Änderungen von Dokument LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv

Zusammenfassung

• Seiteneigenschaften (2 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Titel

...	...	@@ -1,1 +1,1 @@
1		-Geändert: LDAP Admin-Benutzer und ReadOnly-Benutzer
	1	+Geändert: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv

Inhalt

...	...	@@ -2,11 +2,15 @@
2	2
3	3	(% style="color:#000000" %)In diesem Artikel erfahren Sie, wo Sie die Benutzernamen & Kennwörter der zwei Benutzer finden und welches Konto sich für welches Vorhaben am besten eignen.
4	4
	5	+----
	6	+
	7	+{{toc start="2"/}}
	8	+
	9	+
5	5	(% style="color:#000000" %)[[image:Grafik für LDAp.png||height="331" width="622"]]
6	6
7		-=== ===
8	8
9		-=== (% style="color:#000000" %)__**LDAP-Admin Benutzer**__(%%) ===
	13	+== (% style="color:#000000" %)__**LDAP-Admin Benutzer**__(%%) ==
10	10
11	11
12	12	=== (% style="color:#000000" %)__Nutzungsgebiet:__(%%) ===
...	...	@@ -18,7 +18,6 @@
18	18
19	19	==== (% style="color:#000000" %)__Benutzername & Kennwort__(%%) ====
20	20
21		-====== ======
22	22
23	23	====== (% style="color:#000000" %)__Benutzername__(%%) ======
24	24
...	...	@@ -28,7 +28,6 @@
28	28	cn=ldap-admin
29	29	{{/code}}
30	30
31		-====== ======
32	32
33	33	====== (% style="color:#000000" %)__Attribute des Benutzernamens__(%%) ======
34	34
...	...	@@ -59,7 +59,7 @@
59	59	{{/code}}
60	60
61	61
62		-=== (% style="color:#000000" %)**__LDAP-ReadOnly (ldap-ro) Benutzer__**(%%) ===
	64	+== (% style="color:#000000" %)**__LDAP-ReadOnly (ldap-ro) Benutzer__**(%%) ==
63	63
64	64
65	65	==== (% style="color:#000000" %)__Nutzungsgebiet:__(%%) ====
...	...	@@ -105,16 +105,103 @@
105	105	{{/code}}
106	106
107	107
108		-(% style="color:#000000" %)Im Zuge der Anbindung externer Dienste sollte stets darauf geachtet werden, die verschlüsselte Form des LDAP-Protokolls (d.h. LDAPS auf TCP-Port 636) zu verwenden, damit sensible Information wie Benutzer-Zugangsdaten stets per SSL-Transportverschlüsselung versendet werden.
	110	+(% style="color:#000000" %)Im Zuge der Anbindung externer Dienste sollte stets darauf geachtet werden, die verschlüsselte Form des LDAP-Protokolls (d.h. LDAPS auf TCP-Port 636) zu verwenden, damit sensible Information wie Benutzer-Zugangsdaten prinzipiell per SSL-Transportverschlüsselung versendet werden.
109	109	Zur Nutzung der SSL-Transportverschlüsselung ist es wiederum wichtig, ein gültiges Let's Encrypt Zertifikat zu beantragen, damit die Verbindungssicherheit zwischen zwei Servern gewährleistet werden kann.
110	110
111	111
112		-**... [REV-PROXY LDAPS-Freischaltung mit Let's Encrypt einfügen]...**
	114	+== __**Ports über Firewall an Rev-Proxy weiterleiten**__ ==
113	113
	116	+Damit die LDAP Verbindung funktioniert, muss der Port 636 an den Rev-Proxy weitergeleitet werden. Diese Weiterleitung können Sie wie folgt einrichten:
114	114
115		-=== (% style="color:#000000" %)**__LDAP Attribute__**(%%) ===
116	116
	119	+Wechseln Sie in das Verzeichnis der Shorewall:
117	117
	121	+{{code language="bash"}}
	122	+root@ldhosts:~ # cd /etc/shorewall
	123	+{{/code}}
	124	+
	125	+
	126	+Öffnen Sie die Datei rules mit einem Editor ihrer Wahl:
	127	+
	128	+{{code language="bash"}}
	129	+root@ldhost:/etc/shorewall # vim rules
	130	+{{/code}}
	131	+
	132	+
	133	+Ergänzen Sie die Liste innerhalb der Datei um den obersten Eintrag (lila eingefärbte Zeile). Dadurch werden externe Verbindungsanfragen auf Port 636 (LDAPS) vom ldhost zum rev-proxy LXC-Container weitergeleitet, so wie im Schaubild am Anfang des Artikels abgebildet.
	134	+
	135	+(% class="box" %)
	136	+(((
	137	+(% style="color:#16a085" %)###
	138	+# Shorewall version 4.0##(%%)
	139	+(% style="color:#16a085" %)#(%%)##
	140	+(% style="color:#8e44ad" %)**DNAT ext dmz:172.28.29.3 tcp 636**(%%)
	141	+DNAT ext dmz:172.28.29.3 tcp 80,443
	142	+DNAT ext dmz:172.28.29.2 tcp 1:21
	143	+DNAT ext dmz:172.28.29.2 tcp 23:2221
	144	+DNAT ext dmz:172.28.29.2 tcp 2223:65535
	145	+DNAT ext dmz:172.28.29.2 udp 1:65535##
	146	+)))
	147	+
	148	+
	149	+Starten Sie nun die Firewall des ldhost neu:
	150	+
	151	+{{code language="bash"}}
	152	+root@ldhosts:~ # /etc/init.d/shorewall restart
	153	+{{/code}}
	154	+
	155	+
	156	+== __**Zertifikat für Rev-Proxy erstellen und prüfen**__ ==
	157	+
	158	+Damit die Verbindung gesichert werden kann, wird ein Let's Encrypt Zertifikat benötigt. Dieses können Sie nach folgender Anleitung erstellen:
	159	+
	160	+====== __acmetool__ ======
	161	+
	162	+Wechseln Sie in den puppeteer Container:
	163	+
	164	+{{code language="bash"}}
	165	+root@ldhost:~ # lxc-ssh -n puppeteer
	166	+{{/code}}
	167	+
	168	+Fordern Sie das Zertifikat mit folgendem Befehl an (Ersetzen Sie "SCHULKUERZEL" mit dem jeweiligen Shortname):
	169	+
	170	+{{code language="bash"}}
	171	+root@puppeteer:~ # acmetool want kopano.SCHULKUERZEL.logoip.de
	172	+{{/code}}
	173	+
	174	+====== __acme.sh__ ======
	175	+
	176	+Wechseln Sie in den puppeteer Container:
	177	+
	178	+{{code language="bash"}}
	179	+root@ldhost:~ # lxc-ssh -n puppeteer
	180	+{{/code}}
	181	+
	182	+
	183	+Wechseln Sie im puppeteer Container in die Umgebung für das Verwalten der Zertifikate:
	184	+
	185	+{{code language="bash"}}
	186	+root@puppeteer:~ # sle
	187	+{{/code}}
	188	+
	189	+
	190	+Beantragen Sie ein neues Zertifikat mit folgendem Befehl (Ersetzen Sie "SCHULKUERZEL" mit dem jeweiligen Shortname):
	191	+
	192	+{{code language="bash"}}
	193	+le-acme@puppeteer:~ $ issue kopano.SCHULKUERZEL.logoip.de
	194	+{{/code}}
	195	+
	196	+
	197	+Um das verteilen der Zertifikate zu beschleunigen können Sie ggf. einen prun im puppeteer und rev-proxy Container durchführen:
	198	+
	199	+{{code language="bash"}}
	200	+root@puppeteer:~ # prun
	201	+root@rev-proxy:~ # prun
	202	+{{/code}}
	203	+
	204	+
	205	+== (% style="color:#000000" %)**__LDAP Attribute__**(%%) ==
	206	+
118	118	(% style="color:#000000" %)Standardmäßig werden folgende Attribute an die externe LDAP Schnittstelle weitergegeben:
119	119
120	120	{{code language="bash"}}