Page tree
Skip to end of metadata
Go to start of metadata

Warum eine eigene (Funktions-)Kennung für jeden Webserver?

Eine eigene Funktionskennung ist eine der Voraussetzungen für einen neuen Webserver.

Hintergrund für das Betriebskonzept

Bei der Verwaltung eines Webservers müssen u.a. die folgenden Punkte technisch und organisatorisch gelöst werden:

  • Voller administrativer Zugang zu den Inhalten und Daten des Webauftritts
  • Volle administrative und organisatorische Verfügungsgewalt über den Webserver
  • Mindestens eine Person, die die Verantwortung übernimmt und für das LRZ als Ansprechpartner:in dient

Es liegt nahe, diese Punkte auf Basis einer Kennung im Rahmen des Benutzerverwaltung-Verbundes im Münchner Wissenschaftsnetz (MWN) abzuwickeln.

Gegenüber einer persönlichen Kennung bietet eine Funktionskennung mehrere Vorteile:

  • Eine Funktionskennung gehört keiner individuellen Person.
    Dadurch gibt es dann auch keine Probleme, wenn eine verantwortliche Person nicht mehr zuständig ist oder die Einrichtung verlässt.
  • Laut den Nutzungsregeln darf man das Passwort einer persönlichen Kennung nicht weitergeben.  Dies führt zu einem Problem, wenn ein Webserver von mehr als einer Person verwaltet wird.
    Bei einer Funktionskennung ist dies anders:

    Gut zu wissen

    Man darf das Passwort einer Funktionskennung weitergeben.

    Man darf das Passwort sogar mehr als einer Person weitergeben.

    Man darf das Passwort sogar einer (externen) Person geben, die keine eigene persönliche Kennung besitzt, und evtl. auch keine persönliche Kennung bekommen kann.  Dies kommt z.B. dann vor, wenn eine Webagentur die Gestaltung eines Webauftritts im Auftrag einer Einrichtung übernimmt.  Mitarbeiter dieser Agentur können normalerweise keine persönliche Kennung bekommen.

    Aber Achtung

    Alle Personen, die das Passwort der Funktionskennung erhalten, müssen sich an die Nutzungsregeln zur Benutzerverwaltung halten, die die jeweilige Einrichtung (LRZ/BAdW, LMU, TUM, HM, HSWM, …) veröffentlicht hat.

    Im Falle von LRZ-Funktionskennungen siehe dazu:

Regelung beim LRZ-Webhosting (Autorisierungs-Konzept)

Beim LRZ-Webhosting wird jedem Webserver genau eine Funktionskennung zugeordnet, die man ausschließlich für die Verwaltung dieses Webservers verwenden sollte.  Die obigen Funktionen / Aufgaben bei der Verwaltung eines Webservers werden wie folgt auf die Funktionskennung abgebildet:

  • Jede Person, die das Passwort der Funktionskennung kennt, besitzt den vollen administrativen Zugang zu den Inhalten und Daten des Webauftritts.
  • Der/die Kennungsverantwortliche und alle Kennungsbesitzer:innen der Funktionskennung besitzen die volle administrative und organisatorische Verfügungsgewalt über den Webserver.  Diese Person(en) haben nicht nur administrativen Zugang zu den Daten des Webauftritts, sondern können auch über den Lebenszyklus des Webservers entscheiden.
  • Der/die Kennungsverantwortliche und alle Kennungsbesitzer:innen der Funktionskennung sind für den Webserver verantwortlich und Ansprechpartner für das Webhosting-Team.

Authentisierung bei kritischen Anfragen

Bei kritischen Anfragen muss man verständlicherweise aus Sicherheitsgründen die eigene Identität nachweisen, bevor das Webhosting-Team aktiv werden kann.

Beispiel:  Ein Webauftritt ist nicht mehr erforderlich.  Die Kennungsverantwortliche wünscht deshalb die Löschung des betreffenden Webservers, damit er nicht mehr gepflegt werden muss.  Es liegt auf der Hand, dass man eine derartige Anfrage nicht mit einer einfachen E-Mail schicken kann;  E-Mails kann man beliebig leicht fälschen.

Kritische Anfragen werden deshalb nur dann bearbeitet, wenn der/die Kennungsverantwortliche oder einer der Kennungsbesitzer:innen die Anfrage über den Servicedesk in Form eines "Selfservice" stellt.  Bei dieser Variante muss man sich nämlich mit der eigenen persönlichen Kennung anmelden (im Gegensatz zu der Alternative "Simple Submit").

Wie kommt man zu einer Funktionskennung?

Die einzelnen Einrichtungen (LMU, TUM, …) vergeben neben persönlichen Kennungen teilweise auch Funktionskennungen.

Daneben gibt es bei vielen Bereichen im Münchner Wissenschaftsnetz lokal vor Ort (z.B. beim Lehrstuhl oder Institut) ein LRZ-Projekt (formaler organisatorischer Rahmen), über das man eine Funktionskennung erhalten kann. Für die Verwaltung des LRZ-Projekts ist mindestens ein:e Master-User:in zuständig;  meist ein:e Mitarbeiter:in des betreffenden Lehrstuhls oder Instituts.  Der/die Master-User:in kann z.B. eine neue Funktionskennung einrichten oder bei einer schon existierenden Funktionskennung die (meisten) Attribute ändern.

Wenden Sie sich darum für eine neue Funktionskennung bitte an den/die für Sie zuständige:n Master-User:in.  Falls Sie diesen nicht kennen oder Unterstützung bei der Beantragung eines neuen LRZ-Projekts benötigen, wenden Sie sich bitte schriftlich oder telefonisch (089 35831 8800) an den Servicedesk.

Hinweis

Das LRZ kann Ihnen prinzipiell keine Funktionskennung für einen Webserver geben:
Durch den Besitz einer geeigneten Funktionskennung weisen Sie Ihre Berechtigung nach, einen Webserver im Rahmen des LRZ-Webhosting zu erhalten.

Funktionskennung neu einrichten oder aktualisieren

Hinweis

Wenn Sie eine neue Funktionskennung erhalten, besitzt diese meist ein Startpasswort, mit dem Sie ausschließlich das Passwort ändern können.  Vor weiteren Aktionen mit der Kennung müssen Sie darum das Passwort selbst erstmalig setzen.

Kennungsverantwortliche:r und Kennungsbesitzer

Jede Funktionskennung besitzt genau eine:n Kennungsverantwortliche:n.  Darüber hinaus können beliebig viele weitere Kennungsbesitzer:innen eingetragen werden.

Im Rahmen des LRZ-Webhosting sollten die Rollen wie folgt verteilt werden:

Kennungsverantwortliche:r

Person, die für den Webserver primär zuständig/verantwortlich ist und die volle administrative und organisatorische Verfügungsgewalt über den Webserver besitzt.

Nur diese Person ist berechtigt, den Webserver wieder löschen zu lassen.

Kennungsbesitzer:in
  • Person, die eine eingeschränkte administrative und organisatorische Verfügungsgewalt über den Webserver (s.o.) erhalten soll.
    Diese Person kann z.B. veranlassen, dass eine Datenbank nachträglich eingerichtet wird.
  • Person, die auch ein:e Ansprechpartner:in ist.

Aus technischen Gründen müssen diese Personen eine Kennung des Benutzerverwaltung-Verbundes im Münchner Wissenschaftsnetz besitzen.

Diese Personen haben die folgenden Aufgaben:

  • Technischer Betrieb des Webservers und Pflege der Inhalte des Webauftritts.
    Wenn man dafür keine Zeit oder zu wenig Know-how hat, muss man dies von Hilfskräften, einer Webagentur usw. erledigen lassen.
  • Übernahme der Betriebsverantwortung.
    Sie sind z.B. dafür verantwortlich, dass bei einer PHP-Anwendung (z.B. das CMS "WordPress") alle Sicherheits-Patches zeitnah eingespielt werden.
  • Ansprechpartner gegenüber dem Webhosting-Team des LRZ

Gut zu wissen

Diese Personen werden kontaktiert (s.u.), wenn es Probleme mit dem Webserver gibt.  Beispiele:

  • Eine PHP-Anwendung stört den Betrieb der Web-Infrastruktur am LRZ.
  • Der Webserver wurde kompromittiert.  In diesem Fall wird der Webauftritt zeitnah abgeschaltet.

Mail-Adressen für den Kontakt

Alle automatisiert erzeugten und die meisten individuell geschriebenen E-Mails werden nur an die folgenden beiden Mail-Adressen geschickt:

  • Mail-Adresse des/der Kennungsverantwortlichen
  • Mail-Adresse der Funktionskennung (falls vorhanden)

Nur in Ausnahmefällen (z.B. wenn es größere Probleme mit dem Webserver gibt) schickt das Webhosting-Team eine E-Mail auch noch an den/die Kennungsbesitzer:innen.

Deshalb ist die folgende Vorgehensweise sinnvoll:

  • Der/die Master-User:in aktiviert bei der Funktionskennung den LRZ-Dienst "Mail" (s.u.).
  • Sie verknüpfen die Funktionskennung mit einer Mail-Adresse und richten eine geeignete Weiterleitung ein (s.u.).

LRZ-Dienste

Im IDM-Portal können Sie für Ihre Funktionskennung die Dienste einsehen, die für diese Kennung aktiv sind.  Für eine Funktionskennung, der ein Webserver zugeordnet werden soll, sollten die folgenden LRZ-Dienste aktiviert sein. Dies ist sinnvoll, da es das Arbeiten erleichtert; es ist jedoch nicht zwingend erforderlich.

NameBedeutung
MailBerechtigung für ein einfaches Postfach mit einer Mail-Adresse (s.u. den Vorschlag für eine geeignete Konfiguration)
VPN/WLANSinnvoll, da der Zugangsrechner zur Verwaltung des Webservers und seines Inhalts zur Sicherheit nur aus dem Münchner Wissenschaftsnetz heraus erreichbar ist.
DatentransferBerechtigung für einen FTP-Transfer-Bereich
Web ServerDieser Dienst kann und muss nicht im IDM-Portal gewählt werden, sondern wird automatisch beim Einrichten des Webservers aktiviert.

Einstellungen der Funktionskennung ändern

Der/die Kennungsverantwortliche und alle Kennungsbesitzer können das Passwort und die Mail-Konfiguration der Funktionskennung im IDM-Portal selbst ändern.

Passwort ändern

  1. Melden Sie sich zunächst beim IDM-Portal mit Ihrer eigenen persönlichen Kennung an (nicht mit der Funktionskennung, deren Einstellungen Sie ändern möchten).
  2. Wählen Sie aus der linken Spalte den Bereich "Self Services" aus.
  3. Wählen Sie in der linken Spalte die Aktion "Passwort ändern".
  4. Nun sehen Sie alle Ihnen zugeordneten Kennungen. Wählen Sie hier die Funktionskennung aus, deren Passwort Sie setzen möchten.

Wenn Ihnen bei einer (Funktions-)Kennung das Passwort nicht mehr bekannt ist, kann der/die Master-User:in (s.o.) ein neues Startpasswort setzen.  Dies müssen Sie dann auf dem soeben beschriebenen Wege erneut erstmalig setzen.

Mail-Konfiguration vornehmen

Eine Kontakt-Mail-Adresse zur Funktionskennung ist sehr empfehlenswert (s.o.).

Wenn bei der Funktionskennung der LRZ-Dienst "Mail" aktiviert ist, können Sie im IDM-Portal eine Mail-Adresse eintragen.  Dabei müssen Sie dann auch mindestens eine der beiden folgenden Funktionen einrichten (s.u.):

  • Postfach (Mailbox).
    Bitte denken Sie daran, dass sich in diesem Fall auch jemand um das Postfach kümmert.
  • Die Weiterleitung besteht aus einer Liste von Mail-Adressen, an die ankommende E-Mails weiter geschickt werden.
    • In diese Liste sollte man unbedingt Personen aufnehmen, die für den technischen Betrieb des Webauftritts zuständig sind.  Dadurch vermeidet man Verzögerungen bei wichtigen Benachrichtigungen (wenn es z.B. Probleme mit Ihrem Webauftritt gibt und das Webhosting-Team Sie deswegen kontaktiert).
    • Es ist auch sinnvoll, wenn man Personen in die Liste aufnimmt, die für den organisatorischen Betrieb des Webauftritts zuständig/verantwortlich sind.
    • Personen, die ausschließlich für Inhalte zuständig sind, werden normalerweise nicht in die Liste aufgenommen.
    Mit der Weiterleitung kann das Webhosting-Team auch Personen direkt erreichen, denen Sie das Passwort der Funktionskennung nicht geben möchten.

Gut zu wissen

  • Eine Mail-Adresse können Sie nur dann einrichten, wenn bei der Kennung der LRZ-Dienst "Mail" aktiv ist (s.o.).
  • Neben der primären Mail-Adresse (der "Hauptmailadresse") können Sie auch noch optional zusätzliche Aliase einrichten.
  • Sie haben die Möglichkeit, eine Abwesenheitsnotiz zu aktivieren.
  • Sie erhalten nur ein einfaches Postfach (kein Exchange- Postfach mit erweiterten Groupware-Funktionen).

Die Haupt-Mail-Adresse (und optionale Aliase) richten Sie ein im IDM-Portal bei den Self-Services im Aufgabenbereich "Kennung / E-Mail-Konfiguration" (Aktion "[ Mailadresse(n) anzeigen/ändern ]").  Im Normalfall steht kurz danach auch das Postfach zur Verfügung.  Der Zugriff auf das Postfach ist mit den meisten Mail-Programmen möglich (wie z.B. Mozilla Thunderbird);  die Parameter zur Konfiguration finden Sie unten.

Danach können Sie auch noch optional eine Weiterleitung aktivieren (Aktion "[ Weiterleitung anzeigen/ändern ]").  In diesem Fall wird in der Voreinstellung eine eintreffende E-Mail nicht zusätzlich im Postfach abgelegt.
Soll eine eintreffende E-Mail sowohl weiter geleitet als auch eine Kopie im Postfach abgelegt werden, müssen Sie bei der Frage "
Ich will meine E-Mail trotzdem weiterhin über die LRZ-Kennung  abrufen können:" die Auswahl von "Nein" (Voreinstellung) auf "Ja" ändern.

Hinweis

Bitte wählen Sie die Variante "Zusätzliche Ablage im Postfach" nur dann, wenn Sie das Postfach auch wirklich nutzen wollen und zumindest sporadisch darauf zugreifen.

Ansonsten besteht die Gefahr, dass sich in dem Postfach zur Funktionskennung im Laufe der Zeit viele E-Mails ungenutzt ansammeln.

Falls im Postfach wirklich E-Mails abgelegt werden, können Sie mit den meisten Mail-Programmen darauf zugreifen.  Parameter zur Konfiguration Ihres Mail-Clients:

ProtokollServerPortVerschlüsselungsart
IMAP mailin.lrz.de 143STARTTLS (Passwort, normal)
SMTPmailout.lrz.de587STARTTLS (Passwort, normal)
  • No labels