Absenzen!

Da Absenzen! eine Client-Server-Lösung ist, müssen die Clients den Server auch über das Netzwerk erreichen können. Dies ist natürlich eine Aufgabe des Systemadministrators bzw. der beauftragten Firma für die Netzwerkverwaltung und insbesondere nicht Teil dieses Projekts. Um aber auftauchende Fragen im Vorfeld zu beantworten, möchte ich drei Szenarien vorstellen:

Die Rechner im Verwaltungsnetz gelten als sicher, so dass sie direkt den Server erreichen dürfen - sie sind einfach mit demselben Netzwerk verbunden und können sich per IP direkt kontaktieren. Sind alle relevanten Arbeitsplätze in diesem Netz, so gibt es keine Arbeit mit dem Netzwerk.

In der Regel werden Lehrerarbeitsplätze allerdings im pädagogischen Netzwerk, das zu Recht als unsicher gilt, untergebracht sein.

Im Folgenden sehen Sie drei Szenarien, die sich aber auf unterschiedliche Voraussetzungen in Ihrem Netzwerk beziehen. Nur die gestrichelt eingezeichneten 1 - 2 Linien sind die jeweils notwendige Ergänzung, um den Absenzenserver (A!) in das Netzwerk zu bringen. Klicken Sie auf die Links für eine vergrößerte Ansicht (Shapes von draw-shapes.de)

Der geringste Aufwand ist den Server mit zwei Netzwerkkarten auszustatten und damit mit beiden Netzen zu verbinden. Da der Zugriff auf Absenzen! passwortgeschützt ist, sind weder die Netze verbunden noch der Zugriff auf die Schülerdaten durch Dritte möglich. Allerdings muss man sicherstellen, dass der Server selber nicht angreifbar ist!

vergrößern

In pädagogischen Netzen mit einem Proxy (bzw. Internetfilter oder Firewall) gibt es bereits ein Mininetz (DMZp) zwischen Proxy und Internetrouter. Dann kann man den Server einerseits mit dem Verwaltungsnetzwerk, andererseits mit dieser DMZp verbinden. Nun ist der Server aus dem pädagogischen Netzwerk nur über sein offizielles Webinterface erreichbar und der Zugriff kann im Proxy zusätzlich auf die Lehrerarbeitsstationen beschränkt werden. Bei einer evtl vorhandener DMZv auf Seite des Verwaltungsnetzes sollte man diese Lösung auch dort anstreben (siehe Abbildung), sonst wie bei der „Einfachen Lösung“ (s.o.). Der Server steht in der jeweiligen DMZ zwischen Proxy und Router

vergrößern

Wurde der Internetzugang für beide Netze mit einem gemeinsamen Router realisiert, so kann man an diesem Router wahrscheinlich auch eine gemeinsame DMZ einrichten, die der perfekte Ort für diesen Server wäre. Dann kann man seinen Internetzugriff im Router auf die Repositories der Distribution und http://absenzen.de sowie ggf. den Mailserver für den Absenzenautomat beschränkt werden - eine Erreichbarkeit von außen sollte ohne einen VPN-Tunnel o.ä. aus Sicherheitsgründen nicht erwogen werden. Die DMZ muss natürlich aus beiden Netzen erreichbar sein, ggf. mit eingeschränkten IP-Bereichen im pädagogischen Netz um den Zugriff dort auf Lehrerrechner zu beschränken..

vergrößern