Zum Inhalt springen
Zuletzt geändert von Jonas Mayer am 2022/05/25 00:02
Von Version 24.1
bearbeitet von Jens Gruber
am 2022/04/29 16:37
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 13.1
bearbeitet von Jens Gruber
am 2022/04/28 08:18
Änderungskommentar: Neuen Anhang LDAPS attribute.png hochladen

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -1,11 +1,8 @@
1 1  (% style="color:#000000" %)Um externe oder interne Dienste über LDAPS einzubinden, gibt es nach wie vor den sogenannten LDAP-Admin und den seit der Umstellung auf LDAPS neu hinzugefügten ReadOnly-Benutzer.
2 2  
3 -(% style="color:#000000" %)In diesem Artikel erfahren Sie, wo Sie die Benutzernamen & Kennwörter der zwei Benutzer finden und welche Nutzer sich für welches Vorhaben am besten eignen.
3 +(% style="color:#000000" %)In diesem Artikel erfahren Sie, wo Sie die Benutzernamen & Passwörter der zwei Benutzer finden und welche Nutzer sich für welches Vorhaben am besten eignen.
4 4  
5 -[[image:Grafik für LDAp.png||height="331" width="622"]]
6 6  
7 -=== ===
8 -
9 9  === (% style="color:#000000" %)__**LDAP-Admin Benutzer**__(%%) ===
10 10  
11 11  
... ... @@ -16,30 +16,15 @@
16 16  (% style="color:#000000" %)Sollten die Daten des Admins in unbefugte Hände gelangen, stellt dies ein massives Datenschutz- und Sicherheitstechnisches Problem dar. **__Von einem externen Gebrauch ist daher strengstens abgeraten!__**
17 17  
18 18  
19 -==== (% style="color:#000000" %)__Benutzername & Kennwort__(%%) ====
16 +==== (% style="color:#000000" %)__Benutzername & Passwort:__(%%) ====
20 20  
21 -====== ======
18 +(% style="color:#000000" %)Der Benutzername mit den jeweiligen Attributen:
22 22  
23 -====== __Benutzername__ ======
24 -
25 -(% style="color:#000000" %)Der Benutzername des LDAP Admins wäre:
26 -
27 27  {{code language="bash"}}
28 -cn=ldap-admin
21 +cn=ldap-admin,dc=schule,dc=local
29 29  {{/code}}
30 30  
31 -====== ======
32 32  
33 -====== __Attribute des Benutzernamens__ ======
34 -
35 -Die Attribute des LDAP Namens sind über ein zusätzliches Programm auszulesen wie z.B. die Software LDAP Admin auszulesen. In diesem Beispiel wären die Attribute {{code language="bash"}}dc=schule,dc=local{{/code}}. Dies kann von Installation zu Installation abweichen und wird durch die Intern verwendete DNS Domain bestimmt.
36 -
37 -[[image:1651127320035-296.png]]
38 -
39 -====== ======
40 -
41 -====== __Kennwort__ ======
42 -
43 43  (% style="color:#000000" %)Das Kennwort ist im logosrv unter folgendem Pfad einsehbar:
44 44  
45 45  {{code language="bash"}}
... ... @@ -58,83 +58,30 @@
58 58  
59 59  ==== (% style="color:#000000" %)__Nutzungsgebiet:__(%%) ====
60 60  
61 -(% style="color:#000000" %)Der LDAP-ReadOnly Benutzer ist für die Verwendung von externen Diensten/Anbindungen gedacht.
43 +(% style="color:#000000" %)Der LDAP-ReadOnly Benutzer ist für die Verwendung von externen Diensten/Anbindungen gedacht. Dieser hat lediglich lesende Rechte auf folgende Attribute:
62 62  
63 -(% style="color:#000000" %)Mögliche Nutzungsmöglichkeiten wären unteranderem die Nutzung und Einbindung  von einem extern gehosteten moodle, WebUntis oder einer Nextcloud.
64 -
65 -
66 -==== (% style="color:#000000" %)__Benutzername & Passwort:__(%%) ====
67 -
68 -
69 -====== __Benutzername__ ======
70 -
71 -(% style="color:#000000" %)Relevant für den Zugriff von Außen wäre folgender Benutzername:
72 -
73 73  {{code language="bash"}}
74 -cn=ldap-ro
75 -{{/code}}
76 -
77 -====== (% id="cke_bm_979S" style="display:none" %)__ __(%%) ======
78 -
79 -====== __Attribute des Benutzernamens__ ======
80 -
81 -Die Attribute des LDAP Namens sind über ein zusätzliches Programm auszulesen wie z.B. die Software LDAP Admin auszulesen. In diesem Beispiel wären die Attribute {{code language="bash"}}dc=schule,dc=local{{/code}}. Dies kann von Installation zu Installation abweichen und wird durch die Intern verwendete DNS Domain bestimmt.
82 -
83 -[[image:1651127322559-640.png]]
84 -
85 -
86 -====== __Kennwort__ ======
87 -
88 -(% style="color:#000000" %)Das Kennwort ist im logosrv unter folgendem Pfad einsehbar:
89 -
90 -{{code language="bash"}}
91 -root@logosrv:~ # cat /etc/ldap.ro.secret
92 -{{/code}}
93 -
94 -
95 -
96 -=== **__LDAP Attribute__** ===
97 -
98 -
99 -(% style="color:#000000" %)Standardmäßig werden folgende Attribute an die externe LDAP Schnittstelle weitergegeben:
100 -
101 -{{code language="bash"}}
102 102  entry, cn, displayName, gidnumber, givenName, mail, member, memberOf, memberUid, o, objectClass, ou, sn, title, uid, uidnumber, uniqueMember, ldObjectType, ldRole
103 103  {{/code}}
104 104  
105 105  
106 -Sollen zusätzliche Attribute an die externe Schnittstelle weitergegeben werden, so müssen Sie diese in folgender Datei im Puppeteer Container wie folgt abändern/erstellen:
107 107  
108 -{{code language="bash"}}
109 -root@puppeteer:~ # vim /etc/logodidact/hiera/custom.d/ldhost.yaml
51 +(% style="color:#000000" %)Mögliche Nutzungsmöglichkeiten wären unteranderem die Nutzung und Einbindung  von einem extern gehosteten moodle oder WebUntis.
110 110  
111 -#Ist die Datei nicht vorhanden bitte wie folgt anpassen (Im Beispiel werden die Attribute ldBirthday & ldGender hinzugefügt):
112 112  
113 ----
114 -ld_legacy::ldap::ldap_ro_atts:
115 - - ldBirtday
116 - - ldGender
117 -{{/code}}
54 +==== (% style="color:#000000" %)__Benutzername & Passwort:__(%%) ====
118 118  
56 +(% style="color:#000000" %)Relevant für den Zugriff von Außen wäre folgender Benutzername:
119 119  
120 -Danach müssen Sie die Änderungen ins Git übernehmen:
121 -
122 122  {{code language="bash"}}
123 -root@puppeteer:~ # cd /etc/logodidact/
124 -root@puppeteer:/etc/logodidact # git add .
125 -root@puppeteer:/etc/logodidact # git coomit -am "LDAP Attribute in der ldhost.yaml hinzugefügt"
59 +cn=ldap-ro,ou=services,dc=schule,dc=local
126 126  {{/code}}
127 127  
128 128  
129 -Um den Prozess zu beschleunigen bietet sich ein prun im ldhost an. Damit werden die Änderungen sofort an den logosrv weitergeleitet:
63 +(% style="color:#000000" %)Das Kennwort ist im logosrv unter folgendem Pfad einsehbar:
130 130  
131 131  {{code language="bash"}}
132 -root@ldhost:~ # prun
66 +root@logosrv:~ # cat /etc/ldap.ro.secret
133 133  {{/code}}
134 134  
135 135  
136 -Die angepassten Änderungen können nun logosrv in der slapd.puppet.conf angeschaut werden:
137 -
138 -{{code language="bash"}}
139 -root@logosrv:~ # cat /etc/ldap/slapd.puppet.conf
140 -{{/code}}
1651126744720-491.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.JensGruber@sbede
Größe
... ... @@ -1,1 +1,0 @@
1 -85.5 KB
Inhalt
1651127320035-296.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.JensGruber@sbede
Größe
... ... @@ -1,1 +1,0 @@
1 -70.6 KB
Inhalt
1651127322559-640.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.JensGruber@sbede
Größe
... ... @@ -1,1 +1,0 @@
1 -70.6 KB
Inhalt
Grafik für LDAp.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.JensGruber@sbede
Größe
... ... @@ -1,1 +1,0 @@
1 -256.3 KB
Inhalt