eben nicht in eine 1:many-Umgebung passt und ent­wi­ckelt in die rich­ti­ge Rich­tung.

Nach­trag:

Etwas aus­führ­li­cher hat sich Andre­as Hof­mann mit der neu­en Initia­ti­ve von Apple beschäftigt.

 

Anfangsgenölewiederaufgriff

Mir ist völ­lig klar, dass mit der auto­ma­ti­schen Update­po­li­tik von Apple und gera­de auch Micro­soft auch sehr streit­ba­re Mecha­nis­men Ein­zug in die mobi­len Gerä­te hal­ten – vor allem vor dem Daten­schutz­hin­ter­grund. Mir wäre ein Ubun­tu-Touch auf frei­er Hard­ware ohne UEFI- und TPM-Mist bedeu­tend lieber.

Da wir aber im „Isn­um­mal­so­land“ leben, geht es um prag­ma­ti­sche Ansät­ze. Und da hat Apple schon auf­grund des App­an­ge­bot im Ver­gleich zu Micro­soft zur­zeit die Nase für vie­le Anwen­der halt vor­ne. Ich per­sön­lich fin­de das doof.

Viel­leicht fehlt es bei Andro­ids ein­fach auch nur an Dienst­leis­tern, die das Gan­ze z.B. mit Cya­no­gen­mod schlicht pro­fes­sio­na­li­sie­ren und Ser­vice­bund­les für drei bis fünf Jah­re anbieten.

Lernplattformen

Vorbemerkung:

Ich äuße­re hier mei­ne Sicht und mei­ne Mei­nung zum The­ma Lern­platt­for­men, die sich allein auf mei­nem per­sön­li­chen Erfah­rungs­wis­sen grün­det. Auch ich ken­ne Schu­len, an denen es mit einer Lern­platt­form gut läuft und auch ich den­ke, dass in bestimm­ten Kon­stel­la­tio­nen eine Lern­platt­form ggf. hilf­reich für Schul­ent­wick­lung sein kann.

Warum ich Lernplattformen sehr kritisch sehe

Lern­platt­for­men wie Mood­le, Comm­sy oder auch kom­mer­zi­el­le Vari­an­ten wie its­lear­ningWeb­wea­ver, Goog­le Class­room und iTu­nes U stel­len eine vir­tu­el­le Lern­um­ge­bung bereit.

Das Prin­zip ist fast immer gleich: Ein zen­tra­les Log­in ermög­licht Zugriff auf bestimm­te Funk­tio­nen, die sich grup­pie­ren und struk­tu­rie­ren las­sen, z.B. kann ich inner­halb von Mood­le soge­nann­te Kur­se anbie­ten, die diver­se Funk­tio­nen bereit­stel­len, etwa ein Forum, Arbeits­ma­te­ria­li­en, ein­ge­bet­te­te Medi­en, Online­tests u.v.m.. Die­se Kur­se kann ich tei­len, expor­tie­ren, wie­der­ver­wer­ten, gemein­sam mit ande­ren Lehr­kräf­ten ent­wi­ckeln. Dar­über­hin­aus wer­den zuneh­mend Kura­ti­ons­tools ein­ge­setzt, etwa bei iTu­nes U: Ich kann ähn­lich wie bei paper.li Web­in­hal­te auf einer spe­zi­el­len Sei­te zusam­men­stel­len – qua­si ein Web­quest auf multimedial.

Das hört sich erst­mal pri­ma an. Ich war in Deutsch­land lan­ge Zeit sehr aktiv in der Mood­le­sze­ne und hat­te als Bera­ter Zugriff auf zahl­rei­che Test­in­stal­la­tio­nen kom­mer­zi­el­ler Pro­duk­te. Ich bin kein Maß­stab, weil ich zen­tra­li­sier­te Din­ge für die Arbeit mit digi­ta­len Medi­en nicht mehr benö­ti­ge, aber kei­ne der Test­stel­lun­gen und kei­ne mei­ner Test­in­stal­la­tio­nen in den letz­ten Jah­ren hat mich in irgend­ei­ner Wei­se dazu gebracht, Spaß oder Freu­de bei der Arbeit mit dem jewei­li­gen Sys­tem zu empfinden.

Das ist ja auch nicht zwin­gend not­wen­dig, aber dazu kam, dass auch der für mich sehr typi­sche prag­ma­ti­sche Zugang auf kei­ner der Lern­platt­for­men mög­lich war: Sie kos­te­ten mich ein­fach nur Zeit durch die kom­pli­zier­te Bedie­nung, die vor­ge­ge­be­nen Struk­tu­ren, das oft haar­sträu­ben­de Datei­ma­nage­ment, die pro­prie­tä­ren Schnitt­stel­len – und ich hal­te mich selbst für einen mit­tel­mä­ßig begab­ten Anwen­der (das ist etwas völ­lig ande­res als ein Tech­ni­ker oder Admi­nis­tra­tor). Es gibt eine Rei­he von Wer­be­aus­sa­gen zu Lern­platt­for­men, die ich im Fol­gen­den ein­mal aufs Korn neh­men möchte:

1. Eine Lernplattform bietet schulweit einen geschützten Raum mit klar definierter Benutzerführung

Das stimmt von einem tech­no­lo­gi­schen Stand­punkt aus. Hypo­the­tisch bie­tet sie das. „Schul­weit“ bedeu­tet für mich, dass alle Lehr­kräf­te in die­se Platt­form ein­ge­wie­sen sind und regel­mä­ßig im Unter­richt mit ihr arbei­ten. Nur so ent­wi­ckeln sich Rou­ti­nen im All­tag. Tat­säch­lich höre ich von Schu­len, in denen Lern­platt­for­men „ein­ge­führt“ sind, ganz oft ganz ande­re Din­ge. „Schul­weit“ bedeu­tet in der Rea­li­tät oft genug „drei oder vier beson­ders akti­ve Lehr­kräf­te mit ihren Lerngruppen“.

Schul­weit“ ist eine Hal­tung, die schon vor­han­den sein muss, bevor eine Lern­platt­form ihr unter­stüt­zen­des Poten­ti­al über­haupt ent­wi­ckeln kann.

Ein­fach mal machen“ führt oft genug ledig­lich dazu, dass eine Lern­platt­form 1:1 die Struk­tu­ren an einer Schu­le abbil­det – somit ist sie für mich dann zwar ein tol­les Bera­tungs­in­stru­ment, aber oft genug sehr bald für die Schu­le selbst eine zusätz­li­che Belastung.

Man sieht das recht hübsch an den Dis­kus­sio­nen im deut­schen Forum auf moodle.org. Immer noch dre­hen sich gefühlt 90% der Fra­gen um Sper­ren, Ein­schrän­ken, Bewer­tungs­ras­ter fein­tu­nen und ähn­li­che Dinge.

Wenn ich ver­su­che, in Rich­tung  „schul­weit“ zu bera­ten, kommt selt­sa­mer­wei­se am Schluss oft eben nicht die Ent­schei­dung für eine Lern­platt­form dabei her­aus, son­dern erst­mal sowas in die Rich­tung wie Datei­aus­tausch, Ter­mi­ne, E‑Mail – also typi­sche Cloud­funk­tio­nen. Danach ent­wi­ckelt es sich oft eher von dem Grund­kon­strukt „Lern­platt­form“ weg.

2. Eine Lernplattform bietet erweiterte Möglichkeiten der Zusammenarbeit zwischen Lehrkräften durch z.B. Austausch von Materialien, Aufgabenstellungen und Medien

Das stimmt von einem tech­no­lo­gi­schen Stand­punkt aus. Hypo­the­tisch bie­tet sie das. Ich kann z.B. bestimm­te Struk­tu­ren expor­tie­ren und im nächs­ten Jahr wie­der­ver­wen­den. Wenn ich einen Kurs zum The­ma „Pro­gram­mie­ren mit Ardui­no“ erstellt habe, kann ich die­sen dar­über­hin­aus mit ande­ren Lehr­kräf­ten tei­len. Bei Mood­le kann ich sogar im glei­chen Kurs mit ver­schie­den Grup­pen gleich­zei­tig arbei­ten, ohne dass die­se Grup­pen sich gegen­sei­tig sehen. Ich kann das. Was ist mit mei­nem Kol­le­gen, der nicht ein­mal weiß, wie er das Bild des Note­books auf den Bea­mer bekommt? Der wird schon an der Anmel­dung und der Ein­rich­tung eines Kur­ses in Mood­le schei­tern – ande­re Sys­te­me sind da aber tat­säch­lich ent­schie­den intuitiver.

Wer dar­über­hin­aus schon ein­mal einen Kurs in einer Lern­platt­form gebaut hat, weiß, dass das oft Stun­den dau­ert – für mich völ­lig inef­fi­zi­ent. Zudem will ich ja gera­de nicht nur Inhal­te bereit­stel­len, son­dern ich möch­te mich z.B. im Fach Deutsch mit mei­nem Fach­wis­sen mit den von SuS erstell­ten Inhal­ten aus­ein­an­der­set­zen und sie selbst dar­über ins Gespräch bringen.

Wenn ich hin­ge­gen Inhal­te bereit­stel­len muss (z.B. im Fach Che­mie), dann tue ich das doch nicht auf einer pro­prie­tä­ren Lern­platt­form mit ihren für mich extremst ein­ge­schränk­ten Im- und Export­funk­tio­nen. Mei­ne Inhal­te sind für mich als Leh­rer eine essen­ti­el­le Res­sour­ce, mit der ich mich nicht an ein For­mat bin­den möch­te, was ich nicht selbst kon­trol­lie­ren kann. Wenn eine Schu­le z.B. jah­re­lang bei Anbie­ter x auf Lern­platt­form y gear­bei­tet und der Anbie­ter dann z.B. die Preis­struk­tur mas­siv ändert (das ist kein hypo­the­ti­sches Set­ting, son­dern das kommt vor!) – sage ich dann als Schu­le: „Och, jetzt ist zwar die Arbeit von Jah­ren im Sys­tem, aber den Preis, nö, den zah­le ich nicht und wechs­le jetzt zu Anbie­ter z!“

Mei­ner Mei­nung nach unter­schät­zen vie­le Anbie­ter genau die­sen Aspekt, weil er sel­ten so klar for­mu­liert wird, aber intui­tiv bei vie­len Lehr­kräf­ten eine sehr gro­ße Rol­le spielt. Dazu kommt die Angst, dass Mate­ria­li­en durch die digi­ta­le Prä­senz auf ein­mal auch beur­teil- und eva­lu­ier­bar wer­den. Das kann man kri­ti­sie­ren und doof fin­den. Die Angst bleibt trotzdem.

3. Eine Lernplattform ist ein zentrales Instrument zur Organisation von Kommunikationsprozessen an Schulen und schafft so Transparenz

Das stimmt von einem völ­lig ver­al­te­ten tech­no­lo­gi­schen Stand­punkt aus. Meist funk­tio­nie­ren Lern­platt­for­men so, dass man sich über eine Web­ober­flä­che ein­log­gen muss, um dann auf eine Art Dash­board zu kom­men, was alle rele­van­ten Infor­ma­tio­nen für mich anzeigt. Oder es gibt eine geson­der­te App für ein Mobil­ge­rät (Han­dy, Tablet), die das für mich erle­digt. In mei­ner Welt (und in der Welt der Mobil­ge­rä­te über­haupt) fin­det Daten­aus­tausch aber recht anders statt:

  • E‑Mail über imaps
  • Ter­mi­ne über CalDAVs
  • Datei­en über WebDAVs
  • Nach­rich­ten über XMPP (mit Ende-zu-Ende-Verschlüsselung)
  • Kon­takt­da­ten über CardDAVs
  • Inhal­te über XML
  • […]

Das sind alles offe­ne Protokolle/Formate, wie sie jeder von uns täg­lich nutzt ohne es zu wis­sen, weil irgend­ei­ne App das erle­digt, die wir ent­we­der vom Her­stel­ler des Betriebs­sys­tem über­neh­men oder aber selbst bestim­men. Her­stel­ler von Lern­platt­for­men nei­gen zum über­wie­gen­den Teil dazu, die­se offe­nen, frei­en und ver­schlüs­sel­ten Stan­dards durch irgend­et­was zu erset­zen, das nur zu ihrer jewei­li­gen Lern­platt­form passt.

Schlachtung meiner Thesen durch Anbieter

In der Kom­mu­ni­ka­ti­on mit Anbie­tern, wer­den der­ar­ti­ge The­sen von mir nicht geschlach­tet, son­dern in einer ganz bestimm­ten Art und Wei­se gekontert.

  • pro­prie­tä­re For­ma­te sind für die Kon­sis­tenz der Daten not­wen­dig. Zudem sind tech­nisch kei­ne über­grei­fen­den Aus­tausch­for­ma­te mög­lich (PS: Das XML-For­mat von Mood­le oder Wor­d­Press zeigt, dass das wohl schon irgend­wie geht)
  • die Schul­kul­tur, die zu der von mir gefor­der­ten „schulweit“-Lösung not­wen­dig ist, kann sich ja evo­lu­tio­när durch Unter­stüt­zung mit einer Lern­platt­form bil­den – ohne gin­ge es ja gar nicht – das sei ja gera­de die Ver­ant­wor­tung der Schu­le (PS: Da liegt der Kern der Arbeit, bei dem eine Lern­platt­form gera­de nicht unterstützt)
  • für die meis­ten Schu­len sind die durch Lern­platt­for­men gebo­te­nen Kom­mu­ni­ka­ti­ons­er­wei­te­run­gen schon Quan­ten­sprün­ge gegen­über der bis­he­ri­gen Kom­mu­ni­ka­ti­ons­kul­tur (PS: Die Sache wäre wesent­lich nie­der­schwel­li­ger zu bewerk­stel­li­gen ohne den Umweg über Weboberflächen)
  • Lern­platt­for­men las­sen sich durch Zusatz­tools her­vor­ra­gend ergän­zen und in ihren Mög­lich­kei­ten erwei­tern – Mood­le etwa durch das schü­ler­zen­trier­te Maha­ra (PS: Die Inte­gra­ti­on der dabei ent­ste­hen­den Inhal­te in die ursprüng­li­che Lern­platt­form ist dann meist eher recht rudi­men­tär implementiert)
  • Lern­platt­for­men haben als Mit­tel zur Orga­ni­sa­ti­on von instruk­ti­ven Lern­pro­zes­sen eine wich­ti­ge Rolle

Ich sehe das viel zu nega­tiv, weil ich immer mit der „Kun­den­bin­dungs­po­ten­ti­al­bril­le“ auf die ver­schie­de­nen Ange­bo­te schaue: Ein Anbie­ter ist auf Wert­schöp­fung ange­wie­sen – dar­an ist über­haupt nichts Verwerfliches.

Ich hal­te die Kun­den­bin­dung aber auch für ein Motiv, eben z.B. kei­ne anbie­ter­über­grei­fen­den Im- und Export­stan­dards zu imple­men­tie­ren – natür­lich wird das nie­mand so offen nach außen kommunizieren.

 

Wie soll man es denn sonst machen?

Das wäre eine eige­ner Arti­kel. Des­we­gen hier nur zwei Thesen:

  • Identity‑, Grup­pen- und Rol­len­ma­nage­ment gehö­ren nicht in eine Lern­platt­form, son­dern öffent­lich orga­ni­siert. Durch ACLs wird fest­ge­legt, was die Lern­platt­form (oder die jewei­li­ge Appli­ka­ti­on) lesen/sehen darf und was nicht und wel­che Rol­le wer wo im Sys­tem erhält.
  • Die zen­tra­le Ver­wal­tung des Iden­ti­ty­ma­nage­ments gibt jeder Lehr­kraft bzw. jeder Schu­le die Mög­lich­keit, die Tools ein­zu­set­zen, die sie für ihren Unter­richt für not­wen­dig hält: Lern­platt­form, Blog, Wiki, Video­kon­fe­renz­soft­ware – alles wer­den ledig­lich „Apps“, die dar­an anbind­bar sind – auf Knopf­druck instal­liert, mit Nut­zern befüllt.

PS: Das geht alles schon und ist auch schon so umge­setzt – aller­dings eher auf Firmenebene.

Netzneutralität und die Telekom

Weit­ge­hend unbe­ach­tet von vie­len Inter­net­nut­zern tobt im Hin­ter­grund gera­de ein Kampf zwi­schen Rechen­zen­trums­be­trei­bern und der deut­schen Tele­kom als größ­tem Anbie­ter von Internetanschlüssen.

Was ver­kauft die Telekom?

Die Tele­kom ver­kauft i.d.R. an Pri­vat­kun­den soge­nann­te asym­me­tri­sche Inter­net­zu­gän­ge, d.h. man kann z.B. Fil­me sehr schnell aus dem Netz strea­men, jedoch z.B. Fotos zu sei­nen Foto­dienst nur lang­sa­mer hoch­la­den, z.B. hat man bei VDSL50 einen Down­stream von 50Mbit/s und einen Upstream von 10Mbits/s. Bei den mobil­funk­ba­sier­ten Pro­duk­ten sieht das ähn­lich aus. Natur­ge­mäß laden die Tele­kom­kun­den damit mehr Daten aus dem Netz her­un­ter als herauf.

Das hat zu einen tech­ni­sche Grün­de, weil man so mehr Kun­den einen guten Down­load bie­ten kann, zum ande­ren auch einen stra­te­gi­schen: Wäre jeder Haus­halt gut sym­me­trisch an das Inter­net ange­bun­den, bestün­de irgend­wann kaum noch eine Not­wen­dig­keit, sei­ne Web­sei­te bei einem Pro­vi­der hos­ten zu las­sen und zudem wäre das eige­ne Netz dann sehr schnell voll mit angreif­ba­ren Ser­vern, die nicht pro­fes­sio­nell gewar­tet werden.

Wie kom­men die Daten aus dem Inter­net zur Telekom?

Net­ze ver­schie­de­ner Anbie­ter wer­den an bestimm­ten Stel­len über Kno­ten­punk­te gekop­pelt, damit z.B. Daten US-ame­ri­ka­ni­scher Anbie­ter wie You­Tube, Goog­le oder Micro­soft auch im Netz der Tele­kom ankom­men. Übli­cher­wei­se wer­den die Kno­ten ent­spre­chend des Bedar­fes der End­kun­den aus­ge­baut. Wenn mehr Men­schen z.B. HD- oder gar 4K-Inhal­te anschau­en möch­ten, muss einer­seits der­je­ni­ge, der die Fil­me anbie­tet, bes­ser an das übri­ge Inter­net ange­bun­den sein, ande­rer­seits muss der Kno­ten­punkt zur Tele­kom auch über aus­rei­chend Kapa­zi­tät ver­fü­gen – das Rohr muss also dick genug sein – das kos­tet Geld.

Und wo tobt jetzt der Kampf?

Die Tele­kom baut ihre Kno­ten­punk­te zu ande­ren Anbie­tern mitt­ler­wei­le nicht mehr dem Bedarf ent­spre­chend aus, z.B. zum Rechen­zen­trum von Hetz­ner, ein grö­ße­rer Play­er im deut­schen Rechen­zen­trums­markt. Ange­bo­te, die Hetz­ner gehos­tet sind, lau­fen damit gera­de zur Prime­time nur noch sehr lang­sam über die Telekomleitungen.

Die Tele­kom sagt: Jahaa! Wenn du Hetz­ner Daten per­for­mant zu uns schie­ben willst, dann musst du dafür extra bezah­len, so ein dickes Rohr kos­tet halt Geld! Bri­san­ter­wei­se lau­fen die ent­spre­chen­den Ange­bo­te der Tele­kom schnell durch die Lei­tun­gen (z.B. Enter­tain). Die meis­ten Rechen­zen­trums­be­trei­ber bezah­len anstands­los dann Geld an die Tele­kom und geben die Kos­ten an ihre Kun­den weiter.

Hetz­ner macht das auch, aber anders: Hetz­ner sagt dem Kun­den: „Wenn du Daten schnell zur Tele­kom schie­ben willst, zahlst du dafür einen Auf­preis, weil nur die Tele­kom so han­delt – alle ande­ren Anbie­ter bau­en ihre Kno­ten­punk­te ja aus!“ – Hetz­ner geht es nach eige­ner Aus­sa­ge dar­um, auf die Pro­ble­ma­tik der Poli­tik der Tele­kom auf­merk­sam zu machen und geht dabei auch das Risi­ko ein, Kun­den zu verlieren.

Mit Ange­bo­ten von You­Tube, Goog­le, Net­flix etc. macht die Tele­kom das nicht bzw. ist anzu­neh­men, dass da wohl für die „digi­ta­le Über­hol­spur“ auch Geld fließt. Die Tele­kom kas­siert damit dop­pelt: Ein­mal von den Kun­den für den Inter­net­an­schluss, der ohne unge­brems­ten Zugriff zum Inter­net ja irgend­wo blöd ist und zum zwei­ten von den Anbie­tern, die das Inter­net zu Inter­net und damit das Pro­dukt der Tele­kom zum Pro­dukt machen.

Die Tele­kom sagt: Jahaa, ihr Anbie­ter! Ihr lie­fert ja viel mehr Daten an unser Netz als wir an euer. Das ist kein Tei­len mehr, das ist Tran­sit.

Wir erin­nern uns an die­ser Stel­le dar­an, dass die Tele­kom asym­me­tri­schen Anschlüs­se ver­kauft. Und es wäre ja doof, wenn die tele­ko­m­ei­ge­nen Ange­bo­te dann super lau­fen, aber der Stea­ming­dienst aus Puse­muckel ruckelt. Für den Schlicht­kun­den ist dann klar: Dann kau­fe ich doch das Telekomprodukt!

Die Tele­kom sagt dann: Jahaa, du Strea­mings­dienst aus Puse­muckel, kannst ja extra zah­len! (nun­ja, sie haben es dann hin­ter­her ja gar nicht so gemeint …).

Die Pro­ble­ma­tik

Die Tele­kom bestimmt somit, wel­che Diens­te in ihrem Netz per­for­mant lau­fen und wel­che nicht. Das hat mit Netz­neu­tra­li­tät und frei­em Inter­net ganz wenig zu tun. Es sind die Kun­den der Tele­kom, wel­che Daten anfor­dern und die Tele­kom muss m.E. schau­en, wie sie da kos­ten­de­ckend arbei­tet. Da sie ihre End­kun­den nicht die Preis­er­hö­hun­gen ver­schre­cken will, ver­sucht sie es halt anders. Jeder soll­te sich über­le­gen, ob ein sol­ches Gebah­ren unter­stüt­zens­wert ist.

PS: Ich bin Hetz­ner- und Kabeldeutschlandkunde.

1 2 3 4 5 6 23