BBB

Big Blue Button (BBB) ist eine Webkonferenz Lösung, die sich für den Edu-Markt selbst empfiehlt, auch weil sie eine Moodle Integration mitbringt. Da ich selbst Apache Open Meeting regelmäßiger verwende, wollte ich mir BBB einmal genauer ansehen. Außerdem: BBB soll – so klingt aus aus dem grapevine –  Teil der DBP werden, was mich fast so weit brachte, das selbst zu installieren. Eine VM hätte ich noch frei gehabt und die Installation ist kein Hexenwerk. Dankenswerter Weise hatte Andreas ein paar Stunden früher als ich die genau gleiche Motivation und dessen Installation nutzten wir vorgestern für einen Testlauf.

Erster Eindruck: Flash! Ich kann das einerseits verstehen, dass man auf Flash setzt, weil es Mikrofon und Webcam brav durchreicht. Aber Flash ist tot. Flash läuft nicht überall (z.B. auf Apple nicht). Flash ist nicht nur gefühlt eine Sammlung an Sicherheitslücken. Flash ist old school. “Brückentechnologie”. Bis die richtige Lösung kommt (HTML5 und WebRTC) könnte man jedoch damit leben.

Ebenfalls Teil des ersten Eindrucks: Java! Um den eigenen Bildschirm teilen zu können, muss ein nicht signiertes Java Applet zuerst herunter geladen und dann lokal gestartet werden. Das lässt nicht jeder Rechner einfach so zu, läuft dafür aber auch mit openJDK und damit ohne Oracle.

Zweiter Eindruck: Fummelig, kontraintuitiv, 19. Jh. Ich kann eine PDF hochladen und die kann man gemeinsam ansehen. Ich kann auch darin rummalen. Aber ich kann das Gemalte nicht speichern. Ich kann nicht richtig bearbeiten, was ich gerade gezeichnet habe. Eigentlich kann ich nur eine Präsentation ablaufen lassen und dabei reden. Das ist ein wenig wie lächeln und winken. Meine Zuhörer sehen mich und können, wenn ich das zulasse, Rückfragen stellen. Ich kann auf die Schnelle kleine Tests / Rückfragen einbauen, die diese mit einem Klick abnicken. Speichern kann ich die Ergebnisse nicht und auch nicht zuordnen. Frontalunterricht mit schicki klicki Optionen. Dabei muss ich die Augen permanent überall haben: Links oben gucken, ob sich jemand meldet oder seine “Laune” ändert, rechts gucken, ob einer chattet oder dort eine Frage stellt, in der Mitte auf meine Präsentation gucken, zeichnen, texten und präsentieren und bei alledem in der Webcam nicht komplett doof aussehen (besonders schwer). Das geht mit drei bis vier disziplinierten Leuten noch glatt … und endet mit vielen SuS sicherlich im Chaos.

Dritter Eindruck: Dumbo Explorer. Es scheint keine ACLs für den Upload-Ordner zu geben und vor allem keine Möglichkeit, Unterordner anzulegen. Die PDF, die ich hochlade, gehört danach jedem. Das wird an einer Schule (also in der DBP) innerhalb kurzer Zeit zu komplett unübersichtlichen Chaosverzeichnissen führen. Im dümmsten Fall führt es zu urheber- und datenschutzrechtlichen Problemen.

Gesamteindruck: Insgesamt “nett”, wenn auch in vielen alltagskritischen Details weniger durchdacht als Apache Open Meeting.

  • Evtl. ist BBB für Kleinstgruppen mit klarer Hierarchie in einer nachhilfe-ähnlichen Situation zu gebrauchen, bei der man gemeinsam aber angeleitet in einen PDF-Scan des Schulbuches blickt?
  • Oder BBB ist geeignet für ein Screensharing-Setting, bei dem einer am gemeinsamen Dokument in der nextCloud arbeitet und die anderen helfen bei den Formulierungen etc.
  • Oder BBB ist geeignet für eine kleine, sehr disziplinierte Arbeitsgruppe, die ihre Arbeit mit Screenshots sichert (wer will das?) und hinterher ihre Dokumente aufräumt (digitales Tafelwischen).
  • Oder BBB ist geeignet für Nerds, die z.B. noch kurz ein Wiki im parallel laufenden Moodle dazu werfen, weil der Chat in BBB nicht ausreicht, die sich im nextCloud mit Collabora – am besten auf einem zweiten Bildschirm – ein Dokument gemeinsam vornehmen können.
  • Oder BBB ist eine PR-Lösung: Ein Spielzeug für ein paar Menschen, die gerne Arbeitszeit und Geld öffentlich verbrennen, weil es in der Elternschaft bei einer Demo cool ankommt. Dann wäre es ein Tool für die, die nicht fit genug sind, die Vielzahl an höher spezialisierten, dafür weitaus mächtigeren Werkzeugen zu bedienen.

Wenn ich mir das so durch den Kopf gehen lasse, dann finde ich für BBB als Webkonferenzsystem keinen großen schulischen Markt, sondern nur kleine und sehr spezielle:  Wer fit genug ist, die vielen für Online-Kollaboration nötigen Werkzeuge zu kontrollieren, kommt mit einem reinen WebRTC Server, Etherpad, nextCloud, Collabora und Moodle viel besser klar und hat auch viel mehr Möglichkeiten. Und die, die eine höher integrierte einfache Lösung benötigen würden, sind technisch oft nicht fit genug, um mit BBB produktiv umzugehen.

Aber es wird kommen. Also setzt man bestimmt bald eine PG ein, die nach Einsatzszenarien fahndet, in denen man mit den vielen Glitches leben kann. Lasst mich raten: Vor dem Hintergrund meiner bisherigen Funde und der aktuellen bildungspolitischen Vokabelwolke müssen für BBB die folgenden Begriffe fallen: Differenzierung, Individualisierung, individualisierte Betreuung, S-L-Gruppen. Evtl noch Berufsorientierung, Studierfähigkeit, Nachhilfe, Leistungsgruppe, Arbeitsgruppe. Neu aufleben wird ein ganz alter Begriff: Instruktion.

Kohlberg

Busaufsicht. Die meisten Radler haben es langsam verstanden, dass sie ihr Fahrrad an den Menschen an den Bushaltestellen vorbei schieben müssen, um niemanden zu gefährden (einmal davon abgesehen, dass die Schulordnung dies verlangt). Sie steigen schon ab, wenn sie mich sehen (allerdings oft nur dann).

Einige andere sind unbelehrbar, selbst wenn ich mich als eine Art lebendes Schutzschild vor die Menschen in der Schlange stelle – und damit in deren Weg. Sie werden rotzig. Einsicht zeigt sich nur selten und oft nur dann, wenn ich mit einem Besuch bei der Schulleitung drohe, in der Form von “Einhaltung einer wohlbekannten Regel auf Grund von Druck”.

Heute kam der Druck versuchsweise zurück: Einer aus dem GMS wollte die Polizei holen, weil ich ihn aufhalten würde. Er übersah dabei allerdings, dass er dann selbst der Doofe ist. §315c StGB kannte er nicht.

Schade, dass es bei einigen Kandidaten mit einem Hinweis auf die Gefahr selbst nicht getan ist.

Redmine > Mantis?

Unser Bugtracker unter Redmine wird nur von sehr wenigen Menschen befüllt. Lieber mault man rum, statt kurz einen Bericht abzugeben. Ich vermute, das könnte auch damit zusammenhängen, dass alle (!) Bugtracker auf den ersten Blick komplexe Oberflächen haben, die die Berichtenden abschrecken.

Viel einfacher wäre es doch, die User schickten eine Mail an eine bestimmte Adresse (allestutwieimmergarnicht@kvfg.de) und diese Mail wird dann vom Bugtracker selbständig abgeholt und als Bugreport in’s System gelegt, so dass er dort weiter bearbeitet werden kann.

Mantis kann das mit einem Plugin .

Und außerdem ist Mantis im Gegensatz zu Redmine auf einem Smartphone bedienbar, ohne dass man vor lauter pinch & zoom schwitzige Finger bekommt.

Mantis lässt sich im Vergleich zu einem Redmine auch viel viel einfacher installieren und damit aktuell halten. Für Redmine saß ich einen Tag und suchte mir Schritt für Schritt zu den entstandenen Problemen Antworten aus X Foren zusammen. Mantis war nach ein paar Minuten online – ohne auch nur einmal zu zicken.

Den Auth gegenüber unserem LDAP hab ich schon am Laufen. Was leider nicht klappt, ist der Auth gegenüber mehreren backends – also z.B. LDAP und als Fallback dann MD5 in der lokalen DB der Installation.

GEW Umfrage

So langsam kristallisiert sich raus, wohin sich die “etwas eigene Schuldokumentation” entwickelt – bei diesen Steilvorlagen.

Echt “im vollen Umfang”? Ich würde so etwas schon gar nicht mehr schreiben, wenn ich das nicht geprüft hätte und wenn ich schon beim Aufruf der Startseite der Umfrage gleich auf newrelic.com Skripte stoße. Also Datenschutz nur leeres Wort?

Ich hab die Genossen mal angeschrieben und gefragt “US-Unternehmen inklusive Patriot Act etc. pp. sowie Datenschutz ‘im vollen Umfang’ gehen jetzt für die Gewerkschaft Hand in Hand? Wo finde ich denn eine derartige Konkretisierung von ‘erkämpft das Menschenrecht’?”. Ist sie nun so, die neue GEW? Digital first, Bedenken second?

Jetzt warte ich auf die Antwort und hoffe, dass mir die Sonn’ scheint ohn’ Unterlass.

Update 14:38

Oh je. In Schweden ist es dunkel, die Sonn’ scheint nicht.

Ein Genosse aus Schweden versicherte mir so eben, dass der Server in Schweden stünde und webropol keine IPs speichern würde. Er hat demnach nicht einmal verstanden, was das Problem ist.

Ich komme mir vor, wie ein Polizist, der einen Raser in der Zone 30 anhält. Der sitzt in einem amerikanischen Auto und versichert, er sei 30 gefahren. Nach dem Hinweis, dass er 30 Meilen pro Stunde gefahren sei, hier aber 30 Stundenkilometer die Grenze sei, sagt er, sein Auto wäre auf einer deutschen Straße und er habe einen deutschen Führerschein … also sei auch alles in Ordnung.

ETB

Kurzer erster Blick in die Runde:

SWP

Eigentlich wollten die Admins bei SWP ein Let’s Encrypt Zertifikat nutzen. Dann waren sie aber zu geizig, das Wildcard Zertifikat von StartCOM weg zu werfen und nutzen dieses zusätzlich weiter. WoSign und StartCOM sind aber verbrannt – und damit auch die Seite von SWP.

Untis / Webuntis

Zwar nutzen die Admins bei Untis / Webuntis nur 2048 lange Keys, aber sie können sich mit einem A wieder setzen. Brav so. Der Marktführer sieht auf den ersten Blick OK aus.

Hochgewächs

Nicht nur selbst signiert, sondern auch noch den Server falsch konfiguriert, so dass der Poodle – eine kritische Sicherheitslücke aus dem Jahr 2014 – zuschlägt. Dazu noch lässt der Server RC4 zu, das schlicht verboten ist. Ergebnis: Ranziger Gammelserver, schimmelige Schlonzsoftware! Wenn ich die Aussagen dieser Schule zum Thema Medien ernst nähme, müsste ich mich glatt aufregen.

Ergebnis: Bei den kommerziellen Anbietern gibt es Licht und Schatten. Den größten Schatten hat aber eine unserer Nachbarschulen. Anfang der Woche gab es noch ein längst abgelaufenes Zertifikat. Heute fand ich ein selbst signiertes Zertifikat vom 20.09. und die alten Konfigurationsfehler.

Das sieht für mich nicht so aus, als wäre Digital eine Lösung. Für mich sieht das aus nach: Digital ist das Problem! Das geht nur, weil Schule, Eltern und Öffentlichkeit auf “ist doch mir egal” geschaltet haben.

2FA für Moodle

Wäre es nicht schön, wir L könnten mit unserem “internen Moodle” (kvfg.org) viel mehr machen, als aktuell? Z.B. dieses dazu nutzen, auch eindeutig personenbezogene Daten … evtl. bis hin zu Anwesenheitslisten, Berichte und Noten … untereinander austauschen?

Dazu müsste dieses eine Art von “Verwaltungsnetz light” werden und da reicht die Authentifizierung mit Benutzername und Passwort nicht aus. Ein zweiter Faktor für die Authentifizierung wäre nötig. Das könnte ein openVPN Zugang zu einer “versteckten” Moodle-Installation sein. Ich behaupte aber mal frank un: Die heute gewählte Backup-Methode wäre schneller, dachte ich. Ist sie aber nicht. Im Gegenteil. Die braucht noch länger als letzten Samstag. Dafür sollte die DIenste aber weitgehend zur Verfügung stehen, evtl. nur etwas langsamer reagieren … Also fummelt dran und drin rum … kann jetzd frei: In einem Kollegium, in dem nach 14 Jahren Moodle noch nicht jedem klar ist, was ein Einschreibschlüssel ist, brauch ich nicht mit openVPN ankommen. Die meisten L erkennen weder das Problem, noch wären sie fähig, die Lösung zu ergooglen. Also muss etwas Einfacheres her: TOTP!

Getestet habe ich das heute Vormittag mit diesem Plugin an einem meiner Testmoodles. Das sich ergebende Prozedere für unsere Schule wäre vermutlich:

a) Installation und Konfiguration des Plugins. Das hab ich nun getestet – müsste zügig gehen.

b) Umstellung aller L-Konten auf E-Mail basiert mit Whitelist für kvfg.de oder Umstellung aller L-Konten auf LDAPs gegenüber dem LDAP-Replication-Server. Das ging über MySQL mit einem von Daniel verifizierten Einzeilerchen.

Das wäre im allerdümmsten Fall ein Nachmittag.

c) Plugin aktivieren im Backend von Moodle.

d) Die Benutzer loggen sich ein und aktivieren  für sich 2FA.

Ein Klick auf den Button.

Dann den QRCode mit dem Handy scannen. Wie das geht, kann ich nicht zeigen, weil FreeOTP keine Screenshots zulässt auf LineageOS.

Dann gleich mal ausprobieren: in FreeOTP einen Token erzeugen. Diesen oben unter 2. eingeben und auf Bestätigen klicken.

e) Moodle wäre ab diesem Moment tot: 2FA ist noch nicht die gültige Login-URL aber alle Benutzer müssten diese schon nutzen. Ich sehe zwei Möglichkeiten:

  1. Die Umstellung wird gemeinsam vorgenommen und gleich im Anschluss scharf geschaltet. Klingt nicht toll, wenn es um 100 Betroffene geht.
  2. Ich stelle alle Konten händisch oder direkt in MySQL zurück auf E-Mail basiert.

Die beiden letzten Schritte zusammen dürfte ungefähr einen Monat brauchen – auf Grund der permanenten Korrektur an der Loginmethode und der bestimmt anfallenden Betreuungszeit.

f) Sind alle durch das Verfahren durch: Setzen der alternativen Login-URL für 2FA als Standard-Login. Geht flott.

Ab diesem Moment meldet man sich zwar weiterhin zuerst mit Benutzername und Passwort an, landet dann aber auf der Seite, auf der das TOTP eingegeben werden muss.

Also: Handy zücken und FreeOTP aufmachen, TOTP generieren und den Zahlencode oben eingeben. Schwupps. Drin.

Zu klären wäre, ob jeder L (s)ein Handy hierfür einsetzen wollen würde. Man kann sich ja durchaus auf die Position stellen, FreeOTP nicht auf dem eigenen Gerät haben zu wollen. Dann müssten Diensthandys beschafft werden. Diese wären zwar nicht so teuer, dann aber eine zusätzliche Baustelle bezüglich Pflege: GAPs gehören da z.B. nicht mit drauf, aber permanent frische Updates.

Lohnt sich dieser Aufwand? Dazu kommt dann ja frei Haus noch das Gemaule oben drauf, dass alles viel zu kompliziert ist, früher alles besser war, wie immer überhaupt nix tut etc. pp. Nach allem was ich so aus dem Walde rauschen höre, kommt so eine ähnliche Lösung demnächst eh von Oben daher, so dass, im Turkstil, auch alle Daten aller Lehrer/innen zentral vorliegen und gesichtet werden können. Dezentralisierte oder gar lokale Lösungen werden zeitnah aussterben … Will ich vor diesem Hintergrund einem dem Tod geweihten Moodle noch meine Stunden hinterher werfen?

Andererseits: Unsere User wären dann 2FA schon gewohnt. Die Umstellung auf den zentralen Segen von Oben wäre für sie einfacher zu machen und wir wären, was Datenschutz angeht, super gut aufgestellt. Dazu kommt: Der Wald rauscht – aber da können noch viele Monate ins Land ziehen, bis die Bildungscloud tatsächlich für alle ausgerollt wird.

PS: 2FA für Horde wird vermutlich erst mit Horde6 kommen.

nC 2 Moodle

Das hier muss ich mal ausprobieren: https://github.com/daita/moodle-repository_nextcloud

Zumindest Dieter und ich könnten daran umgehend Gefallen finden – bei den anderen wird es einige Zeit dauern. Wichtig für uns wäre zudem, dass sich zwei unterschiedliche nC-Repos an Moodle drandongeln lassen, damit wir so Zugriff auf unsere beiden Installationen [SuL , LuL] erhalten bzw. dass auch die SuS ihre Dokumente aus nC einfach nach Moodle bekommen.

Und wenn es dann noch funktionierte, dass man die ServerG Verzeichnisse ebenfalls aus Moodle heraus sähe … ein Traum.

Plustern

WLAN mit WPA2 Enterprise. Die Einrichtung ist eigentlich nicht schwer. Fast alle Universitäten nutzen das Verfahren (“Eduroam”) und viele Firmen so oder so. Zehntausende von Studis bekommen das hin: Netzwerk anklicken / anfingern und schon meldet sich das Betriebssystem mit einer Eingabemaske für den Access-Point. Diese sieht zwar leicht anders aus, als von zu Hause gewohnt, weil mehr als nur ein Passwort verlangt wird, aber im Grunde erkennen die meisten aktuellen Androids (zumindest: Lineage OS tut das) die Einstellungen schon von sich aus richtig. Also Benutzername und Passwort hinterlassen und schwups. Drin.

https://www.kvfg.net/wiki/doku.php?id=netz:privatgeraet

Aber es geht natürlich auch anders:

L: “WLAN tut nicht!”

Ich: “Mit welchem Netz versuchst Du Dich denn zu verbinden?”

Noch vermute ich, dass hier in alter Gewohnheit das Netz public oder das Netz schueler (oder gar kvfg) gewählt wurde. Das darf nicht “tun”.

L: Hält mir Gerät vor die Nase … “Tut nicht!”

Ich erkenne nur bunte Flecken. Falsche Brille, fremdes Gerät, kein gewohntes LineageOS sondern irgendein verschwurbeltes Hersteller-Android unbekannter Generation.

L: zieht Gerät nach einer Sekunde wieder weg und fingert irgendwas weiter darauf herum. “Tut echt nicht!”

Ich probiere es noch einmal: “Verbindest Du Dich mit dem Netz lehrer?”

L: “Das Handy ist neu.”

Ich erkenne die Relevanz dieser Information nicht und beschließe diese zu ignorieren: “Du musst Dich mit dem Netz lehrer …”

L: “Zu Hause tut es!”

Ich sollte an dieser Stelle schlicht Om sagen, aber bin gefangen: “Mit welchem …”

L: “Telekom funktioniert auch nicht.”

Ich bei zügig steigendem Puls und Blutdruck: “Reden wir nun über WLAN oder …”

L: “Jetzt tut es.” Zeigt Gerät für eine Sekunde und wackelt damit.

Ich erkenne nichts außer verschwommenen bunten Flecken, gehe aber jetzt davon aus, dass sich L mit dem Netz lehrer verbunden hat und die Information zum Telekom-Netz eine Art Kirsche auf dem Chaoskuchen sein soll.

Ich: “Das kann eigentlich nicht …”

Was untergeht ist: … sein, weil nach einem erfolgreichen Verbindungsaufbau mit lehrer eine Abfrage nach Benutzername und Passwort folgen sollte und außerdem die sonstigen Einstellungen von WPA2 Enterprise zu kontrollieren wären – z.B. der Umgang mit Zertifikaten.

L: “WLAN tut immer noch nicht.”

Ich geb’s auf. Das findet nur Daniel lustig. Nerven aus Stahl. Ich kann nach mehreren solchen “Gesprächen” nicht schlafen. Für mich steht fest: Level 1 Support ist nicht mein Ding. Das müssen sich andere an’s Bein binden, die mehr Baldrian im Tee oder Teflon auf den Synapsen haben.