Moodle und Benutzerverwaltung…

… ist in mei­nen Augen so gar nicht gelun­gen, da immer wie­der glei­che Pro­ble­me auftreten:

1. Mood­le akt­zep­tiert z.B. nur Daten­sät­ze, die eine – im For­mat gül­ti­ge E‑Mailadresse – ent­hal­ten. Nun besitzt nicht jeder Schü­ler oder jede Schü­le­rin eine sol­che – von Lehr­kräf­ten ein­mal ganz zu schwei­gen. Das führt oft dazu, dass die Admins „Fan­ta­sie­adres­sen“ erfin­den – im aller­schlimms­ten Fall mit einem gül­ti­gen Domain­an­teil – womit man mit sei­ner Ser­ver-IP schnell auf gän­gi­gen Black­lists lan­det und dann kaum Mails mehr ver­schickt wer­den können.
2. Mood­le loggt exzes­siv Benut­zer­ak­ti­vi­tä­ten (eigent­lich jeden Klick) – das Bewusst­sein für Daten­schutz scheint mir gera­de in anglo­ame­ri­ka­ni­schen Kon­tex­ten nicht so sen­si­bel ent­wi­ckelt. In Deusch­land gilt der Grund­satz der Daten­spar­sam­keit. Man kann recht­li­chen Pro­ble­men vor­beu­gen, indem man die Eltern ent­spre­chen­de Ein­ver­ständ­nis­er­klä­run­gen unter­schrei­ben lässt, was einen erheb­li­chen Auf­wand bedeu­tet. Die Anzei­ge einer Infor­ma­ti­on vor der erst­ma­li­gen Anmel­dung, wel­che Daten in wel­chem Umfang erho­ben wer­den, dürf­te bei Min­der­jäh­ri­gen recht­lich ins Lee­re lau­fen. Die­ses Pro­blem wird immer wie­der ger­ne weg­dis­ku­tiert mit dem Argu­ment, dass man sich zwi­schen dem päd­ago­gisch Sinn­vol­len und der Gän­ge­lung durch recht­li­che Kon­tex­te krea­tiv bewe­gen muss. Fakt ist aber lei­der, dass Mood­le nicht das Prin­zip der Daten­spar­sam­keit erfüllt.
3. Inter­ope­ra­bi­li­tät zwi­schen ver­schie­de­nen Mood­le­sys­te­men (und dadurch zwi­schen Schu­len) wird durch MNET – das Mood­lenet­work mög­lich. Ich war bis­her immer ent­schie­den zu doof, das zu kon­fi­gu­rie­ren. Außer­dem ist mir nie ganz klar­ge­wor­den, wel­che Daten da tat­säch­lich aus­ge­tauscht werden.

Es folgt eine klei­ne Spin­ne­rei, wie der­ar­ti­ge Pro­ble­me tech­nisch gut in den Griff zu bekom­men sind. Das erfor­dert jedoch eini­ges an Brain 2.0 – denn die Lösung heißt in mei­nen Augen LDAP.

Mood­le kann dank LDAP-basier­ter Authen­ti­fi­zie­rung sei­ne Nut­zer weit­ge­hend in einem LDAP-Baum ver­wal­ten. Mood­le ver­wen­det für Nut­zer­da­ten­sät­ze weit­ge­hend das inet­org­per­son-Sche­ma, was schon­mal sehr gut zu LDAP passt. Des­wei­te­ren kann Mood­le Nut­ze­rin­nen und Nut­zer aus meh­re­ren LDAP-Bäu­men gleich­zei­tig ver­wal­ten. Dar­in könn­te ein Ansatz lie­gen, der die genann­ten drei Pro­ble­me weit­ge­hend erschlägt.

Man orga­ni­siert einen LDAP-Baum, mit fol­gen­dem Aufbau:

– rootdn
— moodlessysteme
——- Schule1
———– Schüler
———– Lehrer
——- Schule2
———– Schüler
———– Lehrer
——- Schule3
———– .…
—- ldap-Admins
——- schule01
——- schule02
——- schule03

Die ldap-Admins haben jeweils Schreib­rech­te im gleich­na­mi­gen Unter­baum (und nur dort), sodass man sie inner­halb des jewei­li­gen Mood­les als Bin­du­ser ein­set­zen und Nut­zer durch Mood­le im LDAP anle­gen las­sen kann.

Der kon­kre­te Nut­zer kann sein Pro­fil trotz­dem über­ar­bei­ten (die nicht gesperr­ten Fel­der) und die wer­den dann im LDAP auto­ma­tisch aktua­li­siert. Der Daten­im­port erfolgt zweck­mä­ßi­ger­wei­se über das ldif-For­mat, was sich leicht auch aus Excel-Tabel­len (cvs) oder einer bestehen­den Mood­le­nut­zer­da­ten­bank ein­fach gene­rie­ren lässt. Ein sol­ches LDAP kann „neben­bei“ auch als Adress­buch für die Schul­ver­wal­tung dienen.

Das Data­map­ping von Mood­le ermög­licht nun zusätz­lich eine Anony­mi­sie­rung, etwa unter Zuhil­fe­nah­me der im inet­org­per­son-Sche­ma befind­li­chen GID und UID-Num­mer (die man dann z.B. mit einem zusätz­li­chen sta­ti­schen Schlüs­sel ver­se­hen inner­halb des Mood­le­sys­tems anzeigt).  Somit ist eine genaue Nut­zer­zu­ord­nung trotz Log­ging erst­mal nur durch den Admin des openLDAP/AD mög­lich – so wie ansons­ten auch – was dem Kon­troll­be­dürf­nis vie­ler deut­scher Leh­re­rin­nen und Leh­rer viel­leicht wider­spricht. Wenn sich ein Schü­ler oder eine Schü­le­rin selbst „outet“, kann man dage­gen natür­lich nichts tun. Gene­rell kann man aber anonym bleiben.

Was wird nun aber noch möglich?

1. In Kom­bi­na­ti­on mit einem LDAP-fähi­gen MTA kön­nen auf dem Ser­ver qua­si „von selbst“ (vir­tu­el­le User) gül­ti­ge E‑Mailaccounts ange­legt wer­den, die sich z.B. via IMAP/POP3 (dove­cot) extern mit dem LDAP-Pass­wort (was gleich dem Pass­wort für Mood­le ist) ver­wal­ten las­sen (Wei­ter­lei­tun­gen sind auch möglich).
2. Der Daten­schutz kann so gra­nu­lar erfol­gen, wie es das jewei­li­ge Anfor­de­rungs­pro­fil erfor­dert. Attri­bu­te für die anony­mi­sier­ten Daten las­sen sich auch in das inet­org­per­son-Sche­ma inte­grie­ren und dann in Mood­le map­pen. Den­noch wer­den im zen­tra­len LDAP fol­gen­de per­so­nen­be­zo­ge­ne Daten min­des­tens gespei­chert aber nicht zwangs­läu­fig ang­zeigt: Vor­na­me, Name, Schule.
3. Nut­zen ver­schie­de­ne Schu­len den glei­chen LDAP-Dienst, genügt ein ein­fa­ches Hin­zu­fü­gen des jewei­li­gen LDAP-Kon­tex­tes in das betref­fen­de Mood­le, damit Nut­zer von Schu­le A Kur­se von Schu­le B nut­zen kön­nen. Das erfolgt idea­ler­wei­se über ein Web­in­ter­face, was sich z.B. über das Admin­pass­wort des jewei­li­ge Mood­le­sys­tems errei­chen lässt – das Aus­tra­gen ist dann genau­so ein­fach – das sind simp­le MySQL-Querys.
4. Die Schu­le kann so jeden Dienst nut­zen, der LDAP-fähig ist – das sind vie­le CMS- und Group­ware­lö­sun­gen eben­so wie z.B. Media­wi­ki. Pass­wort und Log­in sind für jeden Nut­zer dann immer gleich (so kann ich z.B. auch Per­son „zen­tral“ sper­ren, indem ich ihr Pass­wort auf einen ungül­ti­gen Wert setze).

Dum­mer­wei­se müs­sen die ver­schie­de­nen Schu­le dazu in einem zen­tra­len LDAP orga­ni­siert sein. Das erfor­dert nach mei­nen Erfah­run­gen per­sön­li­chen Kon­takt und Ver­trau­en, ist also über­re­gio­nal wahr­schein­lich schwie­ri­ger zu hand­ha­ben als regio­nal begrenzt.

Daher habe ich in einem mei­ner jüngst abge­ge­be­nen Pro­jek­te die­ses Sys­tem ledig­lich ver­hält­nis­mä­ßig zufrie­den­stel­lend erprobt, jedoch nicht mehr rea­li­siert. Es ist ein wenig Auf­wand – ins­be­son­de­re die Migra­ti­on bestehen­der Sys­te­me in ein LDAP – der sich aber loh­nen dürf­te, da sich so alle Mög­lich­kei­ten auf­tun, die LDAP eben bie­tet (und das Win­dows­pen­dant AD momen­tan so popu­lär macht).