UCS@school

Handbuch für den Legacy-CSV-Benutzerimport


Inhaltsverzeichnis

1. Pflege von Benutzerkonten für Schüler, Lehrer und Mitarbeiter

§Kapitel 1. Pflege von Benutzerkonten für Schüler, Lehrer und Mitarbeiter

Die Verwaltung der Schüler-, Lehrer und Mitarbeiterdaten und deren Aktualisierung zum Schuljahreswechsel (Versetzungen, Schulabgänge etc.) erfolgt in der Regel durch die Schulverwaltung. Hierbei wird eine große Anzahl an Lösungen zur Datenpflege eingesetzt, die sich von Schulträger zu Schulträger unterscheidet.

Die Benutzerverwaltung von UCS@school ist darauf ausgelegt, dass die primäre Verwaltung der Schuldaten weiterhin durch die Schulverwaltung erfolgen kann. Diese Daten werden dann in eine Datei im CSV-Format exportiert und kommandozeilenbasiert in UCS@school importiert. Die einzelnen Felder der CSV-Datei sind durch ein Tabulatorzeichen zu trennen.

Für punktuelle Anpassungen - etwa ein Schulwechsel mitten im Schuljahr - besteht die Möglichkeit einzelne Schüler manuell zu bearbeiten. Dies wird im UCS@school Handbuch für Administratoren, Kapitel Verwaltung einzelner Benutzerkonten beschrieben.

Der Import der Schuldaten ist bei Single- und Multi-Server-Umgebungen identisch.

Der Import von Benutzern erfolgt über das Skript /usr/share/ucs-school-import/scripts/import_user, das auf dem Domänencontroller Master als Benutzer root gestartet werden muss. Es erwartet den Namen einer CSV-Datei als ersten Parameter. Das Format der Eingabedatei ist wie folgt aufgebaut:

§

Tabelle 1.1. Aufbau der Datenzeilen für den Benutzer-Import

FeldBeschreibungMögliche WerteBeispiel
AktionArt der BenutzermodifikationA=Hinzufügen, M=Modifizieren, D=LöschenA
BenutzernameDer zum Login verwendete Benutzername---m.mustermann
NachnameDer Nachname des Benutzers---Mustermann
VornameDer Vorname des Benutzers---Michael
OUDie OU, unter der der Benutzer angelegt werden soll---g123m
KlasseName der Klasse des Benutzers; nur Lehrer können in mehreren Klassen vertreten sein!---g123m-1A,g123m-1B, g123m-2A,g123m-4C
Rechtederzeit ungenutzt; das Feld sollte leer bleiben, so dass 2 Tabulator-Zeichen aufeinander folgen--- 
Email-AdresseMailadresse des Benutzers---m.musterm@beispiel.edu
(Lehrer)Definiert, ob der Benutzer ein Lehrer ist0=Kein Lehrer, 1=Lehrer1
(Aktiv)Definiert, ob das Benutzerkonto beim Anlegen sofort aktiviert wird0=nicht aktivieren, 1=aktivieren1
(Mitarbeiter)Definiert, ob der Benutzer ein Mitarbeiter ist0=Kein Mitarbeiter, 1=Mitarbeiter0

Ein Beispiel für eine Importdatei (hier zum Download, UTF-16, tab-getrennt):

A  max   Meyer  Max     g123m  g123m-1A           max@schule.edu   0 1 0
M  m.we  Weber  Moritz  g123m  g123m-1A,g123m-2D  mw@schule.edu    1 1 0
D  a.la  Lang   Anke    g123m  g123m-4C           a.la@schule.edu  1 1 1

Über das Feld Aktion kann die Art der Benutzermodifikation gesteuert werden. Folgende Aktionen sind definiert:

AktionBeschreibung
AHinzufügen
MModifizieren
DLöschen

Auch beim Löschen (Aktion D) müssen gültige Werte übergeben werden.

Die Angabe von Klassen bezieht sich bei Schülern in der Regel auf eine einzelne Klasse. Lehrer können dagegen in mehreren Klassen vertreten sein. Diese sollten auch angegeben werden (kommasepariert), damit die Benutzerkonten der Lehrer automatisch in die jeweilige Klassengruppe eingetragen werden und sie somit auch Zugriff auf die jeweilige Dateifreigabe der Klasse erhalten. Bei Mitarbeitern ist das Feld Klasse leer zu lassen.

Anmerkung

Bei der Angabe von Schulklassen ist zu beachten, dass die Klassennamen domänenweit eindeutig sein müssen. Das heißt, eine Klasse 1A kann nicht in mehreren OUs verwendet werden. Bei der Erstellung von Klassen über das UMC-Modul Klassen (Schulen) wird daher automatisch die OU und ein Bindestrich dem Klassennamen als Präfix vorangestellt. Dieses Format muss auch beim Import auf der Kommandozeile eingehalten werden (siehe Beispiel oben).

Die optionalen Felder Lehrer und Mitarbeiter bestimmen die Rolle des Benutzers im System. Werden die Werte nicht angegeben, so wird der Benutzer mit der Rolle Schüler angelegt. Es ist möglich einem Benutzer sowohl die Rollen Lehrer und Mitarbeiter zu geben.

Über das optionale Feld Aktiv wird gesteuert, ob das Benutzerkonto aktiviert werden soll. Ist kein Wert angegeben, wird das Konto automatisch aktiviert.

Die Benutzerkonten werden mit zufälligen, unbekannten Passwörtern initialisiert. Mehrere Personengruppen können die Konten anschließend freischalten:

  • Das Konto eines Schuladministrators kann durch Benutzer der Gruppe Domain Admins in der Univention Management Console erstellt und modifiziert werden.
  • Die Konten von Mitarbeitern können durch Benutzer der Gruppe Domain Admins in der Univention Management Console durch die Vergabe eines Passworts freigeschaltet werden.
  • Die Konten von Lehrern können durch den Schuladministrator über das Modul Passwörter (Schüler) durch die Vergabe eines Passworts freigeschaltet werden.
  • Die Konten von Schülern können durch Lehrer über das Modul Passwörter (Lehrer) klassenweise durch die Vergabe eines Passworts freigeschaltet werden.

Mit den folgenden Univention Configuration Registry-Variablen kann für Schüler, Lehrer, Schuladministratoren und Mitarbeiter eine UMC-Richtlinie zugewiesen werden, die festlegt, welche UMC-Module bei einer Anmeldung der entsprechenden Benutzergruppe angezeigt werden. Hierbei muss der LDAP-DN (Distinguished Name) der Richtlinie angegeben werden.

  • ucsschool/ldap/default/policy/umc/pupils gilt für Anmeldungen von Schülern
  • ucsschool/ldap/default/policy/umc/teachers gilt für Anmeldungen von Lehrern
  • ucsschool/ldap/default/policy/umc/admins gilt für Anmeldungen von Schuladministratoren
  • ucsschool/ldap/default/policy/umc/staff gilt für Anmeldungen von Mitarbeitern

Wenn die UCR-Variablen auf den Wert None gesetzt sind, wird für den jeweiligen Benutzertyp keine Richtlinie verknüpft. Es müssen dann eigene Richtlinien an die Container gebunden werden.

Achtung

Der S4-Connector benötigt einige Zeit, um die Benutzer in die Samba 4-Benutzerdatenbank zu synchronisieren. Je nach Menge der Importdaten und der verwendeten Hardware kann die Synchronisation einige Stunden benötigen. Währenddessen kann es zu Verzögerungen in der Synchronisation von nicht-import-abhängigen Änderungen im LDAP oder Active Directory kommen (z.B. interaktive Änderung von Benutzerpasswörtern).