Von Ultra-Light bis Extra-Large
Benutzungsberechtigungen nach Maß

von Peter Marksteiner (Ausgabe 07/2, Juni 2007)

 

Vom Zentralen Informatikdienst wird eine Vielzahl an unterschiedlichen Benutzungsberechtigungen verwaltet: Neben Mailbox-UserIDs für MitarbeiterInnen und u:net-UserIDs für Studierende gibt es temporäre UserIDs für kurzfristigen Internetzugang und so genannte K-IDs für Kurse und verschiedene andere Zwecke. Manche Systeme haben unabhängig davon eine eigene Benutzerverwaltung, z.B. der Webserver WWW.UNIVIE.AC.AT und der Super­computing-Cluster Schrödinger III.

Um die Administration zu vereinfachen, ist es wünschenswert, so viel wie möglich mit den Standard-Benutzungs­berechtigungen (u:net, Mailbox) abzuwickeln.1) Allerdings sind diese UserIDs sehr "mächtig" und beinhalten eine große Zahl an Privilegien: Internetzugang über WLAN und Modem, Login in den PC-Räumen, Verwendung des Mail­systems, Fileservices mit Speicherplatz am Storage-System, Veröffentlichen einer eigenen Homepage, Zugang zu lizenzierter Software und zu den Datenbank-Services der Uni­versitätsbibliothek - das alles und noch viel mehr ist mit diesen UserIDs möglich. Aus diesem Grund wird deren Vergabe relativ strikt gehandhabt.

Immer wieder besteht aber der Wunsch, auch universitätsexternen Personen (Gästen, BesucherInnen, wissenschaft­lichen KooperationspartnerInnen, MitarbeiterInnen von Fir­men, die Arbeiten an der Uni Wien durchführen, etc.) Zu­griff auf einzelne Services zu gewähren. Die Vergabe von Mailbox-UserIDs würde in solchen Fällen nicht nur viel zu weit reichende Privilegien verleihen, sie wäre unter Um­stän­den sogar rechtlich bedenklich - z.B. im Hinblick auf Zu­gang zu Software, die nur für Universitätsangehörige lizenziert ist. Daher wurde für den genannten Personenkreis - und auch für verschiedene andere Zwecke - eine Variante von Mailbox-UserIDs mit eingeschränkten Privilegien geschaffen. Diese Mailbox Light-UserIDs (auch kurz "Light-UserIDs" oder "Light-IDs" genannt) wurden bereits im Comment 06/3 kurz vorgestellt2) und sollen im Folgenden näher beschrieben werden.

UserIDs und Mailadressen

Die Nomenklatur ist dieselbe wie bei den "klassischen" Mailbox-UserIDs: Die UserID setzt sich ebenso aus sechs Buchstaben des Nachnamens, dem ersten Buchstaben des Vornamens und einer Ziffer zusammen. Üblicherweise ist mit einer Light-ID keine Mailadresse assoziiert; wird eine solche gewünscht, lautet sie userid@univie.ac.at. Andere Mailadressen (z.B. der Form vorname.nachname@univie.ac.at) können nur in begründeten Ausnahme­fällen vergeben werden. 3)

Privilegien

Die Liste der Services, die mit einer Mailbox-UserID genutzt werden können, ist lang: Neben den bereits erwähnten Ser­vices wie Internetzugang, Mailing, Fileservices usw. defi­niert auch jede einzelne Webmaske ein Service: Das Än­dern des Passworts ist ebenso ein Service wie die Ver­wen­dung des CTI 4) oder das Einrichten einer eMail-Weiter­leitung.

Eine Mailbox-UserID ist üblicherweise für alle Services berechtigt. Nur in Ausnahmefällen werden einzelne Services deaktiviert oder gesperrt: Gelingt es beispielsweise einem Hacker, ein fehlerhaftes Skript auf einer persönlichen Home­page für seine Zwecke - z.B. zum Versenden von Spam - zu verwenden, so wird vom Helpdesk für die betroffene UserID das Service WWW gesperrt. Dadurch ist die Web­seite nicht mehr erreichbar, der betroffene User kann aber alle anderen Services ungehindert weiter verwenden.

Bei Light-IDs ist es genau umgekehrt: Vorerst darf eine Light-ID gar nichts, sondern jedes einzelne Service muss ihr explizit erlaubt werden. Häufig verwendete Kombinationen von Berechtigungen können zu so genannten "Profilen" zusammengefasst werden.

Profile

Von den vordefinierten Profilen sind vor allem zwei von Be­deutung, die über die weiter unten beschriebene Web­maske von jedem Mailbox-User zugewiesen werden können:

  • Das Standard-Profil erlaubt vor allem Zugang zum Datennetz - über Datensteckdose, WLAN (Daten­tank­stelle), VPN und Einwahl über Modem. Auch das Än­dern des Passworts und das Abfragen von Informationen zur eigenen UserID (unter www.univie.ac.at/ZID/account-info/) sind möglich. Dieses Profil bietet im Wesentlichen die Möglichkeiten der bisherigen temporären UserIDs.
  • Das erweiterte Profil bietet zusätzlich Mailing (mit der Möglichkeit einer Weiterleitung an eine externe Mail­adresse), Fileservices mit einer Plattenplatzbeschrän­kung von 1 GB sowie die Möglichkeit, die PC-Räume zu verwenden.

Anlegen von Light-IDs

Jede Person, die im Personalstand der Universität Wien aufscheint (http://online.univie.ac.at/pers) und eine gültige Mailbox-UserID besitzt, kann mit Hilfe einer Webmaske Mailbox Light-UserIDs anlegen. Diese Person ist für die von ihr angelegten Light-IDs verantwortlich und wird bei allen administrativen Änderungen (z.B. Ändern des Passworts durch den Helpdesk, Ablauf der UserID) mittels eMail verständigt.

Die Webmaske ist unter dem URL www.univie.ac.at/ZID/light/ zu finden und denkbar einfach: An­zu­geben sind nur der Name der Person, eine kurze Be­schrei­bung (z.B. Kongressteilnehmerin), das gewünschte Pro­fil (Stan­dard oder Erweitert) und die gewünschte Gültig­keits­dauer (maximal sechs Monate). Optional kann auch eine ex­terne Mailadresse angegeben werden. Nach einem Klick auf Fertig­stellen wird die Light-ID sofort angelegt. Die UserID und die sonstigen Informationen zum neuen Account erscheinen nicht nur auf dem Bildschirm, sondern werden auch als eMail zugestellt: auf jeden Fall an den Verantwort­lichen, sofern vorhanden auch an die angege­bene externe Adresse. Falls das erweiterte Profil gewählt wird, besteht die Möglichkeit, gleich beim Anlegen eine eMail-Weiter­leitung zu konfigurieren. Mittels des Menü­punkts Bulk-Vergabe können bis zu 20 Light-IDs auf einmal vergeben werden (z.B. für Kurse und Lehrveran­staltungen).

Wer mit den beiden vordefinierten Profilen nicht glücklich ist, kann am Helpdesk des Zentralen Informatikdienstes (siehe www.univie.ac.at/ZID/helpdesk/) auch eine Mailbox Light-ID "maßschneidern" lassen: Hier ist jede be­lie­bige Kombination von Privilegien möglich. Auch wenn eine längere Gültigkeitsdauer als sechs Monate gewünscht ist (maximal zwei Jahre), wenden Sie sich bitte an den Help­desk des ZID.

Ablauf und Verlängerung

Nach Ablauf der Gültigkeitsdauer werden Light-IDs unverzüglich deaktiviert; der Verantwortliche wird davon mittels eMail verständigt. Falls die Light-ID eine Gültigkeitsdauer von mindestens vier Wochen hat, erfolgt zwei Wochen vor Ablauf eine Warnung. Diese Warnung wird sowohl an den Verantwortlichen als auch an den Inhaber der Light-ID gesendet - letzteres natürlich nur, wenn dieser das Privileg Mailing hat oder eine externe Mailadresse angegeben wurde. Bei Erhalt der Warnung kann der Verantwortliche die Light-ID verlängern, indem er einfach auf den mitgeschickten Link klickt.

Nachdem Mailbox Light-UserIDs alle Funktionen der bis­herigen temporären UserIDs erfüllen, wurden diese aufgelassen. Auch die meisten Funktionen der K-IDs werden von Light-IDs übernommen: Beispielsweise erhalten Teilneh­merInnen der Wiener Internationalen Hochschulkurse nunmehr Mailbox Light-UserIDs mit einem speziellen WIHOK-Profil. Da für manche Kurse und Lehrveranstaltungen weiterhin K-IDs benötigt werden, stehen diese noch länger zur Verfügung; sie sollen aber mittelfristig ebenfalls aufgelassen werden.

 

 

1) Auch das Zusammenführen von u:net- und Mailbox-Benutzungs­berechtigungen auf eine einzige hätte erhebliche Vorteile. Nachdem aber aus historischen Gründen die Personal- und die Studieren­denverwaltung der Universität Wien strikt voneinander getrennt sind, kann eine solche Zusammenführung - wenn überhaupt - erst in fernerer Zukunft stattfinden.

2) siehe Artikel Mailbox-Service: Neuerungen bei der Administration in Comment 06/3, Seite 5 (http://comment.univie.ac.at/06-3/5a/)

3) Eine Vergabe von solchen Mailadressen für die meist recht kurzlebigen Light-IDs würde zu Problemen wegen häufiger Namens­kolli­sionen führen.

4) Computer Telephone Interface (www.univie.ac.at/ZID/cti/)