2FA für Moodle

Wäre es nicht schön, wir L könnten mit unserem „internen Moodle“ (kvfg.org) viel mehr machen, als aktuell? Z.B. dieses dazu nutzen, auch eindeutig personenbezogene Daten … evtl. bis hin zu Anwesenheitslisten, Berichte und Noten … untereinander austauschen?
Dazu müsste dieses eine Art von „Verwaltungsnetz light“ werden und da reicht die Authentifizierung mit Benutzername und Passwort nicht aus. Ein zweiter Faktor für die Authentifizierung wäre nötig. Das könnte ein openVPN Zugang zu einer „versteckten“ Moodle-Installation sein. Ich behaupte aber mal frank un: Die heute gewählte Backup-Methode wäre schneller, dachte ich. Ist sie aber nicht. Im Gegenteil. Die braucht noch länger als letzten Samstag. Dafür sollte die DIenste aber weitgehend zur Verfügung stehen, evtl. nur etwas langsamer reagieren … Also fummelt dran und drin rum … kann jetzd frei: In einem Kollegium, in dem nach 14 Jahren Moodle noch nicht jedem klar ist, was ein Einschreibschlüssel ist, brauch ich nicht mit openVPN ankommen. Die meisten L erkennen weder das Problem, noch wären sie fähig, die Lösung zu ergooglen. Also muss etwas Einfacheres her: TOTP!
Getestet habe ich das heute Vormittag mit diesem Plugin an einem meiner Testmoodles. Das sich ergebende Prozedere für unsere Schule wäre vermutlich:
a) Installation und Konfiguration des Plugins. Das hab ich nun getestet – müsste zügig gehen.
b) Umstellung aller L-Konten auf E-Mail basiert mit Whitelist für kvfg.de oder Umstellung aller L-Konten auf LDAPs gegenüber dem LDAP-Replication-Server. Das ging über MySQL mit einem von Daniel verifizierten Einzeilerchen.
Das wäre im allerdümmsten Fall ein Nachmittag.
c) Plugin aktivieren im Backend von Moodle.

d) Die Benutzer loggen sich ein und aktivieren  für sich 2FA.

Ein Klick auf den Button.

Dann den QRCode mit dem Handy scannen. Wie das geht, kann ich nicht zeigen, weil FreeOTP keine Screenshots zulässt auf LineageOS.
Dann gleich mal ausprobieren: in FreeOTP einen Token erzeugen. Diesen oben unter 2. eingeben und auf Bestätigen klicken.
e) Moodle wäre ab diesem Moment tot: 2FA ist noch nicht die gültige Login-URL aber alle Benutzer müssten diese schon nutzen. Ich sehe zwei Möglichkeiten:

  1. Die Umstellung wird gemeinsam vorgenommen und gleich im Anschluss scharf geschaltet. Klingt nicht toll, wenn es um 100 Betroffene geht.
  2. Ich stelle alle Konten händisch oder direkt in MySQL zurück auf E-Mail basiert.

Die beiden letzten Schritte zusammen dürfte ungefähr einen Monat brauchen – auf Grund der permanenten Korrektur an der Loginmethode und der bestimmt anfallenden Betreuungszeit.
f) Sind alle durch das Verfahren durch: Setzen der alternativen Login-URL für 2FA als Standard-Login. Geht flott.
Ab diesem Moment meldet man sich zwar weiterhin zuerst mit Benutzername und Passwort an, landet dann aber auf der Seite, auf der das TOTP eingegeben werden muss.

Also: Handy zücken und FreeOTP aufmachen, TOTP generieren und den Zahlencode oben eingeben. Schwupps. Drin.
Zu klären wäre, ob jeder L (s)ein Handy hierfür einsetzen wollen würde. Man kann sich ja durchaus auf die Position stellen, FreeOTP nicht auf dem eigenen Gerät haben zu wollen. Dann müssten Diensthandys beschafft werden. Diese wären zwar nicht so teuer, dann aber eine zusätzliche Baustelle bezüglich Pflege: GAPs gehören da z.B. nicht mit drauf, aber permanent frische Updates.
Lohnt sich dieser Aufwand? Dazu kommt dann ja frei Haus noch das Gemaule oben drauf, dass alles viel zu kompliziert ist, früher alles besser war, wie immer überhaupt nix tut etc. pp. Nach allem was ich so aus dem Walde rauschen höre, kommt so eine ähnliche Lösung demnächst eh von Oben daher, so dass, im Turkstil, auch alle Daten aller Lehrer/innen zentral vorliegen und gesichtet werden können. Dezentralisierte oder gar lokale Lösungen werden zeitnah aussterben … Will ich vor diesem Hintergrund einem dem Tod geweihten Moodle noch meine Stunden hinterher werfen?
Andererseits: Unsere User wären dann 2FA schon gewohnt. Die Umstellung auf den zentralen Segen von Oben wäre für sie einfacher zu machen und wir wären, was Datenschutz angeht, super gut aufgestellt. Dazu kommt: Der Wald rauscht – aber da können noch viele Monate ins Land ziehen, bis die Bildungscloud tatsächlich für alle ausgerollt wird.
PS: 2FA für Horde wird vermutlich erst mit Horde6 kommen.