Benutzerverwaltung

Dank der zentralen Benutzerverwaltung des datamate Cockpits ist die Verwaltung von Zugangsdaten und Berechtigungen der Benutzer von Homie und Fellow sehr einfach. Alle Benutzer werden im Cockpit angelegt und verwaltet. Mit einer Benutzername-Passwort-Kombination kann sich ein Benutzer gegenüber allen Diensten authentifizieren. Vergisst ein Benutzer sein Passwort oder ist es nicht mehr sicher, so muß es nur einmal im Cockpit geändert werden und das Passwort wird für alle Dienste neu gesetzt. Mit Cockpit 2.1 wird auch die 2-Faktor-Authentifizierung (2FA) für Cockpit und Seafile unterstützt.

Benutzername

Der Benutzername ist der lokale Teil der E-Mail-Adresse, mit der ein Benutzer im System angelegt werden. Er wird bei der Benutzeranlage im Cockpit festgeschrieben und ist danach unveränderbar.

Passwort

Das Passwort kann durch den Benutzer im eigenen BENUTZERPROFIL oder durch einen Cockpit-Administrator im Bereich BENUTZER geändert werden.

2-Faktor-Authentifizierung

2FA für Cockpit und Seafile minimiert das Risiko unbefugten Zugriffs. 2FA für das Cockpit kann durch den Cockpit-Administrator verpflichtend im Bereich BENUTZER oder den Nutzer optional im eigenen BENUTZERPROFIL aktiviert werden. Die Einrichtung von 2FA für Seafile erfolgt in den persönlichen Einstellungen des Benutzers im Seafile Webinterface. Als Voraussetzung dafür muss 2FA durch den Administrator in den Seafile Einstellungen im Bereich DIENSTE aktiviert werden.

Anmeldung am Cockpit und den Diensten

Anmeldung am System und Diensten

Die Anmeldung im datamate Cockpit erfolgt über den Cockpit-Login. Den Login erreicht man bei der Inbetriebnahme des Geräts unter der IP-Adresse des Servers. Nach Freigabe des Cockpits ins Internet erreicht man das Cockpit auch über die gewählte Freigabe-URL.

Anmeldung an WordPress

Die Anmeldung auf den Benutzeroberflächen der Dienste Benno, Seafile WordPress erfolgt über die jeweilige Login-Seiten. Die Einrichtung der Synchronisationsdienste ist Schritt-für-Schritt in den Anleitungen erklärt, die durch jeden Benutzer über das BENUTZERPROFIL aufgerufen werden können.

Änderung des eigenen Benutzerprofils

Änderungen an den eigenen Benutzerdaten können Benutzer in ihrem BENUTZERPROFIL vornehmen. Das Benutzerprofil verbirgt sich hinter dem obersten Element in der Seitennavigation, das Vor- und Nachname des angemeldeten Benutzers zeigt.

Änderung an den eigenen Benutzerdaten über das BENUTZERPROFIL

Benutzer können ihr Profilbild im Tab Profil ändern. Außerdem werden dort die erteilten Rollen, die verfügbaren VPN-Zertifikate sowie Benachrichtigungen angezeigt. Per Klick auf die angezeigten Webdienste öffnen sich die graphischen Benutzeroberflächen dieser Dienste.

Änderung des Passworts und Aktivierung von 2FA im BENUTZERPROFIL

Im Tab Passwort können Benutzer selbst ihr Passwort ändern. Das Passwort muss bestimmte Mindestanforderungen erfüllen.

Ab Cockpit 2.1 können Benutzer in diesem Tab auch 2-Faktor-Authentifizierung (2FA) für das Cockpit aktivieren. 2FA erfordert neben dem Passwort einen veränderlichen 6-stelligen Zahlencode, der von eine iOS oder Android App erzeugt wird. Bei Aktivierung von 2FA muss der Benutzer eine 2FA-App installieren und einen Schlüssel in diese importieren.

Anlage neuer Benutzer

Neue Benutzer werden im Bereich BENUTZER angelegt. Nur Benutzer mit Administratorberechtigungen für das datamate Cockpit haben Zugriff auf diesen Bereich.

Anlage neuer Benutzer

Mit einem Klick auf das Plus-Icon rechts neben der Suche, öffnet sich der Assistent Neuen Benutzer anlegen.

Anlage neuer Benutzer - Nutzername

Im Tab Pers. Angaben wird der Benutzer beschrieben. Vorname, Nachname und E-Mail-Adresse des Benutzers sind Pflichtangaben. Die Position/Abteilung und das Profilbild sind optional.

Die datamate-Server verwenden den lokalen Teil der E-Mail-Adresse (die Zeichenfolge vor dem @-Zeichen) als Benutzernamen. Er identifiziert Benutzer eindeutig im System. Aus diesem Grund ist es nicht möglich, mehrere Benutzer mit unterschiedlicher E-Mail-Adresse, aber identischem lokalen Teil, anzulegen. Die gleichzeitige Verwendung von max@beispiel.de und max@firma.de sind somit nicht möglich.
Anlage neuer Benutzer - Passwort

Im Tab Passwort kann ein individuelles Passwort definiert werden. Bei einem leeren Passwortfeld erzeugt das System ein Passwort und zeigt es anschließend in den Bestätigungsmeldungen der Benutzeranlage an. Typischerweise wird das Passwort dem neuen Benutzer automatisch zugeschickt. Dies kann durch Deaktivierung des entsprechenden Schalters verhindert werden. Standardmäßig ist für neue Benutzer 2-Faktor-Authentifizierung aktiviert. Diese kann durch den untersten Schalter deaktiviert werden. (2FA wird seit Cockpit 2.1 unterstützt.)

Zum Versand des Passwort per E-Mail an den neuen Benutzer muss im Bereich KONFIGURATION ein SMTP-Server eingerichtet und aktiv sein. Ist kein Server konfiguriert, ist der entprechende Schalter inaktiv.
Anlage neuer Benutzer - Rollenvergabe

Im Tab Rollen des Neuen Benutzer anlegen-Assistenten werden Benutzern ihre Berechtigungen für das System zugewiesen. Rollen fassen Berechtigung für mehrere Dienste unter einer Beschreibung zusammen. Systemseitig angelegt sind die Rollen Standard und Admin. Weitere Rollen können im Bereich BENUTZER im Tab Rollen angelegt werden.

Löschen von Benutzern

Benutzer werden über den Assistenten Benutzer bearbeiten gelöscht. Dieser öffnet sich, wenn man im Bereich BENUTZER auf das Einstellungen-Icon am rechten Rand des Benutzers klickt. Nur Benutzer mit Administratorberechtigungen für das datamate Cockpit haben Zugriff auf diesen Bereich.

Löschen von Nutzern

Die Löschung des Benutzers erfolgt im Tab Löschen. Zur Vermeidung von unbeabsichtigten Löschungen erfolgt eine solche nur, wenn der Schalter Benutzer wirklich löschen? aktiviert ist.

Das Löschen von Benutzers entfernt nur deren Benutzerprofile. Die gespeicherten Daten des Benutzers (z.B. in Seafile-Bibliotheken, Kalendern, Adressbüchern oder Webseitenbeiträgen) bleiben erhalten und müssen separat gelöscht werden.

Änderung der Profile anderer Benutzer

Benutzerprofildaten wie Namen, Passwort und Rollen lassen sich über den Assistenten Benutzer bearbeiten ändern. Dieser öffnet sich, wenn man im Bereich BENUTZER auf das Einstellungen-Icon am rechten Rand des Benutzers klickt. Nur Benutzer mit Administratorberechtigungen für das datamate Cockpit haben Zugriff auf diesen Bereich.

Änderung der Profile anderer Nutzer

Die Änderungen erfolgen wie bei der Anlage neuer Benutzer.

Eine Änderung der E-Mail-Adressen von bestehenden Nutzern ist nicht möglich, da die aus den E-Mail-Adressen abgeleiteten Benutzernamen die Benutzer im System identifizieren.

Datei-Freigaben an andere Benutzer

Freigaben von Bibliotheken und Ordnern an andere Benutzer erfolgen in deren Einstellungen im Bereich DATEIEN. Die Einstellungen werden per Klick auf das Einstellungen-Icon aufgerufen.

Datei-Freigaben an andere Benutzer

Bibliotheken und Ordnern können sowohl mit Lese- oder Schreibberechtigung erteilt werden. Leseberechtigungen ermöglichen den Download, verhindern aber den Upload in die freigegebenen Bibliotheken und Ordner. Gleichzeitig können mit Leseberechtigungen auch keine Änderungen an bestehenden Dateien und Ordnern vorgenommen werden.

Einen Vollzugriff auf Bibliotheken bzw. Ordner erhalten Benutzer mit Schreibberechtigungen. Ob Freigaben erteilt wurden, zeigt das Link-Icon hinter dem Bibliotheks- bzw. Ordnernamen an. Ein Klick auf das Icon listet die existierenden Freigaben und deren Berechtigungen auf.

Kalender-Freigaben an andere Benutzer

Freigaben von Kalendern an andere Benutzer erfolgen im Tab Verwaltung im Bereich KALENDER. Kalender-Freigaben an andere Nutzer

Freigaben werden in den Kalendereinstellungen erteilt, die man durch Klick auf das Einstellungen-Icon am rechten Rand öffnet.

Kalender-Freigaben an andere Benutzer - Sidepanel

Kalenderfreigaben können als solche mit Leseberechtigung oder Schreibberechtigung erteilt werden. Leseberechtigungen ermöglichen die Ansicht von Kalendern, verhindern aber Änderungen an den bestehenden Terminen und die Anlage neuer Termine. Benutzer mit Schreibberechtigungen erhalten Vollzugriff auf den Kalender.

Aufgabenlisten-Freigaben an andere Benutzer

Freigaben von Aufgabenlisten an andere Benutzer erfolgen im Tab Verwaltung im Bereich AUFGABEN.

Aufgabenlisten werden in Kalendern geführt. Freigaben von Aufgabenlisten erfordern daher die Freigabe der dazugehörigen Kalender. Soll nur eine Aufgabenliste freigegeben werden, dann muss ein Kalender angelegt werden, der nur als Aufgabenliste genutzt wird.
Aufgabenlisten-Freigaben an andere Nutzer

Freigaben für Aufgabenlisten werden in den Kalendereinstellungen erteilt. Mit einem Klick auf das Einstellungen-Icon am rechten Rand öffnen sich diese. Kalenderfreigaben können als solche mit Leseberechtigung oder Schreibberechtigung erteilt werden. Leseberechtigungen ermöglichen die Ansicht von Aufgabenlisten (sowie den dazugehörigen Kalendern), verhindern aber Modifikationen bestehender Aufgaben und die Anlage neuer Aufgaben. Vollzugriff auf Aufgabenlisten erhalten Benutzer mit Schreibberechtigungen.

Anlage und Download von VPN-Zertifikaten

VPN-Zertifikate, die zwingend für den Aufbau von VPN-Verbindungen benötigt werden, müssen durch einen Cockpit-Administrator im Bereich BENUTZER erstellt und aktiviert werden. Die Benutzer können dann die angelegten Zertifikate selbst in ihrem BENUTZERPROFIL herunterladen.

Zertifikatsdateien sind sicherheitkritisch. Sie sollten daher nie über unsichere Kanäle wie z.B. E-Mail verteilt werden. Passwortgeschützte Download-Links sind eine ähnlich komfortable, aber deutlich sicherere Alternative zur Verteilung der Zertifikatsdateien – solange das Passwort nicht per E-Mail verschickt wird.
Anlage von VPN-Zugängen

Im Tab VPN des Benutzer bearbeiten-Assistenten können Cockpit-Administratoren VPN-Zertifikate für angelegte Benutzer erstellen. Jedes Zertifikat hat einen einzigartigen Namen, wobei dieser nur aus Buchstaben, Zahlen und Bindestriche bestehen darf. Mit Klick auf das Speichern-Icon wird ein Zertifikat erstellt. Über den Status-Schalter werden VPN-Zertifikate aktiviert und gegebenfalls auch wieder deaktiviert. Nur mit aktivierten Zertifikaten können VPN-Verbindungen aufgebaut werden. Eine Beschränkung der Anzahl von VPN-Zertifikaten pro Benutzer gibt es nicht.

Ein VPN-Zertifikat kann nicht gleichzeitig von mehreren Geräten verwendet werden. Jedes Gerät, das über das Internet auf den Server zugreift, sollte deshalb mit einem eigenen Zertifikat ausgestattet sein. So kann man einzelnen Geräten den Zugriff auf den Server verwehren, z.B. wenn sie abhanden gekommen sind.

Benutzer können die für sie erstellten VPN-Zertifikate im Tab Profil im BENUTZERPROFIL mit Klick auf das Speicher-Icon herunterladen. Zum Aufbau einer VPN-Verbindung müssen diese dann in einen VPN-Client eingebunden werden. Der Verbindungsaufbau ist nur mit einem aktiven Zertifikat möglich. Ein inaktives VPN-Zertifikat wird den Verbindungsaufbau verweigern. Die Einrichtung der VPN-Clients ist Schritt-für-Schritt in den Anleitungen erklärt, die durch jeden Benutzer über den Tab pers. Anleitungen im BENUTZERPROFIL aufgerufen werden können.

Auch nach dem Download und Import des Zertifikats in einen VPN-Client kann ein VPN-Zertifikat deaktiviert werden. So können ein Benutzer mit Administratorberechtigung z.B. das VPN-Zertifikat eines verlorenen Tablets deaktivieren, ohne es nochmal in den Händen halten zu müssen.