Änderungen von Dokument LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv
Zuletzt geändert von Jonas Mayer am 2022/05/25 00:02
Von Version 20.3
bearbeitet von Jens Gruber
am 2022/04/28 14:01
am 2022/04/28 14:01
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Auf Version 51.1
bearbeitet von Jonas Mayer
am 2022/05/04 14:44
am 2022/05/04 14:44
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Zusammenfassung
-
Seiteneigenschaften (3 geändert, 0 hinzugefügt, 0 gelöscht)
-
Anhänge (0 geändert, 1 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Titel
-
... ... @@ -1,1 +1,1 @@ 1 -LDAP Admin-Benutzer und ReadOnly-Benutzer 1 +Geändert: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv - Dokument-Autor
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki. JensGruber@sbede1 +XWiki.jonasmayer@sbede - Inhalt
-
... ... @@ -1,46 +1,56 @@ 1 -(% style="color:#000000" %)Um externe oder interne Dienste über LDAPS einzubinden, gibt es nach wievorden sogenannten LDAP-Adminunddenseit der Umstellungauf LDAPSneu hinzugefügten ReadOnly-Benutzer.1 +(% style="color:#000000" %)Um externe oder interne Dienste über das LDAPS-Protokoll einzubinden, gibt es seit Puppet-Version 1.3.22 neben dem sogenannten LDAP-Admin Konto einen neu hinzugefügten ReadOnly-Benutzer zur Anmeldung am integrierten OpenLDAP-Verzeichnisdienst. 2 2 3 -(% style="color:#000000" %)In diesem Artikel erfahren Sie, wo Sie die Benutzernamen & Kennwörter der zwei Benutzer finden und welche Nutzersich für welches Vorhaben am besten eignen.3 +(% style="color:#000000" %)In diesem Artikel erfahren Sie, wo Sie die Benutzernamen & Kennwörter der zwei Benutzer finden und welches Konto sich für welches Vorhaben am besten eignen. 4 4 5 - [[image:Grafik für LDAp.png||height="331" width="622"]]5 +---- 6 6 7 -(% class="wikigeneratedid" %) 8 -=== === 7 +{{toc start="2"/}} 9 9 10 -=== (% style="color:#000000" %)__**LDAP-Admin Benutzer**__(%%) === 11 11 10 +(% style="color:#000000" %)[[image:Grafik für LDAp.png||height="331" width="622"]] 12 12 13 -=== (% style="color:#000000" %)__Nutzungsgebiet:__(%%) === 14 14 15 -(% style="color:#000000" %) DerLDAP-Admin Benutzer ist mit äußerster Vorsichteinzusetzen,da diesereinen beinahe uneingeschränkten Zugriff auf das Abrufen undBearbeitender Nutzerattributedes Servers besitzt. Daher sollte der Benutzer nur möglichst Intern eingesetzt werden.13 +== (% style="color:#000000" %)__**Übersicht der Benutzer**__(%%) == 16 16 17 -(% style="color:#000000" %)Sollten die Daten des Admins in unbefugte Hände gelangen, stellt dies ein massives Datenschutz- und Sicherheitstechnisches Problem dar. **__Von einem externen Gebrauch ist daher strengstens abgeraten!__** 18 18 16 +=== (% style="color:#000000" %)**LDAP-Admin Benutzer:**(%%) === 19 19 20 - ====(% style="color:#000000" %)__Benutzername& Kennwort__(%%) ====18 +(% style="color:#000000; font-size:20px" %)__Nutzungsgebiet:__ 21 21 22 -= ===========20 +(% style="color:#000000" %)Der LDAP-Admin Benutzer ist mit äußerster Vorsicht einzusetzen, da dieser einen beinahe uneingeschränkten (Schreib-)Zugriff auf den Inhalt des OpenLDAP-Verzeichnisdienst sowie die Nutzerattribute besitzt. Daher sollte der Benutzer möglichst nur intern durch LogoDIDACT-integrierte Dienste zum Einsatz kommen. 23 23 24 -= =====__Benutzername__======22 +(% style="color:#000000" %)Sollten die Daten des LDAP-Admins in unbefugte Hände gelangen, stellt dies ein massives datenschutz- und sicherheitstechnisches Problem dar. **__Von einem externen Gebrauch des Benutzerkontos ist daher strengstens abzuraten!__** 25 25 26 -(% style="color:#000000" %)Der Benutzername mit den jeweiligen Attributen: 27 27 25 +(% class="wikigeneratedid" id="HZugangsdaten:" %) 26 +(% style="color:#000000; font-size:20px" %)__Zugangsdaten:__ 27 + 28 +(% class="wikigeneratedid" id="HBenutzername" %) 29 +(% style="color:#000000" %)Der Benutzername des LDAP Admins lautet: 30 + 28 28 {{code language="bash"}} 29 29 cn=ldap-admin 30 30 {{/code}} 31 31 32 -====== ====== 33 33 34 -====== __Attribute des Benutzernamens__ ====== 36 +(% class="wikigeneratedid" id="HAttributedesBenutzernamens" %) 37 +(% style="color:#000000; font-size:16px" %)__Vollständiger Benutzername__ 35 35 36 -Die AttributedesLDAPNamenssindüber ein zusätzliches Programm auszulesenie z.B.dieSoftware LDAP Adminauszulesen. In diesem BeispielwärendieAttributeIntern verwendete DNS Domain bestimmt.39 +(% style="color:#000000" %)Die BaseDN als Einstiegspunkt zum LDAP-Verzeichnisdienst kann über ein zusätzliches Programm ausgelesen werden, z.B. über das freie Tool LDAP Admin. In diesem Beispiel lautet die BaseDN {{code language="bash"}}dc=schule,dc=local{{/code}}. Dies kann von Installation zu Installation abweichen und wird durch die intern verwendete DNS Domain bestimmt, hier im Beispiel handelt es sich um den Standardwert. 37 37 38 -[[image:1651 127320035-296.png]]41 +(% style="color:#000000" %)[[image:1651243652049-471.png]] 39 39 40 -====== ====== 41 41 42 -= =====__Kennwort__======44 +(% style="color:#000000" %)In diesem Beispiel ergibt sich der vollständige Benutzername (sogenannter //Distinguished Name// des Benutzerkontos) durch Anfügen der BaseDN: 43 43 46 +{{code language="bash"}} 47 +cn=ldap-admin,dc=schule,dc=local 48 +{{/code}} 49 + 50 + 51 +(% class="wikigeneratedid" id="HKennwort" %) 52 +(% style="color:#000000; font-size:16px" %)__Kennwort__ 53 + 44 44 (% style="color:#000000" %)Das Kennwort ist im logosrv unter folgendem Pfad einsehbar: 45 45 46 46 {{code language="bash"}} ... ... @@ -47,7 +47,7 @@ 47 47 root@logosrv:~ # cat /etc/ldap.secret 48 48 {{/code}} 49 49 50 -Optional kann man das Passwort auch mit folgendem Befehl unter dem Punkt "Credentials" einsehen: 60 +(% style="color:#000000" %)Optional kann man das Passwort (sowie die gültige BaseDN als Suffix des Benutzernamens) auch mit folgendem Befehl unter dem Punkt "Credentials" einsehen: 51 51 52 52 {{code language="bash"}} 53 53 root@logosrv:~ # ldconf -o ... ... @@ -54,38 +54,49 @@ 54 54 {{/code}} 55 55 56 56 57 -=== (% style="color:#000000" %)** __LDAP-ReadOnly (ldap-ro) Benutzer__**(%%) ===67 +=== (% style="color:#000000" %)**LDAP-ReadOnly (ldap-ro) Benutzer**(%%) === 58 58 69 +(% class="wikigeneratedid" id="HNutzungsgebiet:" %) 70 +(% style="color:#000000; font-size:20px" %)__Nutzungsgebiet:__ 59 59 60 -==== (% style="color:#000000" %)__Nutzungsgebiet:__(%%) ==== 61 - 62 62 (% style="color:#000000" %)Der LDAP-ReadOnly Benutzer ist für die Verwendung von externen Diensten/Anbindungen gedacht. 63 63 64 -(% style="color:#000000" %)Mögliche Nutzungs möglichkeiten wären unteranderem dieNutzung und Einbindung von einem extern gehostetenmoodle, WebUntis odereinerNextcloud.74 +(% style="color:#000000" %)Mögliche Nutzungsszenarien wären unter anderem die Anbindung von extern gehosteten Webdiensten (z.B. Moodle, WebUntis oder Nextcloud) an die LogoDIDACT-integrierte Benutzerdatenbank über das LDAP-Protokoll. 65 65 66 66 67 -==== (% style="color:#000000" %)__Benutzername & Passwort:__(%%) ==== 68 68 78 +(% class="wikigeneratedid" id="HBenutzername26Passwort:" %) 79 +(% style="color:#000000; font-size:20px" %)__Zugangsdaten:__ 69 69 70 -====== __Benutzername__ ====== 81 +(% class="wikigeneratedid" id="HBenutzername" %) 82 +(% style="color:#000000" %)Der Benutzername des LDAP ReadOnly Benutzers lautet: 71 71 72 -(% style="color:#000000" %)Relevant für den Zugriff von Außen wäre folgender Benutzername: 73 - 74 74 {{code language="bash"}} 75 75 cn=ldap-ro 76 76 {{/code}} 77 77 78 -====== (% id="cke_bm_979S" style="display:none" %)__ __(%%) ====== 88 +====== (% id="cke_bm_979S" style="color:#000000; display:none" %)__ __(%%) ====== 79 79 80 -====== __Attribute des Benutzernamens__ ====== 81 81 82 -Die Attribute des LDAP Namens sind über ein zusätzliches Programm auszulesen wie z.B. die Software LDAP Admin auszulesen. In diesem Beispiel wären die Attribute {{code language="bash"}}dc=schule,dc=local{{/code}}. Dies kann von Installation zu Installation abweichen und wird durch die Intern verwendete DNS Domain bestimmt. 83 83 84 -[[image:1651127322559-640.png]] 92 +(% class="wikigeneratedid" id="HAttributedesBenutzernamens" %) 93 +(% style="color:#000000; font-size:16px" %)__Vollständiger Benutzername__ 85 85 95 +(% style="color:#000000" %)Die BaseDN als Einstiegspunkt zum LDAP-Verzeichnisdienst kann über ein zusätzliches Programm ausgelesen werden, z.B. über das freie Tool LDAP Admin. In diesem Beispiel lautet die BaseDN {{code language="bash"}}dc=schule,dc=local{{/code}}. Dies kann von Installation zu Installation abweichen und wird durch die intern verwendete DNS Domain bestimmt, hier im Beispiel handelt es sich um den Standardwert. 86 86 87 - ======__Kennwort__======97 +(% style="color:#000000" %)[[image:1651243652049-471.png]] 88 88 99 + 100 +(% style="color:#000000" %)Im Unterschied zum vorherigen Benutzer steckt das Konto verschachtelt in der OU //services//. Dadurch ergibt sich nachfolgender, vollständiger Benutzername (sogenannter //Distinguished Name//): 101 + 102 +{{code language="bash"}} 103 +cn=ldap-ro,ou=services,dc=schule,dc=local 104 +{{/code}} 105 + 106 + 107 +(% class="wikigeneratedid" id="HKennwort" %) 108 +(% style="color:#000000; font-size:16px" %)__Kennwort__ 109 + 89 89 (% style="color:#000000" %)Das Kennwort ist im logosrv unter folgendem Pfad einsehbar: 90 90 91 91 {{code language="bash"}} ... ... @@ -93,12 +93,141 @@ 93 93 {{/code}} 94 94 95 95 117 +(% style="color:#000000" %)Im Zuge der Anbindung externer Dienste sollte stets darauf geachtet werden, die verschlüsselte Form des LDAP-Protokolls (d.h. LDAPS auf TCP-Port 636) zu verwenden, damit sensible Information wie Benutzer-Zugangsdaten prinzipiell per SSL-Transportverschlüsselung versendet werden. Zur Nutzung der SSL-Transportverschlüsselung ist es wiederum wichtig, ein gültiges Let's Encrypt Zertifikat zu beantragen, damit die Verbindungssicherheit zwischen zwei Servern gewährleistet werden kann. 96 96 97 -=== **__LDAP Attribute__** === 98 98 120 +== __**Ports über Firewall an Rev-Proxy weiterleiten**__ == 99 99 100 - (%style="color:#000000"%)Standardmäßig werdenfolgendeAttributean den122 +Damit externe LDAPS-Verbindungen zum Server möglich werden, muss der TCP-Port 636 vom vorgeschalteten Router auf die externe IP-Adresse des LogoDIDACT Servers weitergeleitet werden. Vom ldhost wird die Verbindung dann entgegengenommen und abermals an den Rev-Proxy LXC-Container weitergeleitet. Die Einrichtung der zugehörige Poerweiterleitungs-Regel wird nachfolgend beschrieben. 101 101 124 + 125 +Wechseln Sie vom ldhost aus in das Verzeichnis der Shorewall: 126 + 102 102 {{code language="bash"}} 128 +root@ldhosts:~ # cd /etc/shorewall 129 +{{/code}} 130 + 131 + 132 +Öffnen Sie die Datei rules mit einem Editor ihrer Wahl: 133 + 134 +{{code language="bash"}} 135 +root@ldhost:/etc/shorewall # vim rules 136 +{{/code}} 137 + 138 + 139 +Ergänzen Sie die Liste innerhalb der Datei um den obersten DNAT-Eintrag (lila eingefärbte Zeile). Dadurch werden externe Verbindungsanfragen auf Port 636 (LDAPS) vom ldhost zum rev-proxy LXC-Container weitergeleitet, so wie im Schaubild am Anfang des Artikels abgebildet. Falls diese Regel bereits vorhanden ist, können Sie den Schritt überspringen. 140 + 141 +(% class="box" %) 142 +((( 143 +(% style="color:#16a085" %)### 144 +# Shorewall version 4.0##(%%) 145 +(% style="color:#16a085" %)#(%%) 146 +(% style="color:#8e44ad" %)##**DNAT ext dmz:172.28.29.3 tcp 636**##(%%)## 147 +DNAT ext dmz:172.28.29.3 tcp 80,443 148 +DNAT ext dmz:172.28.29.2 tcp 1:21 149 +DNAT ext dmz:172.28.29.2 tcp 23:2221 150 +DNAT ext dmz:172.28.29.2 tcp 2223:65535 151 +DNAT ext dmz:172.28.29.2 udp 1:65535## 152 +))) 153 + 154 + 155 +Starten Sie nun die Firewall des ldhost neu: 156 + 157 +{{code language="bash"}} 158 +root@ldhosts:~ # /etc/init.d/shorewall restart 159 +{{/code}} 160 + 161 + 162 +== __**Zertifikat für Rev-Proxy erstellen und prüfen**__ == 163 + 164 +Damit die Verbindung gesichert werden kann, wird ein Let's Encrypt Zertifikat benötigt. Dieses können Sie nach folgender Anleitung erstellen: 165 + 166 +====== __acmetool__ ====== 167 + 168 +Wechseln Sie in den puppeteer Container: 169 + 170 +{{code language="bash"}} 171 +root@ldhost:~ # lxc-ssh -n puppeteer 172 +{{/code}} 173 + 174 +Fordern Sie das Zertifikat mit folgendem Befehl an (Ersetzen Sie "SCHULKUERZEL" mit dem jeweiligen Shortname): 175 + 176 +{{code language="bash"}} 177 +root@puppeteer:~ # acmetool want kopano.SCHULKUERZEL.logoip.de 178 +{{/code}} 179 + 180 +====== __acme.sh__ ====== 181 + 182 +Wechseln Sie in den puppeteer Container: 183 + 184 +{{code language="bash"}} 185 +root@ldhost:~ # lxc-ssh -n puppeteer 186 +{{/code}} 187 + 188 + 189 +Wechseln Sie im puppeteer Container in die Umgebung für das Verwalten der Zertifikate: 190 + 191 +{{code language="bash"}} 192 +root@puppeteer:~ # sle 193 +{{/code}} 194 + 195 + 196 +Beantragen Sie ein neues Zertifikat mit folgendem Befehl (Ersetzen Sie "SCHULKUERZEL" mit dem jeweiligen Shortname): 197 + 198 +{{code language="bash"}} 199 +le-acme@puppeteer:~ $ issue kopano.SCHULKUERZEL.logoip.de 200 +{{/code}} 201 + 202 + 203 +Um das verteilen der Zertifikate zu beschleunigen können Sie ggf. einen prun im puppeteer und rev-proxy Container durchführen: 204 + 205 +{{code language="bash"}} 206 +root@puppeteer:~ # prun 207 +root@rev-proxy:~ # prun 208 +{{/code}} 209 + 210 + 211 +== (% style="color:#000000" %)**__LDAP Attribute__**(%%) == 212 + 213 +(% style="color:#000000" %)Standardmäßig werden folgende Attribute an die externe LDAP Schnittstelle weitergegeben: 214 + 215 +{{code language="bash"}} 103 103 entry, cn, displayName, gidnumber, givenName, mail, member, memberOf, memberUid, o, objectClass, ou, sn, title, uid, uidnumber, uniqueMember, ldObjectType, ldRole 104 104 {{/code}} 218 + 219 + 220 +(% style="color:#000000" %)Sollen zusätzliche Attribute an die externe Schnittstelle weitergegeben werden, so müssen Sie diese in folgender Datei im Puppeteer Container wie folgt abändern/erstellen: 221 + 222 +{{code language="bash"}} 223 +root@puppeteer:~ # vim /etc/logodidact/hiera/custom.d/ldhost.yaml 224 + 225 +#Ist die Datei nicht vorhanden bitte wie folgt anpassen (Im Beispiel werden die Attribute ldBirthday & ldGender hinzugefügt): 226 + 227 +--- 228 +ld_legacy::ldap::ldap_ro_atts: 229 + - ldBirtday 230 + - ldGender 231 +{{/code}} 232 + 233 + 234 +(% style="color:#000000" %)Danach müssen Sie die Änderungen ins Git übernehmen: 235 + 236 +{{code language="bash"}} 237 +root@puppeteer:~ # cd /etc/logodidact/ 238 +root@puppeteer:/etc/logodidact # git add . 239 +root@puppeteer:/etc/logodidact # git coomit -am "LDAP Attribute in der ldhost.yaml hinzugefügt" 240 +{{/code}} 241 + 242 + 243 +(% style="color:#000000" %)Um den Prozess zu beschleunigen bietet sich ein prun im ldhost an. Damit werden die Änderungen sofort an den logosrv weitergeleitet: 244 + 245 +{{code language="bash"}} 246 +root@ldhost:~ # prun 247 +{{/code}} 248 + 249 + 250 +(% style="color:#000000" %)Die angepassten ACL-Änderungen können zur Kontrolle im logosrv in der Konfigurationsdatei slapd.puppet.conf angeschaut werden: 251 + 252 +{{code language="bash"}} 253 +root@logosrv:~ # cat /etc/ldap/slapd.puppet.conf 254 +{{/code}}
- 1651243652049-471.png
-
- Author
-
... ... @@ -1,0 +1,1 @@ 1 +XWiki.JensGruber@sbede - Größe
-
... ... @@ -1,0 +1,1 @@ 1 +16.3 KB - Inhalt