Für den Betrieb einer Website im LRZ-Webhosting benötigen Sie eine Funktionskennung. In diesem Artikel erfahren Sie u.a., was eine Funktionskennung ausmacht und wie Sie eine solche für Ihre Website erhalten.

Auf den Punkt gebracht

Die Funktionskennung ist sowohl technisch als auch organisatorisch essentiell für den Betrieb einer Website im LRZ-Webhosting.
Das Passwort einer Funktionskennung darf an andere Personen weitergegeben werden, die sich um die Website kümmern, z.B. studentische Hilfskräfte, Webdesign-Agenturen etc.
Um eine neue Funktionskennung zu erhalten, wenden Sie sich bitte an Ihren zuständigen Master-User. Sie sollten diesen finden, wenn Sie sich im IDM-Portal die Informationen zu Ihrer persönlichen Kennung anzeigen lassen. Für weitere Unterstützung (z.B. bei der Beantragung eines neuen LRZ-Projekts) wenden Sie sich bitte an den LRZ-Servicedesk.

Das Konzept – Eigenschaften und Sinn von Funktionskennungen

Bei der Verwaltung einer Website müssen u.a. die folgenden Punkte technisch und organisatorisch gelöst werden:

Voller administrativer Zugang zu den Inhalten und Daten des Webauftritts
Volle administrative und organisatorische Verfügungsgewalt über die Website
Mindestens eine Person, die die Verantwortung übernimmt und für das LRZ als Ansprechpartner dient

Es liegt nahe, diese Punkte auf Basis einer Kennung im Rahmen des Benutzerverwaltung-Verbundes im Münchner Wissenschaftsnetz (MWN) abzuwickeln.

Vorteile einer Funktionskennung

Im Zusammenhang mit einem Service wie dem LRZ-Webhosting bietet eine Funktionskennung mehrere Vorteile gegenüber einer persönlichen Kennung:

Bindung der Funktionskennung an den Dienst anstatt an Personen, dadurch geteilte Verantwortung und Vermeidung des "Verwaisens" von Diensten (d.h. Dienste, für die niemand mehr formell verantwortlich ist).
Möglichkeit der Weitergabe des Passworts der Funktionskennung.

Ausführlicher dargestellt:

Eine Funktionskennung gehört, anders als eine persönliche Kennung, nicht einer individuellen Person, sondern sie ist vom Konzept her mit dem Dienst verbunden, für den sie verwendet wird (im Falle des LRZ-Webhosting-Dienstes ist dies die zu hostende Website). Die Funktionskennung kann von mehreren Personen verwaltet werden, nämlich dem Kennungsverantwortlichen und optional weiteren Kennungsbesitzern (sowie in letzter Instanz immer auch von den zuständigen Master-Usern). Wenn eine für die Website verantwortliche Person nicht mehr zuständig sein sollte, weil sie z.B. die Einrichtung verlässt, wird auf diese Weise sichergestellt, dass es immer mindestens eine verantwortliche Person gibt.

Zudem darf im Gegensatz zu persönlichen Kennungen das Passwort einer Funktionskennung weitergegeben werden. Das Passwort darf sogar Personen mitgeteilt werden, die keine eigene persönliche Kennung besitzen und die u.U. auch keine persönliche Kennung bekommen können. Auf diese Weise können z.B. Webdesign-Agenturen oder studentische Hilfskräfte die Website inhaltlich verwalten, ohne dass sie zugleich administrativ verantwortlich sind – dies bleibt dem Kennungsverantwortlichen und den Kennungsbesitzern vorbehalten, ist also vom Wissen um das Passwort der Kennung entkoppelt.

Bitte beachten Sie die Nutzungsregeln

Alle Personen, die das Passwort der Funktionskennung erhalten, müssen sich an die Nutzungsregeln zur Benutzerverwaltung halten, die die jeweilige Einrichtung (LRZ/BAdW, LMU, TUM, HM, HSWM, …) veröffentlicht hat.

Im Falle von LRZ-Funktionskennungen siehe dazu:

KennungsverantwortlicheR und KennungsbesitzerInnen

Jede Funktionskennung besitzt genau eine:n Kennungsverantwortliche:n. Darüber hinaus können beliebig viele weitere Kennungsbesitzer:innen eingetragen werden.

Die folgende Tabelle zeigt die Rollenverteilung im Rahmen des LRZ-Webhostings.

Bezeichnung

Rolle

KennungsverantwortlicheR

Die Person, die für die Website primär zuständig/verantwortlich ist und die volle administrative Verfügungsgewalt über die Website besitzt.

Nur diese Person ist berechtigt, die Website wieder löschen zu lassen.

KennungsbesitzerIn

Eine Person, die eine eingeschränkte administrative Verfügungsgewalt über die Website (s.o.) erhalten soll.
Diese Person kann z.B. veranlassen, dass eine Datenbank nachträglich eingerichtet wird.
Eine Person, die auch Ansprechpartner:in für die Website ist.

Aus technischen Gründen müssen diese Personen eine Kennung des Benutzerverwaltung-Verbundes im Münchner Wissenschaftsnetz (MWN) besitzen.

Kennungsverantwortliche und Kennungsbesitzer:innen haben in Bezug auf die Website, die mit der Funktionskennung verknüpft ist, die folgenden Aufgaben:

Technischer Betrieb der Website und Pflege der Inhalte des Webauftritts. Wenn man dafür keine Zeit oder zu wenig Know-how hat, muss man dies von Hilfskräften, einer Web-Agentur usw. erledigen lassen.
Übernahme der Betriebsverantwortung. Sie sind z.B. dafür verantwortlich, dass bei einer PHP-Anwendung (z.B. das CMS "WordPress") alle Sicherheits-Patches zeitnah eingespielt werden.
Kontaktperson für die Website bei Informationen zu Änderungen der Betriebsumgebung seitens des LRZ-Webhosting-Teams sowie bei Problemen mit der Website (z.B. zu hohe Last, Angriff/Kompromittierung der Website etc.).

Autorisierungskonzept im LRZ-Webhosting

Beim LRZ-Webhosting wird jeder Website genau eine Funktionskennung zugeordnet, die man ausschließlich für die Verwaltung dieser Website verwenden sollte. Die obigen Funktionen / Aufgaben bei der Verwaltung einer Website werden wie folgt auf die Funktionskennung abgebildet:

Jede Person, die das Passwort der Funktionskennung kennt, besitzt den vollen administrativen Zugang zu den Inhalten und Daten des Webauftritts.
Der/die Kennungsverantwortliche und alle Kennungsbesitzer/innen der Funktionskennung besitzen die volle administrative und organisatorische Verfügungsgewalt über die Website. Diese Person oder Personen haben nicht nur administrativen Zugang zu den Daten des Webauftritts, sondern können auch über den Lebenszyklus der Website entscheiden.
Der/die Kennungsverantwortliche und alle Kennungsbesitzer/innen der Funktionskennung sind für die Website verantwortlich und Ansprechpartner für das Webhosting-Team.

Für Änderungswünsche an Ihrer Website, die vom LRZ vorgenommen werden müssen (z.B. Eintragung eines Alias-Namens, Löschung des Webauftritts oder dergleichen), ist es verständlicherweise aus Sicherheitsgründen notwendig, dass Sie Ihre Identität sowie Ihre Berechtigung für die jeweilige Anfrage nachweisen. Details entnehmen Sie bitte dem Abschnitt "Vorgaben für LRZ-seitige Änderungen an Websites" im Artikel Kontakt zum LRZ-Webhosting-Team.

Wie Sie eine Funktionskennung erhalten

Die einzelnen Einrichtungen (LMU, TUM, …) vergeben neben persönlichen Kennungen teilweise auch Funktionskennungen.

Daneben gibt es bei vielen Bereichen im Münchner Wissenschaftsnetz lokal vor Ort (z.B. beim Lehrstuhl oder Institut) ein LRZ-Projekt (formaler organisatorischer Rahmen), über das man eine Funktionskennung erhalten kann. Für die Verwaltung des LRZ-Projekts ist mindestens ein Master-User zuständig; meist ein Mitarbeiter des betreffenden Lehrstuhls oder Instituts. Der Master-User kann z.B. eine neue Funktionskennung einrichten oder bei einer schon existierenden Funktionskennung die (meisten) Attribute ändern.

Hinweis

Das LRZ kann Ihnen prinzipiell keine Funktionskennung für eine Website geben, denn Ihre Einrichtung muss entscheiden, ob Sie berechtigt sind, eine Website im Rahmen des LRZ-Webhosting und damit auch eine Funktionskennung zu erhalten.

Wenden Sie sich darum für eine neue Funktionskennung bitte an den für Sie zuständigen Master-User. Falls Sie diesen nicht kennen oder Unterstützung bei der Beantragung eines neuen LRZ-Projekts benötigen, wenden Sie sich bitte schriftlich oder telefonisch (089 35831 8800) an den Servicedesk.

Sinnvolle Voreinstellungen für die Funktionskennung

LRZ-Dienste

Im IDM-Portal können Sie für Ihre Funktionskennung die Dienste einsehen, die für diese Kennung aktiv sind. Für eine Funktionskennung, der eine Website zugeordnet werden soll, sollten die folgenden LRZ-Dienste aktiviert sein. Dies ist sinnvoll, da es das Arbeiten erleichtert; es ist jedoch nicht zwingend erforderlich.

Name	Bedeutung
Mail	Berechtigung für ein einfaches Postfach mit einer Mail-Adresse (s.u. den Vorschlag für eine geeignete Konfiguration)
VPN/WLAN	Sinnvoll, da der Zugangsrechner zur Verwaltung der Website und seines Inhalts zur Sicherheit nur aus dem Münchner Wissenschaftsnetz heraus erreichbar ist.
Web Server	Dieser Dienst muss nicht (und kann auch nicht) im IDM-Portal ausgewählt werden, sondern er wird automatisch beim Einrichten der Website aktiviert.

Mail-Adressen für den Kontakt

Alle automatisiert erzeugten und die meisten individuell geschriebenen E-Mails werden nur an die folgenden beiden Mail-Adressen geschickt:

Mail-Adresse des/der Kennungsverantwortlichen
Mail-Adresse der Funktionskennung (falls vorhanden)

Nur in Ausnahmefällen (z.B. wenn es größere Probleme mit der Website gibt) schickt das Webhosting-Team eine E-Mail auch noch an die Kennungsbesitzer.

Deshalb ist die folgende Vorgehensweise sinnvoll:

Der Master-User aktiviert bei der Funktionskennung den LRZ-Dienst "Mail" (s.u.).
Sie verknüpfen die Funktionskennung mit einer Mail-Adresse und richten eine geeignete Weiterleitung ein (s.u.).

Einstellungen der Funktionskennung ändern

Der Kennungsverantwortliche und alle Kennungsbesitzer können das Passwort und die Mail-Konfiguration der Funktionskennung im IDM-Portal selbst ändern.

Startpasswort der Funktionskennung

Wenn Sie Ihre neue Funktionskennung erhalten haben, besitzt diese meist ein sog. Startpasswort. Damit Sie die Kennung verwenden können, müssen Sie zunächst das Passwort im IDM-Portal neu setzen.

Melden Sie sich zunächst beim IDM-Portal mit Ihrer eigenen persönlichen Kennung an (nicht mit der Funktionskennung, deren Einstellungen Sie ändern möchten).
Wählen Sie aus der linken Spalte den Bereich "Self Services" aus.
Wählen Sie in der linken Spalte die Aktion "Passwort ändern".
Nun sehen Sie alle Ihnen zugeordneten Kennungen. Wählen Sie hier die Funktionskennung aus, deren Passwort Sie setzen möchten.

Wenn Ihnen bei einer (Funktions-)Kennung das Passwort nicht mehr bekannt ist, kann Ihr Master-User (s.o.) ein neues Startpasswort setzen. Dies müssen Sie dann auf dem soeben beschriebenen Wege erneut erstmalig setzen.

Mail-Konfiguration

Eine Kontakt-Mail-Adresse zur Funktionskennung ist sehr empfehlenswert (s.o.).

Wenn bei der Funktionskennung der LRZ-Dienst "Mail" aktiviert ist, können Sie im IDM-Portal eine Mail-Adresse eintragen. Dabei müssen Sie dann auch mindestens eine der beiden folgenden Funktionen einrichten (s.u.):

Postfach (Mailbox).
Bitte denken Sie daran, dass sich in diesem Fall auch jemand um das Postfach kümmert.
Die Weiterleitung besteht aus einer Liste von Mail-Adressen, an die ankommende E-Mails weiter geschickt werden.
- In diese Liste sollte man unbedingt Personen aufnehmen, die für den technischen Betrieb des Webauftritts zuständig sind. Dadurch vermeidet man Verzögerungen bei wichtigen Benachrichtigungen (wenn es z.B. Probleme mit Ihrem Webauftritt gibt und das Webhosting-Team Sie deswegen kontaktiert).
- Es ist auch sinnvoll, wenn man Personen in die Liste aufnimmt, die für den organisatorischen Betrieb des Webauftritts zuständig/verantwortlich sind.
- Personen, die ausschließlich für Inhalte zuständig sind, werden normalerweise nicht in die Liste aufgenommen.
Mit der Weiterleitung kann das Webhosting-Team auch Personen direkt erreichen, denen Sie das Passwort der Funktionskennung nicht geben möchten.

Gut zu wissen

Eine Mail-Adresse können Sie nur dann einrichten, wenn bei der Kennung der LRZ-Dienst "Mail" aktiv ist (s.o.).
Neben der primären Mail-Adresse (der "Hauptmailadresse") können Sie auch noch optional zusätzliche Aliase einrichten.
Sie haben die Möglichkeit, eine Abwesenheitsnotiz zu aktivieren.
Sie erhalten nur ein einfaches Postfach (kein Exchange- Postfach mit erweiterten Groupware-Funktionen).

Die Haupt-Mail-Adresse (und optionale Aliase) richten Sie ein im IDM-Portal bei den Self-Services im Aufgabenbereich "Kennung / E-Mail-Konfiguration" (Aktion "[ Mailadresse(n) anzeigen/ändern ]"). Im Normalfall steht kurz danach auch das Postfach zur Verfügung. Der Zugriff auf das Postfach ist mit den meisten Mail-Programmen möglich (wie z.B. Mozilla Thunderbird); die Parameter zur Konfiguration finden Sie unten.

Danach können Sie auch noch optional eine Weiterleitung aktivieren (Aktion "[ Weiterleitung anzeigen/ändern ]"). In diesem Fall wird in der Voreinstellung eine eintreffende E-Mail nicht zusätzlich im Postfach abgelegt.
Soll eine eintreffende E-Mail sowohl weiter geleitet als auch eine Kopie im Postfach abgelegt werden, müssen Sie bei der Frage " Ich will meine E-Mail trotzdem weiterhin über die LRZ-Kennung … abrufen können:" die Auswahl von "Nein" (Voreinstellung) auf "Ja" ändern.

Hinweis

Bitte wählen Sie die Variante "Zusätzliche Ablage im Postfach" nur dann, wenn Sie das Postfach auch wirklich nutzen wollen und zumindest sporadisch darauf zugreifen.

Ansonsten besteht die Gefahr, dass sich in dem Postfach zur Funktionskennung im Laufe der Zeit viele E-Mails ungenutzt ansammeln.

Falls im Postfach wirklich E-Mails abgelegt werden, können Sie mit den meisten Mail-Programmen darauf zugreifen. Parameter zur Konfiguration Ihres Mail-Clients:

Protokoll	Server	Port	Verschlüsselungsart
IMAP	mailin.lrz.de	143	STARTTLS (Passwort, normal)
SMTP	mailout.lrz.de	587	STARTTLS (Passwort, normal)