Angemeldete Benutzer anzeigen

anonymous@undisclosed.example.com (Anonymous) — Fri, 24 Jun 2022 09:09:17 +0000

Angemeldete Benutzer anzeigen

Über einem Link zum ASV-Server werden nach einer Berechtigungsprüfung die aktuell an diesem ASV-Server angemeldeten Benutzer angezeigt. Dabei wird für jede Anmeldung eine Tabellenzeile ausgegeben. Sollte der gleiche Benutzer in verschiedenen Sitzungen angemeldet sein, dann wird dieser Benutzer mehrfach angezeigt.

Sie rufen dafür im Browser (z.B. Internet Explorer) eine speziell abgewandelte Adresse des ASV-Server auf. Zur Installation des ASV-Clients haben Sie die Serveradresse in Form einer IP-Adresse oder eines Servernamens und nach einem Doppelpunkt („:“) den Port (Standard: 8765) angegeben. Wenn Sie bei der Clientinstallation 178.1.192.37:8765 verwendet haben, dann geben Sie als Adresse im Browser nun https://178.1.192.37:8765/users an. Rufen Sie den Browser am Computer auf, auf dem der ASV-Server-Dienst läuft, dann verwenden Sie https://localhost:8765/users als Adresse.

Beim Aufruf muss evtl. das unbekannte „unsichere“ Serverzertifikat bestätigt werden. Dann wird man nach einem Benutzernamen und einem Passwort gefragt. Dabei handelt es sich um Kennung und Passwort wie zur Anmeldung am ASV-Client.

Wenn keine (relevanten) Benutzer an diesem ASV-Server angemeldet sind, dann wird eine entsprechende Meldung ausgegeben.

Es sind aktuell keine Benutzer angemeldet.

Ansonsten erscheint eine Liste der angemeldeten Benutzer mit folgenden Angaben:

Kennung
Anzeigename
angemeldet seit
Liste der berechtigten Schulnummern

Die Verwendung ist für zwei Anwendungsfelder konzipiert.

Systemadministrator

Zweck: Der ASV-Systembetreuer muss Wartungsarbeiten, z.B. ein Update, durchführen und muss dafür den ASV-Server-Dienst herunterfahren. Dafür ist es sinnvoll, alle Anwender vorher z.B. per Mail über das Zeitfenster der Wartungsarbeiten zu informieren. Trotzdem kann es sinnvoll sein, vor dem Beenden des Dienstes zu prüfen, ob dennoch jemand angemeldet ist.

Meldet sich ein ASV-Systemadministrator (z.B. sys) an, dann werden alle angemeldeten Benutzer angezeigt.

schulscharfe Sicherung

Zweck: Ein Benutzer möchte eine schulscharfe Sicherung wiederherstellen/rücksichern. Dafür ist es sinnvoll, dass kein Benutzer an den Daten dieser Schule arbeitet.

Meldet sich ein Benutzer mit dem Recht zum Sichern und Rücksichern der Daten der Schule an, dann werden nur die Benutzer angezeigt, die Rechte für diese Schule haben.

Konfiguration

Zugriffe nur von bestimmten Rechnern aus möglich

Um Bedenken bei der Netzwerksicherheit auszuräumen, können Zugriffe auf die Liste der angemeldeten Benutzer eingeschränkt bzw. verhindert werden.

Hierzu werden Konfigurationsparameter eingeführt, mit denen sich das Verhalten steuern lässt: In der config.local.ini des DSS wird ein Parameter app.userlist.allow.address eingeführt, der eine Liste der zulässigen Netzadressen zum Abruf festlegt. Als Adressen können Namen oder IPv4-Adressen angegeben werden. Die einzelnen Namen werden durch ein Semikolon getrennt. Jeder konfigurierte Name/Adresse kann am Anfang oder am Ende genau ein Wildcard (*) enthalten, der beliebige Präfixe bzw. Suffixe erlaubt. Somit können Zugriffe für ganze Subnetze bzw. Domains freigeschaltet werden. Ist keine Adressliste konfiguriert, so findet keine Adressprüfung statt.

Soll der Zugriff nur lokal auf den ASV-Server möglich sein, dann lautet der Eintrag:

app.userlist.allow.address=127.0.0.1;localhost

Für bestimmte Adressbereiche verwenden Sie:

app.userlist.allow.address=localhost;*.rz.meinestadt.de;10.1.172.*;10.2.*

Beim Aufruf wird zunächst die IP-Adresse des Aufrufers ermittelt. Da der Zugriff i.d.R. über einen Proxy erfolgt muss hierzu ein evtl. vorhandener X-Forwarded-For Header des HTTP-Requests ausgewertet werden, um die korrekte Adresse des Aufrufers zu ermitteln.

Die so ermittelte Client IP-Adresse wird zunächst mit den einzelnen in der Konfiguration enthaltenen Adressen abgeglichen. Stimmt die Adresse mit keiner Adresse überein (unter Berücksichtigung des Wildcards), so wird über einen DNS Reverse Lookup der Rechnername des Aufrufers bestimmt. Kann ein solcher Name ermittelt werden, so wird auch der Name gegen die einzelnen Adressen aus der Konfiguration abgeglichen. Ergibt sich auch hier keine Übereinstimmung, so wird der Request mit einer HTTP 403 (Forbidden) Antwort abgelehnt. Es wird kein weiterer Inhalt zurückgeliefert.

Zugriffe nur durch bestimmte Nutzergruppen möglich

Um die Möglichkeit einer Überwachung der Mitarbeiter zu verhindern, können Zugriffe auf die Liste der angemeldeten Benutzer eingeschränkt bzw. verhindert werden.

In der config.local.ini des DSS wird ein Parameter app.userlist.allow.users eingeführt, der festlegt, welche Benutzerebene diese URL aufrufen darf. Erlaubt sind hier die folgenden Werte:

all: Alle authentifizierten Benutzer, die über die erforderlichen Berechtigungen verfügen. Dies ist die Standardeinstellung.
sys: nur ASV-Systemadministratoren dürfen die URL aufrufen
no: Niemand darf die URL aufrufen

Wenn der Aufruf für den aktuellen Benutzer nicht zulässig ist, dann wird der Request mit einer HTTP 403 (Forbidden) Antwort abgelehnt. Es wird kein weiterer Inhalt zurückgeliefert.

Amtliche Schulverwaltung - Dokumentation - alle:technik:user

Angemeldete Benutzer anzeigen

Angemeldete Benutzer anzeigen

Systemadministrator

schulscharfe Sicherung

Konfiguration

Zugriffe nur von bestimmten Rechnern aus möglich

Zugriffe nur durch bestimmte Nutzergruppen möglich