Zum Inhalt springen
Zuletzt geändert von Jonas Mayer am 2022/05/25 00:02
Von Version 32.1
bearbeitet von Jonas Mayer
am 2022/05/02 18:32
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 20.5
bearbeitet von Jens Gruber
am 2022/04/28 14:56
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Titel
... ... @@ -1,1 +1,1 @@
1 -Geändert: LDAP Admin-Benutzer und ReadOnly-Benutzer
1 +LDAP Admin-Benutzer und ReadOnly-Benutzer
Dokument-Autor
... ... @@ -1,1 +1,1 @@
1 -XWiki.jonasmayer@sbede
1 +XWiki.JensGruber@sbede
Inhalt
... ... @@ -2,7 +2,7 @@
2 2  
3 3  (% style="color:#000000" %)In diesem Artikel erfahren Sie, wo Sie die Benutzernamen & Kennwörter der zwei Benutzer finden und welche Nutzer sich für welches Vorhaben am besten eignen.
4 4  
5 -(% style="color:#000000" %)[[image:Grafik für LDAp.png||height="331" width="622"]]
5 +[[image:Grafik für LDAp.png||height="331" width="622"]]
6 6  
7 7  === ===
8 8  
... ... @@ -11,9 +11,9 @@
11 11  
12 12  === (% style="color:#000000" %)__Nutzungsgebiet:__(%%) ===
13 13  
14 -(% style="color:#000000" %)Der LDAP-Admin Benutzer ist mit äußerster Vorsicht einzusetzen, da dieser einen beinahe uneingeschränkten (Schreib-)Zugriff auf den Inhalt des OpenLDAP-Verzeichnisdienst sowie die Nutzerattribute besitzt. Daher sollte der Benutzer möglichst nur intern durch LogoDIDACT-integrierte Dienste zum Einsatz kommen.
14 +(% style="color:#000000" %)Der LDAP-Admin Benutzer ist mit äußerster Vorsicht einzusetzen, da dieser einen beinahe uneingeschränkten Zugriff auf das Abrufen und Bearbeiten der Nutzerattribute des Servers besitzt. Daher sollte der Benutzer nur möglichst Intern eingesetzt werden.
15 15  
16 -(% style="color:#000000" %)Sollten die Daten des LDAP-Admins in unbefugte Hände gelangen, stellt dies ein massives datenschutz- und sicherheitstechnisches Problem dar. **__Von einem externen Gebrauch des Benutzerkontos ist daher strengstens abzuraten!__**
16 +(% style="color:#000000" %)Sollten die Daten des Admins in unbefugte Hände gelangen, stellt dies ein massives Datenschutz- und Sicherheitstechnisches Problem dar. **__Von einem externen Gebrauch ist daher strengstens abgeraten!__**
17 17  
18 18  
19 19  ==== (% style="color:#000000" %)__Benutzername & Kennwort__(%%) ====
... ... @@ -20,9 +20,9 @@
20 20  
21 21  ====== ======
22 22  
23 -====== (% style="color:#000000" %)__Benutzername__(%%) ======
23 +====== __Benutzername__ ======
24 24  
25 -(% style="color:#000000" %)Der Benutzername des LDAP Admins lautet:
25 +(% style="color:#000000" %)Der Benutzername mit den jeweiligen Attributen:
26 26  
27 27  {{code language="bash"}}
28 28  cn=ldap-admin
... ... @@ -30,22 +30,16 @@
30 30  
31 31  ====== ======
32 32  
33 -====== (% style="color:#000000" %)__Attribute des Benutzernamens__(%%) ======
33 +====== __Attribute des Benutzernamens__ ======
34 34  
35 -(% style="color:#000000" %)Die BaseDN als Einstiegspunkt zum LDAP-Verzeichnisdienst kann über ein zusätzliches Programm ausgelesen werden, z.B. über das freie Tool LDAP Admin. In diesem Beispiel lautet die BaseDN {{code language="bash"}}dc=schule,dc=local{{/code}}. Dies kann von Installation zu Installation abweichen und wird durch die intern verwendete DNS Domain bestimmt, hier im Beispiel handelt es sich um den Standardwert.
35 +Die Attribute des LDAP Namens sind über ein zusätzliches Programm auszulesen wie z.B. die Software LDAP Admin auszulesen. In diesem Beispiel wären die Attribute {{code language="bash"}}dc=schule,dc=local{{/code}}. Dies kann von Installation zu Installation abweichen und wird durch die Intern verwendete DNS Domain bestimmt.
36 36  
37 -(% style="color:#000000" %)[[image:1651243652049-471.png]]
37 +[[image:1651127320035-296.png]]
38 38  
39 +====== ======
39 39  
40 -(% style="color:#000000" %)In diesem Beispiel ergibt sich der vollständige Benutzername (sogenannter //Distinguished Name// des Benutzerkontos) durch Anfügen der BaseDN:
41 +====== __Kennwort__ ======
41 41  
42 -{{code language="bash"}}
43 -cn=ldap-admin,dc=schule,dc=local
44 -{{/code}}
45 -
46 -
47 -====== (% style="color:#000000" %)__Kennwort__(%%) ======
48 -
49 49  (% style="color:#000000" %)Das Kennwort ist im logosrv unter folgendem Pfad einsehbar:
50 50  
51 51  {{code language="bash"}}
... ... @@ -52,7 +52,7 @@
52 52  root@logosrv:~ # cat /etc/ldap.secret
53 53  {{/code}}
54 54  
55 -(% style="color:#000000" %)Optional kann man das Passwort (sowie die gültige BaseDN als Suffix des Benutzernamens) auch mit folgendem Befehl unter dem Punkt "Credentials" einsehen:
49 +Optional kann man das Passwort auch mit folgendem Befehl unter dem Punkt "Credentials" einsehen:
56 56  
57 57  {{code language="bash"}}
58 58  root@logosrv:~ # ldconf -o
... ... @@ -66,13 +66,13 @@
66 66  
67 67  (% style="color:#000000" %)Der LDAP-ReadOnly Benutzer ist für die Verwendung von externen Diensten/Anbindungen gedacht.
68 68  
69 -(% style="color:#000000" %)Mögliche Nutzungsszenarien wären unter anderem die Anbindung  von extern gehosteten Webdiensten (z.B. Moodle, WebUntis oder Nextcloud) an die LogoDIDACT-integrierte Benutzerdatenbank über das LDAP-Protokoll.
63 +(% style="color:#000000" %)Mögliche Nutzungsmöglichkeiten wären unteranderem die Nutzung und Einbindung  von einem extern gehosteten moodle, WebUntis oder einer Nextcloud.
70 70  
71 71  
72 72  ==== (% style="color:#000000" %)__Benutzername & Passwort:__(%%) ====
73 73  
74 74  
75 -====== (% style="color:#000000" %)__Benutzername__(%%) ======
69 +====== __Benutzername__ ======
76 76  
77 77  (% style="color:#000000" %)Relevant für den Zugriff von Außen wäre folgender Benutzername:
78 78  
... ... @@ -80,24 +80,17 @@
80 80  cn=ldap-ro
81 81  {{/code}}
82 82  
83 -====== (% id="cke_bm_979S" style="color:#000000; display:none" %)__ __(%%) ======
77 +====== (% id="cke_bm_979S" style="display:none" %)__ __(%%) ======
84 84  
85 -====== (% style="color:#000000" %)__Attribute des Benutzernamens__(%%) ======
79 +====== __Attribute des Benutzernamens__ ======
86 86  
87 -(% style="color:#000000" %)Die BaseDN als Einstiegspunkt zum LDAP-Verzeichnisdienst kann über ein zusätzliches Programm ausgelesen werden, z.B. über das freie Tool LDAP Admin. In diesem Beispiel lautet die BaseDN {{code language="bash"}}dc=schule,dc=local{{/code}}. Dies kann von Installation zu Installation abweichen und wird durch die intern verwendete DNS Domain bestimmt, hier im Beispiel handelt es sich um den Standardwert.
81 +Die Attribute des LDAP Namens sind über ein zusätzliches Programm auszulesen wie z.B. die Software LDAP Admin auszulesen. In diesem Beispiel wären die Attribute {{code language="bash"}}dc=schule,dc=local{{/code}}. Dies kann von Installation zu Installation abweichen und wird durch die Intern verwendete DNS Domain bestimmt.
88 88  
89 -(% style="color:#000000" %)[[image:1651243652049-471.png]]
83 +[[image:1651127322559-640.png]]
90 90  
91 91  
92 -(% style="color:#000000" %)Im Unterschied zum vorherigen Benutzer steckt das Konto verschachtelt in der OU //services//. Dadurch ergibt sich nachfolgender, vollständiger Benutzername (sogenannter //Distinguished Name//):
86 +====== __Kennwort__ ======
93 93  
94 -{{code language="bash"}}
95 -cn=ldap-ro,ou=services,dc=schule,dc=local
96 -{{/code}}
97 -
98 -
99 -====== (% style="color:#000000" %)__Kennwort__(%%) ======
100 -
101 101  (% style="color:#000000" %)Das Kennwort ist im logosrv unter folgendem Pfad einsehbar:
102 102  
103 103  {{code language="bash"}}
... ... @@ -106,48 +106,11 @@
106 106  
107 107  
108 108  
109 -=== (% style="color:#000000" %)**__LDAP Attribute__**(%%) ===
96 +=== **__LDAP Attribute__** ===
110 110  
111 111  
112 -(% style="color:#000000" %)Standardmäßig werden folgende Attribute an die externe LDAP Schnittstelle weitergegeben:
99 +(% style="color:#000000" %)Standardmäßig werden folgende Attribute an den
113 113  
114 114  {{code language="bash"}}
115 115  entry, cn, displayName, gidnumber, givenName, mail, member, memberOf, memberUid, o, objectClass, ou, sn, title, uid, uidnumber, uniqueMember, ldObjectType, ldRole
116 116  {{/code}}
117 -
118 -
119 -(% style="color:#000000" %)Sollen zusätzliche Attribute an die externe Schnittstelle weitergegeben werden, so müssen Sie diese in folgender Datei im Puppeteer Container wie folgt abändern/erstellen:
120 -
121 -{{code language="bash"}}
122 -root@puppeteer:~ # vim /etc/logodidact/hiera/custom.d/ldhost.yaml
123 -
124 -#Ist die Datei nicht vorhanden bitte wie folgt anpassen (Im Beispiel werden die Attribute ldBirthday & ldGender hinzugefügt):
125 -
126 ----
127 -ld_legacy::ldap::ldap_ro_atts:
128 - - ldBirtday
129 - - ldGender
130 -{{/code}}
131 -
132 -
133 -(% style="color:#000000" %)Danach müssen Sie die Änderungen ins Git übernehmen:
134 -
135 -{{code language="bash"}}
136 -root@puppeteer:~ # cd /etc/logodidact/
137 -root@puppeteer:/etc/logodidact # git add .
138 -root@puppeteer:/etc/logodidact # git coomit -am "LDAP Attribute in der ldhost.yaml hinzugefügt"
139 -{{/code}}
140 -
141 -
142 -(% style="color:#000000" %)Um den Prozess zu beschleunigen bietet sich ein prun im ldhost an. Damit werden die Änderungen sofort an den logosrv weitergeleitet:
143 -
144 -{{code language="bash"}}
145 -root@ldhost:~ # prun
146 -{{/code}}
147 -
148 -
149 -(% style="color:#000000" %)Die angepassten ACL-Änderungen können zur Kontrolle im logosrv in der Konfigurationsdatei slapd.puppet.conf angeschaut werden:
150 -
151 -{{code language="bash"}}
152 -root@logosrv:~ # cat /etc/ldap/slapd.puppet.conf
153 -{{/code}}
1651243652049-471.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.JensGruber@sbede
Größe
... ... @@ -1,1 +1,0 @@
1 -16.3 KB
Inhalt