Tickets laufen ab

athoomi · ‎2 Jun 2011

Hallo.

Wir testen gerade die Anbindung von moodle 2.0 an Alfresco.

Grundsätzlich ist es möglich Dokumente aus Alfresco in das Lernmanagement System zu laden. Leider läuft nach einiger Zeit das Ticket ab und der Link nach Alfresco funktioniert nicht mehr. Für die Praxis wäre es aber nötig, dass der Link zumindest für ein Schuljahr gültig bleibt.

Gibt es die Möglichkeit die Gültigskeitsdauer eines Tickets zu verlängern oder geht man dadurch ein zu großes Sicherheitsrisiko ein?

Schonmal vielen Dank für Tipps und Antworten!!

afaust · ‎3 Jun 2011

Hallo,

nur zur Sicherheit eine Klärungsfrage: Verwendet ihr bei den Tickets das Standard Alfresco Login-Ticket, also z.B. das Ticket, welches man über /api/login bekommt, oder habt ihr eine Komponente erstellt, welches eigene/besondere Tickets generiert?

Bei den Alfresco Tickets gilt grundsätzlich zu sagen, dass diese Tickets auf den konkreten User, welcher bei /api/login angemeldet wurde, ausgestellt sind. Jeder, der einen solchen Link folgt, arbeitet "im Namen" und mit den Rechten dieses Users. Darüber hinaus werden die Tickets auf Alfresco Seite einzig und allein in einer laufenden Instanz gehalten, d.h. wenn der Server runtergefahren wird, geht das Ticket verloren bzw. wenn ein Knoten in einem Cluster nach der Ticket-Ausstellung gestartet wird, kennt er das Ticket u.U. nicht (je nach Umfang der initialen Cache-Replikation).

Bei einer Standard Konfiguration sind alle Alfresco Tickets erst einmal endlos gültig (mit den beschriebenen Randbedingungen), d.h. eine Verlängerung ist hier kaum möglich. Eine Möglichkeit wäre hier, die Ticket-Komponente von Alfresco gegen eine eigene Implementierung auszutauschen, welche die Tickets z.B. persistent in der Datenbank hält.

Eine viel angenehmere und sichere Lösung würde aus meiner Sicht jedoch auf SSO basieren. Voraussgesetzt, man kann/will alle Moodle User auch im Alfresco bekannt machen, kann dann der Link ganz ohne Ticket o.ä. hinterlegt sein, und der Nutzer wird automatisch beim Wechsel nach Alfresco dort angemeldet. Beim jeweiligen Dokument muss dann halt nur sichergestellt sein, dass die Moodle Nutzer dieses sehen dürfen.

Gruß
Axel Faust

athoomi · ‎3 Jun 2011

Vielen Dank für diese ausführliche Antwort.

Sicherlich wäre SSO vor allem für die Lehrer sehr interessant. Ob dies jedoch für die Schüler Sinn macht sind wir uns noch nicht im Klaren. Zumal die gesamte Rechtestruktur dann unglaublich differenziert sein müsste…

Ich weiß nicht, was für ein Ticket von Moodle 2.0 erstellt wird. Moodle 2.0 bietet die Möglichkeit sich beim Erstellen eines Links mit Alfresco zu verbinden. Der Link sieht dann folgendermaßen aus:

http://[url-to-alfresco]/alfresco/download/direct/workspace/SpacesStore/0f02bd23-561b-486c-90f9-89f1...' ‍

Dieser Link und somit das Dokument ist für jeden Nutzer nutzbar. Jedoch funktionierten die Links nach einiger Zeit nicht mehr. Werde mich erkundigen, ob das Alfreso System neugestartet wurde. Aber das würde ja bedeuten, dass nach einem Update o.ä. alle Links nicht mehr funktionieren?

afaust · ‎3 Jun 2011

Hallo,

in der Tat ist das ein Alfresco-Ticket, welches mit den genannten Einschränkungen leben muss. Im engl. Moodle Forum ist mir bei einer kurzen Googlelei auch ein ähnlicher Post untergekommen. Wenn das Dokument sowieso für jeden sichtbar sein soll / ist, dann kann man auch grundsätzlich unauthorisiert als Gast auf dieses zugreifen. Dafür gibt es ein GuestDowload-Servlet.

Entsprechend der Beschreibung im Wiki wäre das für das vorige Beispiel:


http://[url-to-alfresco]/alfresco/guestDownload/direct/workspace/SpacesStore/0f02bd23-561b-486c-90f9...]
‍‍‍

Vorraussetzung ist hier, dass Alfresco die Guest-Anmeldung zulässt und "Guest" kein Passwort hat (beides ist Standard bei einem "frischen" Alfresco). Ebenso muss "Guest" Leserechte haben - aber das ist im Vergleich zur personalisierten Berechtigung nur ein Pflegevorgang, wobei man sich auch bei der personalisierten Berechtigung durch Gruppen (z.B. "Schüler") viel Arbeit sparen kann.

Und ja, ohne Anpassungen wären bei der Ticket-Variante alle Links nach einem Update tot, sofern Moodle nicht dazu gebracht werden kann, sich regelmäßig neue Tickets zu holen. Dafür kenn ich mich in dem Connector zu wenig (bis gar nicht) aus.

Gruß
Axel Faust

elcontento · ‎3 Aug 2011

bevor die Alfresco-Einbindung zu einem grossen Infrastruktur-Projekt wird

würde ich gern auf den edu-sharing Aufsatz (Open Source) für Alfresco hinweisen, der gerade für einen deratigen Anschluss von Lernplattformen wie moodle an Alfresco konzipiert ist.
Für moodle (1.9x, 2.0) gibt es ein Moodle-Ressource-Plugin. Weiterhin gibt es eine eigene Oberfläche zur Verwaltung der Inhalte, die in moodle Blöcken integriert ist. Eine Rechte-Verwaltung für die Nutzung von Dokumenten in moodle-Kursen ist schon enthalten.
edu-sharing wickelt das Ganze wie folgt ab:
Ein Lehrender darf die eigenen Inhalte und solche, auf die er die entsprechenden Rechte/Freigaben hat, im moodle verlinken.
Klickt jemand im Kurs auf den Material-link, holt sich das moodle-Plugin ein neues Ticket vom Repository, mit dem dann auf das Material zugegriffen werden darf. Wenn ein Schüler zugreift wird geprüft, ob er aktuell in moodle und dem entsprechendem Kurs für den das Material freigeben ist ist, eingeloggt ist. Wenn ja - wird das Material angezeigt.

Die Anzeige des Materials erfolgt dann mit dem Auslieferungs-Service. Das aktuelle Ticket wird an den Auslieferungs-Service gesendet, der das Material dann vom Repository bezieht, es auf Wunsch umwandelt/aufbereitet und dann dem Nutzer anzeigt. Der Auslieferungs-Service gibt je nach Konfiguration auch Video- und Audiodateien usw. wieder. Es gibt verschiedene Module für die Aufbereitung und Anzeige von Materialien. Zum Beispiel für QTI 2.1 gibt es ein Onyx (http://onyx.bps-system.de) Modul oder man kann sich moodle Kurse als Preview anzeigen lassen.

Mitte/Ende August gibt es eine neue Version mit netten, neuen Features (Facettensuche, Verbesserung in der GUI).
Auf der Projektseite gibt es ein paar Videos zur aktuellen Version (http://www.edu-sharing.net).
Damit sollte die Integration etwas leichter fallen.

athoomi · ‎16 Sep 2011

Danke für die Hinweise bzgl. Edu-Sharing.

Das Problem ist, dass Edu-Sharing nur als eigene "Aktivität" eingebunden werden kann. Ich kann dort derzeit nicht aus einem Forum oder einer Aufgabe auf ein Dokument in Alfresco verlinken. Dadurch wird man im Einsatz der Lernplattform leider sehr stark eingeschränkt.

Wobei die Funktionalitäten von Edu-Sharing ohne Zweifel sehr gut sind.

Hier wird auch darüber diskutiert. Reist man durch die Code Änderung eine Sicherheitslücke?
http://moodle.org/mod/forum/discuss.php?d=176140

The following appears to make Alfresco URL tickets persistent. I have, so far, cycled through a handful of Alfresco restarts and the URL ticket still works for different users. lächelnd

In Alfresco, copy and rename

/opt/alfresco/tomcat/webapps/alfresco/WEB-INF/classes/alfresco/ehcache-default.xml

to

/opt/alfresco/tomcat/shared/classes/alfresco/extension/ehcache-custom.xml

Then edit ehcache-custom.xml as follows

Find

    <cache  
        name="org.alfresco.cache.ticketsCache"  
        maxElementsInMemory="1000"
        eternal="true"
        overflowToDisk="true"
        statistics="false"
        />

and change to

    <cache  
        name="org.alfresco.cache.ticketsCache"  
        maxElementsInMemory="1000"
        eternal="true"
        overflowToDisk="true"
        diskPersistent="true"
        statistics="false"
        />‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

afaust · ‎17 Sep 2011

Hallo,

also eine "neue" Sicherheitslücke wird damit nicht aufgemacht, aber die potentiell bestehende länger zur Verfügung gestellt (Bezug auf meinen ersten Post mit Nutzer-Identität und Berechtigungen).

Die aufgeführte Lösung aus dem Moodle Forum stammt im Original aus dem englischen Alfresco Forum (Thread). Ohne mir bewusst zu sein, dass es mit diesem Thread zusammenhängen könnte, habe ich dort den entsprechenden Hinweis gegeben. Im Juni waren die Scheuklappen bzgl. Sicherheit etwas zu dicht für diesen Ansatz.

Gruß

elcontento · ‎21 Sep 2011

Wobei die Funktionalitäten von Edu-Sharing ohne Zweifel sehr gut sind.

Vielen Dank für die Blumen. Die Einbindung in die Material-Dialoge der Werkzeuge wird gerade vom Entwickler-Team überprüft. Das Ganze ist etwas tricky, da die Inhalte nach Möglichkeit ja nicht in den Kurs kopiert werden sollen - so wie das aktuell passiert. Es wird also dran gearbeitet

.
Die aktuelle Version für die moodle-alfresco Integration (als Material) steht übrigens als Release Candidate unter http://www.edu-sharing.net zum Download bereit.