7. mehrere Anwälte im Büro
Es gibt mehrere Möglichkeiten, wenn mehrere Anwälte mit beAte ins beA wollen, aber die Sekretärin auch Zugriff haben oder alles über einen zentralen E-Mail-Server laufen soll, zu dem vielleicht schon die Zugänge zum Handy eingerichtet sind.
Exkurs: wenn jeder Anwalt immer am selben Rechner bleibt
Wenn nur jeder Anwalt an seinem/n Rechner/n sitzt (auch ggf. im Home-Office), wie in Bürogemeinschaften üblich, dann gibt es kein Problem: jeder hat seine eigene/n beAte/n und fertig. Wenn zusätzlich noch MA auf jeden Rechner zugreifen sollen, dann ist das über die Netzwerkfreigabe auch schnell eingerichtet. In dem Fall sind Sie in diesem Beitrag falsch (nur folgender Tipp: sie sollten nur noch jede(r) ein Netzwerklaufwerk für die MA für das Versand- und ggf. Exportverzeichnis freigeben)
Hinweis: mit "" gekenntzeichnete Links sind erst sichtbar, wenn Sie mittels beAte im Forum eingeloggt sind.
Exkurs Ende.
Im hiesigen Beitrag geht es um die Konstellation, dass jeder Kollege an jedem beliebigen Rechner arbeiten können soll. Dazu stelle ich zwei grundsätzliche Varianten vor. Beide hier vorgestellte Methoden erlauben es, dass jeder Kollege bei Bedarf an jedem Rechner arbeiten kann und beA-Nachrichten lesen und versenden kann.
Möglichkeit 1 (empfohlen): je eine beAte läuft auf dem Rechner "ihres" Anwalts
Diese Methode wird empfohlen, wenn jeder Anwalt signieren können soll. Er muss zur Anmeldung seine beA-Karte an den jeweiligen Rechner mitnehmen.
Das sieht dann schematisch in etwa so aus:
und so geht es:
(Bitte erst alles durchlesen, dann schrittweise anfangen)
Voraussetzung ist, dass jeder Anwalt an jedem Rechner nach dem System-Login mit seinem zentral verwalteten/verlinkten Account angemeldet ist. Insbesondere muss das User-Verzeichnis auf einem Netzwerk-Laufwerk liegen und auf allen Rechner das selbe sein, so dass Änderungen an einem Rechner nach dem Login auch auf allen anderen Rechnern vorhanden sind. Wenn nicht, bitte so einrichten.
1.
Wir beginnen am Server und richten in dovecot bzw. Exchange 4 IMAP-Accounts ein, für jede Safe-ID einen. Die Zugangsdaten notieren wir uns. "4" ist natürlich nur ein Beispiel, es können auch mehr A's sein.
2.
Sodann wenden wir uns A1 zu und
- loggen uns mit einem System-Nutzer ein,
- installieren beAte global,
- erzeugen unseren beA-Zugang
- richten ein externes E-Mail-Postfach ein, und zwar das auf S
- richten ein E-Mail-Programm ein, das aber im IMAP auf S zugreift und nicht auf beAte. Zum Versenden muss der SMTP-Server im E-Mail-Programm auf 127.0.0.1 gestellt bleiben.
ACHTUNG Lassen Sie nicht mit dem selben System-Nutzer mehrere beA-Zugänge abwechselnd durch beAte behandeln, sonst kommen die Nachrichten viermal an.
3.
Nun loggen wir uns aus und wiederholen Punkt 2 mit den anderen Kollegen. Weil die Einstellungen ins Nutzerverzeichnis geschrieben werden, haben auch alle anderen Rechner im Netz jetzt diese Einrichtung automatisch. Je nach Konstellation muss aber evtl. auf den anderen Rechnern noch beAte global installiert werden.
4.
Jeder Kollege kann dann mit seiner beA-Karte auf jedem Rechner mit seiner Unterschrift signieren und versenden.
Die soeben vorgestellte Methode hat den Nachteil, dass man Exchange/dovecot wie einen externen IMAP-Server behandelt, es also ein paar Beschränkungen gibt. Zum Lesen, EEB-abgeben, Signieren und Versenden reicht das aber allemal.
Variante
Achtung, die Variante ist nichts für Laien!
Man kann nun in der Variante Exchange/dovecot so einrichten, dass sie aktiv als IMAP-Clients auf beAte zugreifen. Dazu muss man, weil alle Anwälte aus Sicht von S im selben internen Netz sitzen, entweder SSL in den beAten abschalten oder jeder einen eigenen lokalen DNS-Namen geben und entsprechende Lets-Encrypt-Zertifikate besorgen, in beAte einstellen und sie aktuell halten.
2'.
Über die die Netzwerkfreigabe in beAte auf A1 geben wir dem S erstmal überhaupt Zugriff.
Das Externe IMAP-Konto richten wir nicht ein.
Nun kommt der schwierige Part: Bei S muss man jetzt dafür sorgen, dass die IP des Users immer auf den richtigen Rechner zeigt. Dazu legen wir in der hosts-Datei von S für jeden beAte-Nutzer eine Subdomain an, z.B.
mueller.lokalesNetzwerk.kanzlei 192.168.0.23
meier.lokalesNetzwerk.kanzlei 192.168.0.24
schulze.lokalesNetzwerk.kanzlei 192.168.0.25
Um das dynamisch zu ändern, führen A1 - A4 nach jedem Login ein Script aus, das dem Server Bescheid sagt, an welcher IP sich z.B. mueller.lokalesNetzwerk.kanzlei befindet - z.B. durch Abruf einer Webseite vom Server und ein bisschen PHP. Auf S muss dann die hosts-Datei dynamisch geändert werden.
Beschränkungen
Man kann hier statt mit Karten auch mit Software-Zertifikaten arbeiten, dann gibt es aber keine Kommunikation mit dem beA, wenn der eigene Rechner ausgeschaltet ist. VORSICHT bei der Nutzung von Softwarezertifikat und Karte parallel: sollten Nachrichten in ein externes IMAP-Konto übertragen werden, darf nur eine beAte das tun. Es sollte also immer nur maximal eine beAte mit der selben Safe-ID gleichzeitig im beA sein. Sprich: jeder darf immer nur an einem Rechner arbeiten und muss sich danach abmelden (nicht nur den Benutzer wechseln).
Wer von unterwegs signieren will, braucht einen verschlüsselten Tunnel und muss das Kartenlesegerät mitnehmen. Bei der folgenden Methode 2 wäre das irrelevant, weil man da sowieso nur am Server signieren kann.