Redmine > Mantis?

Unser Bugtracker unter Redmine wird nur von sehr wenigen Menschen befüllt. Lieber mault man rum, statt kurz einen Bericht abzugeben. Ich vermute, das könnte auch damit zusammenhängen, dass alle (!) Bugtracker auf den ersten Blick komplexe Oberflächen haben, die die Berichtenden abschrecken.

Viel einfacher wäre es doch, die User schickten eine Mail an eine bestimmte Adresse (allestutwieimmergarnicht@kvfg.de) und diese Mail wird dann vom Bugtracker selbständig abgeholt und als Bugreport in’s System gelegt, so dass er dort weiter bearbeitet werden kann.

Mantis kann das mit einem Plugin .

Und außerdem ist Mantis im Gegensatz zu Redmine auf einem Smartphone bedienbar, ohne dass man vor lauter pinch & zoom schwitzige Finger bekommt.

Mantis lässt sich im Vergleich zu einem Redmine auch viel viel einfacher installieren und damit aktuell halten. Für Redmine saß ich einen Tag und suchte mir Schritt für Schritt zu den entstandenen Problemen Antworten aus X Foren zusammen. Mantis war nach ein paar Minuten online – ohne auch nur einmal zu zicken.

Den Auth gegenüber unserem LDAP hab ich schon am Laufen. Was leider nicht klappt, ist der Auth gegenüber mehreren backends – also z.B. LDAP und als Fallback dann MD5 in der lokalen DB der Installation.

GEW Umfrage

So langsam kristallisiert sich raus, wohin sich die “etwas eigene Schuldokumentation” entwickelt – bei diesen Steilvorlagen.

Echt “im vollen Umfang”? Ich würde so etwas schon gar nicht mehr schreiben, wenn ich das nicht geprüft hätte und wenn ich schon beim Aufruf der Startseite der Umfrage gleich auf newrelic.com Skripte stoße. Also Datenschutz nur leeres Wort?

Ich hab die Genossen mal angeschrieben und gefragt “US-Unternehmen inklusive Patriot Act etc. pp. sowie Datenschutz ‘im vollen Umfang’ gehen jetzt für die Gewerkschaft Hand in Hand? Wo finde ich denn eine derartige Konkretisierung von ‘erkämpft das Menschenrecht’?”. Ist sie nun so, die neue GEW? Digital first, Bedenken second?

Jetzt warte ich auf die Antwort und hoffe, dass mir die Sonn’ scheint ohn’ Unterlass.

Update 14:38

Oh je. In Schweden ist es dunkel, die Sonn’ scheint nicht.

Ein Genosse aus Schweden versicherte mir so eben, dass der Server in Schweden stünde und webropol keine IPs speichern würde. Er hat demnach nicht einmal verstanden, was das Problem ist.

Ich komme mir vor, wie ein Polizist, der einen Raser in der Zone 30 anhält. Der sitzt in einem amerikanischen Auto und versichert, er sei 30 gefahren. Nach dem Hinweis, dass er 30 Meilen pro Stunde gefahren sei, hier aber 30 Stundenkilometer die Grenze sei, sagt er, sein Auto wäre auf einer deutschen Straße und er habe einen deutschen Führerschein … also sei auch alles in Ordnung.

ETB

Kurzer erster Blick in die Runde:

SWP

Eigentlich wollten die Admins bei SWP ein Let’s Encrypt Zertifikat nutzen. Dann waren sie aber zu geizig, das Wildcard Zertifikat von StartCOM weg zu werfen und nutzen dieses zusätzlich weiter. WoSign und StartCOM sind aber verbrannt – und damit auch die Seite von SWP.

Untis / Webuntis

Zwar nutzen die Admins bei Untis / Webuntis nur 2048 lange Keys, aber sie können sich mit einem A wieder setzen. Brav so. Der Marktführer sieht auf den ersten Blick OK aus.

Hochgewächs

Nicht nur selbst signiert, sondern auch noch den Server falsch konfiguriert, so dass der Poodle – eine kritische Sicherheitslücke aus dem Jahr 2014 – zuschlägt. Dazu noch lässt der Server RC4 zu, das schlicht verboten ist. Ergebnis: Ranziger Gammelserver, schimmelige Schlonzsoftware! Wenn ich die Aussagen dieser Schule zum Thema Medien ernst nähme, müsste ich mich glatt aufregen.

Ergebnis: Bei den kommerziellen Anbietern gibt es Licht und Schatten. Den größten Schatten hat aber eine unserer Nachbarschulen. Anfang der Woche gab es noch ein längst abgelaufenes Zertifikat. Heute fand ich ein selbst signiertes Zertifikat vom 20.09. und die alten Konfigurationsfehler.

Das sieht für mich nicht so aus, als wäre Digital eine Lösung. Für mich sieht das aus nach: Digital ist das Problem! Das geht nur, weil Schule, Eltern und Öffentlichkeit auf “ist doch mir egal” geschaltet haben.

2FA für Moodle

Wäre es nicht schön, wir L könnten mit unserem “internen Moodle” (kvfg.org) viel mehr machen, als aktuell? Z.B. dieses dazu nutzen, auch eindeutig personenbezogene Daten … evtl. bis hin zu Anwesenheitslisten, Berichte und Noten … untereinander austauschen?

Dazu müsste dieses eine Art von “Verwaltungsnetz light” werden und da reicht die Authentifizierung mit Benutzername und Passwort nicht aus. Ein zweiter Faktor für die Authentifizierung wäre nötig. Das könnte ein openVPN Zugang zu einer “versteckten” Moodle-Installation sein. Ich behaupte aber mal frank un: Die heute gewählte Backup-Methode wäre schneller, dachte ich. Ist sie aber nicht. Im Gegenteil. Die braucht noch länger als letzten Samstag. Dafür sollte die DIenste aber weitgehend zur Verfügung stehen, evtl. nur etwas langsamer reagieren … Also fummelt dran und drin rum … kann jetzd frei: In einem Kollegium, in dem nach 14 Jahren Moodle noch nicht jedem klar ist, was ein Einschreibschlüssel ist, brauch ich nicht mit openVPN ankommen. Die meisten L erkennen weder das Problem, noch wären sie fähig, die Lösung zu ergooglen. Also muss etwas Einfacheres her: TOTP!

Getestet habe ich das heute Vormittag mit diesem Plugin an einem meiner Testmoodles. Das sich ergebende Prozedere für unsere Schule wäre vermutlich:

a) Installation und Konfiguration des Plugins. Das hab ich nun getestet – müsste zügig gehen.

b) Umstellung aller L-Konten auf E-Mail basiert mit Whitelist für kvfg.de oder Umstellung aller L-Konten auf LDAPs gegenüber dem LDAP-Replication-Server. Das ging über MySQL mit einem von Daniel verifizierten Einzeilerchen.

Das wäre im allerdümmsten Fall ein Nachmittag.

c) Plugin aktivieren im Backend von Moodle.

d) Die Benutzer loggen sich ein und aktivieren  für sich 2FA.

Ein Klick auf den Button.

Dann den QRCode mit dem Handy scannen. Wie das geht, kann ich nicht zeigen, weil FreeOTP keine Screenshots zulässt auf LineageOS.

Dann gleich mal ausprobieren: in FreeOTP einen Token erzeugen. Diesen oben unter 2. eingeben und auf Bestätigen klicken.

e) Moodle wäre ab diesem Moment tot: 2FA ist noch nicht die gültige Login-URL aber alle Benutzer müssten diese schon nutzen. Ich sehe zwei Möglichkeiten:

  1. Die Umstellung wird gemeinsam vorgenommen und gleich im Anschluss scharf geschaltet. Klingt nicht toll, wenn es um 100 Betroffene geht.
  2. Ich stelle alle Konten händisch oder direkt in MySQL zurück auf E-Mail basiert.

Die beiden letzten Schritte zusammen dürfte ungefähr einen Monat brauchen – auf Grund der permanenten Korrektur an der Loginmethode und der bestimmt anfallenden Betreuungszeit.

f) Sind alle durch das Verfahren durch: Setzen der alternativen Login-URL für 2FA als Standard-Login. Geht flott.

Ab diesem Moment meldet man sich zwar weiterhin zuerst mit Benutzername und Passwort an, landet dann aber auf der Seite, auf der das TOTP eingegeben werden muss.

Also: Handy zücken und FreeOTP aufmachen, TOTP generieren und den Zahlencode oben eingeben. Schwupps. Drin.

Zu klären wäre, ob jeder L (s)ein Handy hierfür einsetzen wollen würde. Man kann sich ja durchaus auf die Position stellen, FreeOTP nicht auf dem eigenen Gerät haben zu wollen. Dann müssten Diensthandys beschafft werden. Diese wären zwar nicht so teuer, dann aber eine zusätzliche Baustelle bezüglich Pflege: GAPs gehören da z.B. nicht mit drauf, aber permanent frische Updates.

Lohnt sich dieser Aufwand? Dazu kommt dann ja frei Haus noch das Gemaule oben drauf, dass alles viel zu kompliziert ist, früher alles besser war, wie immer überhaupt nix tut etc. pp. Nach allem was ich so aus dem Walde rauschen höre, kommt so eine ähnliche Lösung demnächst eh von Oben daher, so dass, im Turkstil, auch alle Daten aller Lehrer/innen zentral vorliegen und gesichtet werden können. Dezentralisierte oder gar lokale Lösungen werden zeitnah aussterben … Will ich vor diesem Hintergrund einem dem Tod geweihten Moodle noch meine Stunden hinterher werfen?

Andererseits: Unsere User wären dann 2FA schon gewohnt. Die Umstellung auf den zentralen Segen von Oben wäre für sie einfacher zu machen und wir wären, was Datenschutz angeht, super gut aufgestellt. Dazu kommt: Der Wald rauscht – aber da können noch viele Monate ins Land ziehen, bis die Bildungscloud tatsächlich für alle ausgerollt wird.

PS: 2FA für Horde wird vermutlich erst mit Horde6 kommen.

nC 2 Moodle

Das hier muss ich mal ausprobieren: https://github.com/daita/moodle-repository_nextcloud

Zumindest Dieter und ich könnten daran umgehend Gefallen finden – bei den anderen wird es einige Zeit dauern. Wichtig für uns wäre zudem, dass sich zwei unterschiedliche nC-Repos an Moodle drandongeln lassen, damit wir so Zugriff auf unsere beiden Installationen [SuL , LuL] erhalten bzw. dass auch die SuS ihre Dokumente aus nC einfach nach Moodle bekommen.

Und wenn es dann noch funktionierte, dass man die ServerG Verzeichnisse ebenfalls aus Moodle heraus sähe … ein Traum.

Plustern

WLAN mit WPA2 Enterprise. Die Einrichtung ist eigentlich nicht schwer. Fast alle Universitäten nutzen das Verfahren (“Eduroam”) und viele Firmen so oder so. Zehntausende von Studis bekommen das hin: Netzwerk anklicken / anfingern und schon meldet sich das Betriebssystem mit einer Eingabemaske für den Access-Point. Diese sieht zwar leicht anders aus, als von zu Hause gewohnt, weil mehr als nur ein Passwort verlangt wird, aber im Grunde erkennen die meisten aktuellen Androids (zumindest: Lineage OS tut das) die Einstellungen schon von sich aus richtig. Also Benutzername und Passwort hinterlassen und schwups. Drin.

https://www.kvfg.net/wiki/doku.php?id=netz:privatgeraet

Aber es geht natürlich auch anders:

L: “WLAN tut nicht!”

Ich: “Mit welchem Netz versuchst Du Dich denn zu verbinden?”

Noch vermute ich, dass hier in alter Gewohnheit das Netz public oder das Netz schueler (oder gar kvfg) gewählt wurde. Das darf nicht “tun”.

L: Hält mir Gerät vor die Nase … “Tut nicht!”

Ich erkenne nur bunte Flecken. Falsche Brille, fremdes Gerät, kein gewohntes LineageOS sondern irgendein verschwurbeltes Hersteller-Android unbekannter Generation.

L: zieht Gerät nach einer Sekunde wieder weg und fingert irgendwas weiter darauf herum. “Tut echt nicht!”

Ich probiere es noch einmal: “Verbindest Du Dich mit dem Netz lehrer?”

L: “Das Handy ist neu.”

Ich erkenne die Relevanz dieser Information nicht und beschließe diese zu ignorieren: “Du musst Dich mit dem Netz lehrer …”

L: “Zu Hause tut es!”

Ich sollte an dieser Stelle schlicht Om sagen, aber bin gefangen: “Mit welchem …”

L: “Telekom funktioniert auch nicht.”

Ich bei zügig steigendem Puls und Blutdruck: “Reden wir nun über WLAN oder …”

L: “Jetzt tut es.” Zeigt Gerät für eine Sekunde und wackelt damit.

Ich erkenne nichts außer verschwommenen bunten Flecken, gehe aber jetzt davon aus, dass sich L mit dem Netz lehrer verbunden hat und die Information zum Telekom-Netz eine Art Kirsche auf dem Chaoskuchen sein soll.

Ich: “Das kann eigentlich nicht …”

Was untergeht ist: … sein, weil nach einem erfolgreichen Verbindungsaufbau mit lehrer eine Abfrage nach Benutzername und Passwort folgen sollte und außerdem die sonstigen Einstellungen von WPA2 Enterprise zu kontrollieren wären – z.B. der Umgang mit Zertifikaten.

L: “WLAN tut immer noch nicht.”

Ich geb’s auf. Das findet nur Daniel lustig. Nerven aus Stahl. Ich kann nach mehreren solchen “Gesprächen” nicht schlafen. Für mich steht fest: Level 1 Support ist nicht mein Ding. Das müssen sich andere an’s Bein binden, die mehr Baldrian im Tee oder Teflon auf den Synapsen haben.

Reste

Meine ToDo für das KvFG Netz ist nun endlich weitgehend abgearbeitet. Wer sich über die vielen Neuerungen informieren will erhält im folgenden Bildchen einen kurzen Einblick in die physikalisch-logischen Strukturen:

Angaben ohne VLANs; Netzwerksymbole von VRT Network Equipment [ CC BY SA ] via vrt.com

Details zu den einzelnen Diensten sind am üblichen Ort zu finden. Hervorheben will ich nur, dass ich nun doch Collabora CODE ausgerollt habe. Schlicht, weil ich OnlyOffice leider nicht so zum Laufen überreden konnte, dass ich dabei ein gutes Gefühl bezüglich der Sicherheit des Dienstes hatte. Da muss ich noch ein wenig experimentieren, von meiner Agenda verschwunden ist es nicht.

Was man alles nicht sieht, da ging mal wieder die meiste Zeit rein:

  • Abwurf des VWNs an einen Dienstleister des GVV; bin mal gespannt, ob wir da je ein Verfahrensverzeichnis sehen. Ich behaupte: nicht ohne X mal nachzufragen und erst in ein paar Jahren. GVV halt
  • Umzug der meisten Dienste im Haus direkt zu UnityMedia Business; BelWü-Dienste setzen wir zwar weiterhin ein, aber aktuell nur für eine VM
  • Umzug und Upgrade von ServerG auf einen VMHost unter ESXI
  • Firewall mit PFSense zur besseren Netztrennung; die wird dann demnächst noch ein Gastnetz anbieten
  • 10GBE Switch im Core für die Kommunikation unserer Switches und Server im Haus untereinander; die Clients profitieren nur beim Imaging davon
  • Rekonfiguration aller Switches, WLan-APs und deren Verkabelung zur sauberen Netztrennung
  • Umzug des Mailservers für die LuL aus dem Haus auf unseren Root bei Hetzner (läuft dort nun unter KVM)
  • LDAP Replication zu einem unserer LXC VMs auf dem Root bei Hetzner für einige unserer Dienste und damit mehr Unabhängigkeit vom Zustand von ServerG; der Login in MRBS, KAOS und Handbuch geht nun unabhängig von der Wartung von ServerG, die Moodles werden eines Tages noch folgen

Was man schon eher sehen kann, aber im Vergleich zu den obigen Arbeiten dann doch überraschend schnell über die Bühne ging:

  • dezidierter “App-Server” unter LXC auf unserem Root bei Hetzner; aktuell liefert der XMPP für nur eine Domain aus, da kann aber noch mehr kommen
  • Roundcube als Webmailer für die SuS mit GnuPG Plugin (war schon da, ist nun wieder da – aber auf einem anderen Server)
  • nextCloud Instanz mit Zugriffsmöglichkeiten auf ServerG (war unter ownCloud schon da, ist es nun wieder aber mit wesentlich mehr Speicherplatz auf einem anderen Server) und Collabora CODE; dieser Server steht im Haus und ist deswegen nicht der Schnellste
  • nextCloud Instanz für die LuL als KVM Host auf unserem Root bei Hetzner mit mehr Speicherplatz und Collabora CODE
  • unser Ethercalc ist Geschichte; unser Etherpad blieb

Was man sieht und merkt im Alltag:

  • Netztrennung ist nun Zwang: LuL können sich am SuS Netz nicht mehr anmelden und umgekehrt natürlich auch nicht (das war aber schon so)
  • WLAN geht für SuS und LuL nur noch mit WPA2 Enterprise

Was noch fehlt? Ich will nextCloud noch als Repository an unsere Moodles drandongeln und die Moodles eines Tages noch an den replizierten LDAP-Server hängen, damit die auch von ServerG unabhängig authentifizieren können … mehr fällt mir jetzt nicht ein. Irgendwie … es ist fertig, das Netz.

Dabei ist die Zahl der Virtualisierungslösungen mit der Zeit explodiert. Aktuell nutzen wir ESXI, VirtualBox, KVM, LXC, Docker und Xen. Jedes Maschinchen hat so seine Spezialitäten. Aber DAS gerade zu ziehen schreib ich mir nicht auf die Projektliste.

Verheizt

So ein Mist aber auch. Gestern kamen unsere Netzwerkarbeiten aber so was von überhaupt nicht richtig voran, dass ich noch heute Morgen gefrustet bin. Stunde und Stunde versenkten wir in der VLAN Konfiguration … um am Ende des Tages festzustellen, dass unser neuer 10GB-Switch einen Schaden hat und im VLAN-Betrieb schlicht Pakete frisst. Vermutlich RAM defekt. Was auch immer.

Der Switch wird ersetzt – unsere Arbeitszeit ist verglüht.

Nervlich steckt man das besser weg, wenn es davor wenigstens rund läuft. Tat es aber seit dem erfolgreichen Umzug des Mailservers auch nicht mehr, weil wir allein 18 Stunden Telefonieren mit Unitymedia hinter uns bringen durften, bis wir endlich einen Menschen an der Strippe hatten, der den Unterschied zwischen NAT und statischen IPs verstand und vor allem auch wusste, welche Teile des ranzigen Unitymedia-Web-GUI-Dings man getrost ignorieren kann.

Mein Tipp für alle Unitymedia-Geplagten: Dauernd neu anrufen, den gesamten Stab an Hotline-Mitarbeitern durchprobieren. Früh am Morgen anfangen … Schichtwechsel abwarten … nicht nachlassen. Vorher ein Headset für’s Telefon kaufen, sonst glüht das Ohr und man bekommt Krämpfe im Arm. Außerdem hat man beide Hände frei und kann den Quatsch, den sie einem erzählen, gleich live ausprobieren und sofort Rückmeldung geben.