Zum Inhalt springen
Zuletzt geändert von Jonas Mayer am 2022/05/25 00:02
Von Version 13.1
bearbeitet von Jens Gruber
am 2022/04/28 08:18
Änderungskommentar: Neuen Anhang LDAPS attribute.png hochladen
Auf Version 24.1
bearbeitet von Jens Gruber
am 2022/04/29 16:37
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -1,8 +1,11 @@
1 1  (% style="color:#000000" %)Um externe oder interne Dienste über LDAPS einzubinden, gibt es nach wie vor den sogenannten LDAP-Admin und den seit der Umstellung auf LDAPS neu hinzugefügten ReadOnly-Benutzer.
2 2  
3 -(% style="color:#000000" %)In diesem Artikel erfahren Sie, wo Sie die Benutzernamen & Passwörter der zwei Benutzer finden und welche Nutzer sich für welches Vorhaben am besten eignen.
3 +(% style="color:#000000" %)In diesem Artikel erfahren Sie, wo Sie die Benutzernamen & Kennwörter der zwei Benutzer finden und welche Nutzer sich für welches Vorhaben am besten eignen.
4 4  
5 +[[image:Grafik für LDAp.png||height="331" width="622"]]
5 5  
7 +=== ===
8 +
6 6  === (% style="color:#000000" %)__**LDAP-Admin Benutzer**__(%%) ===
7 7  
8 8  
... ... @@ -13,15 +13,30 @@
13 13  (% style="color:#000000" %)Sollten die Daten des Admins in unbefugte Hände gelangen, stellt dies ein massives Datenschutz- und Sicherheitstechnisches Problem dar. **__Von einem externen Gebrauch ist daher strengstens abgeraten!__**
14 14  
15 15  
16 -==== (% style="color:#000000" %)__Benutzername & Passwort:__(%%) ====
19 +==== (% style="color:#000000" %)__Benutzername & Kennwort__(%%) ====
17 17  
18 -(% style="color:#000000" %)Der Benutzername mit den jeweiligen Attributen:
21 +====== ======
19 19  
23 +====== __Benutzername__ ======
24 +
25 +(% style="color:#000000" %)Der Benutzername des LDAP Admins wäre:
26 +
20 20  {{code language="bash"}}
21 -cn=ldap-admin,dc=schule,dc=local
28 +cn=ldap-admin
22 22  {{/code}}
23 23  
31 +====== ======
24 24  
33 +====== __Attribute des Benutzernamens__ ======
34 +
35 +Die Attribute des LDAP Namens sind über ein zusätzliches Programm auszulesen wie z.B. die Software LDAP Admin auszulesen. In diesem Beispiel wären die Attribute {{code language="bash"}}dc=schule,dc=local{{/code}}. Dies kann von Installation zu Installation abweichen und wird durch die Intern verwendete DNS Domain bestimmt.
36 +
37 +[[image:1651127320035-296.png]]
38 +
39 +====== ======
40 +
41 +====== __Kennwort__ ======
42 +
25 25  (% style="color:#000000" %)Das Kennwort ist im logosrv unter folgendem Pfad einsehbar:
26 26  
27 27  {{code language="bash"}}
... ... @@ -40,30 +40,83 @@
40 40  
41 41  ==== (% style="color:#000000" %)__Nutzungsgebiet:__(%%) ====
42 42  
43 -(% style="color:#000000" %)Der LDAP-ReadOnly Benutzer ist für die Verwendung von externen Diensten/Anbindungen gedacht. Dieser hat lediglich lesende Rechte auf folgende Attribute:
61 +(% style="color:#000000" %)Der LDAP-ReadOnly Benutzer ist für die Verwendung von externen Diensten/Anbindungen gedacht.
44 44  
63 +(% style="color:#000000" %)Mögliche Nutzungsmöglichkeiten wären unteranderem die Nutzung und Einbindung  von einem extern gehosteten moodle, WebUntis oder einer Nextcloud.
64 +
65 +
66 +==== (% style="color:#000000" %)__Benutzername & Passwort:__(%%) ====
67 +
68 +
69 +====== __Benutzername__ ======
70 +
71 +(% style="color:#000000" %)Relevant für den Zugriff von Außen wäre folgender Benutzername:
72 +
45 45  {{code language="bash"}}
74 +cn=ldap-ro
75 +{{/code}}
76 +
77 +====== (% id="cke_bm_979S" style="display:none" %)__ __(%%) ======
78 +
79 +====== __Attribute des Benutzernamens__ ======
80 +
81 +Die Attribute des LDAP Namens sind über ein zusätzliches Programm auszulesen wie z.B. die Software LDAP Admin auszulesen. In diesem Beispiel wären die Attribute {{code language="bash"}}dc=schule,dc=local{{/code}}. Dies kann von Installation zu Installation abweichen und wird durch die Intern verwendete DNS Domain bestimmt.
82 +
83 +[[image:1651127322559-640.png]]
84 +
85 +
86 +====== __Kennwort__ ======
87 +
88 +(% style="color:#000000" %)Das Kennwort ist im logosrv unter folgendem Pfad einsehbar:
89 +
90 +{{code language="bash"}}
91 +root@logosrv:~ # cat /etc/ldap.ro.secret
92 +{{/code}}
93 +
94 +
95 +
96 +=== **__LDAP Attribute__** ===
97 +
98 +
99 +(% style="color:#000000" %)Standardmäßig werden folgende Attribute an die externe LDAP Schnittstelle weitergegeben:
100 +
101 +{{code language="bash"}}
46 46  entry, cn, displayName, gidnumber, givenName, mail, member, memberOf, memberUid, o, objectClass, ou, sn, title, uid, uidnumber, uniqueMember, ldObjectType, ldRole
47 47  {{/code}}
48 48  
49 49  
106 +Sollen zusätzliche Attribute an die externe Schnittstelle weitergegeben werden, so müssen Sie diese in folgender Datei im Puppeteer Container wie folgt abändern/erstellen:
50 50  
51 -(% style="color:#000000" %)Mögliche Nutzungsmöglichkeiten wären unteranderem die Nutzung und Einbindung  von einem extern gehosteten moodle oder WebUntis.
108 +{{code language="bash"}}
109 +root@puppeteer:~ # vim /etc/logodidact/hiera/custom.d/ldhost.yaml
52 52  
111 +#Ist die Datei nicht vorhanden bitte wie folgt anpassen (Im Beispiel werden die Attribute ldBirthday & ldGender hinzugefügt):
53 53  
54 -==== (% style="color:#000000" %)__Benutzername & Passwort:__(%%) ====
113 +---
114 +ld_legacy::ldap::ldap_ro_atts:
115 + - ldBirtday
116 + - ldGender
117 +{{/code}}
55 55  
56 -(% style="color:#000000" %)Relevant für den Zugriff von Außen wäre folgender Benutzername:
57 57  
120 +Danach müssen Sie die Änderungen ins Git übernehmen:
121 +
58 58  {{code language="bash"}}
59 -cn=ldap-ro,ou=services,dc=schule,dc=local
123 +root@puppeteer:~ # cd /etc/logodidact/
124 +root@puppeteer:/etc/logodidact # git add .
125 +root@puppeteer:/etc/logodidact # git coomit -am "LDAP Attribute in der ldhost.yaml hinzugefügt"
60 60  {{/code}}
61 61  
62 62  
63 -(% style="color:#000000" %)Das Kennwort ist im logosrv unter folgendem Pfad einsehbar:
129 +Um den Prozess zu beschleunigen bietet sich ein prun im ldhost an. Damit werden die Änderungen sofort an den logosrv weitergeleitet:
64 64  
65 65  {{code language="bash"}}
66 -root@logosrv:~ # cat /etc/ldap.ro.secret
132 +root@ldhost:~ # prun
67 67  {{/code}}
68 68  
69 69  
136 +Die angepassten Änderungen können nun logosrv in der slapd.puppet.conf angeschaut werden:
137 +
138 +{{code language="bash"}}
139 +root@logosrv:~ # cat /etc/ldap/slapd.puppet.conf
140 +{{/code}}
1651126744720-491.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.JensGruber@sbede
Größe
... ... @@ -1,0 +1,1 @@
1 +85.5 KB
Inhalt
1651127320035-296.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.JensGruber@sbede
Größe
... ... @@ -1,0 +1,1 @@
1 +70.6 KB
Inhalt
1651127322559-640.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.JensGruber@sbede
Größe
... ... @@ -1,0 +1,1 @@
1 +70.6 KB
Inhalt
Grafik für LDAp.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.JensGruber@sbede
Größe
... ... @@ -1,0 +1,1 @@
1 +256.3 KB
Inhalt