Änderungen von Dokument LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv

Zuletzt geändert von Jonas Mayer am 2022/05/25 00:02

Von 34.1 nach 34.2 Von 47.1 nach 48.1

Von Version 34.2

bearbeitet von Jens Gruber
am 2022/05/03 14:02

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Auf Version 47.1

bearbeitet von Jonas Mayer
am 2022/05/04 09:38

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Rohform
Im Layout

Zusammenfassung

Seiteneigenschaften (3 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Titel

@@ -1,1 +1,1 @@
--Geändert: LDAP Admin-Benutzer und ReadOnly-Benutzer
++Geändert: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv

Dokument-Autor

@@ -1,1 +1,1 @@
--XWiki.JensGruber@sbede
++XWiki.jonasmayer@sbede

Inhalt

@@ -4,16 +4,14 @@
  ----
--{{toc start="3"/}}
++{{toc start="2"/}}
  (% style="color:#000000" %)[[image:Grafik für LDAp.png||height="331" width="622"]]
--===   ===
  == (% style="color:#000000" %)__**LDAP-Admin Benutzer**__(%%) ==
--
  === (% style="color:#000000" %)__Nutzungsgebiet:__(%%) ===
  (% style="color:#000000" %)Der LDAP-Admin Benutzer ist mit äußerster Vorsicht einzusetzen, da dieser einen beinahe uneingeschränkten (Schreib-)Zugriff auf den Inhalt des OpenLDAP-Verzeichnisdienst sowie die Nutzerattribute besitzt. Daher sollte der Benutzer möglichst nur intern durch LogoDIDACT-integrierte Dienste zum Einsatz kommen.
@@ -23,7 +23,6 @@
  ==== (% style="color:#000000" %)__Benutzername & Kennwort__(%%) ====
--======   ======
  ====== (% style="color:#000000" %)__Benutzername__(%%) ======
@@ -33,7 +33,6 @@
  cn=ldap-admin
  {{/code}}
--======   ======
  ====== (% style="color:#000000" %)__Attribute des Benutzernamens__(%%) ======
@@ -64,19 +64,16 @@
  {{/code}}
--== (% style="color:#000000" %)**__LDAP-ReadOnly (ldap-ro) Benutzer__**(%%) ==
++== (% style="color:#000000" %)__**LDAP-ReadOnly (ldap-ro) Benutzer**__(%%) ==
++=== (% style="color:#000000" %)__Nutzungsgebiet:__(%%) ===
--==== (% style="color:#000000" %)__Nutzungsgebiet:__(%%) ====
--
  (% style="color:#000000" %)Der LDAP-ReadOnly Benutzer ist für die Verwendung von externen Diensten/Anbindungen gedacht.
  (% style="color:#000000" %)Mögliche Nutzungsszenarien wären unter anderem die Anbindung  von extern gehosteten Webdiensten (z.B. Moodle, WebUntis oder Nextcloud) an die LogoDIDACT-integrierte Benutzerdatenbank über das LDAP-Protokoll.
--
  ==== (% style="color:#000000" %)__Benutzername & Passwort:__(%%) ====
--
  ====== (% style="color:#000000" %)__Benutzername__(%%) ======
  (% style="color:#000000" %)Relevant für den Zugriff von Außen wäre folgender Benutzername:
@@ -114,9 +114,6 @@
  Zur Nutzung der SSL-Transportverschlüsselung ist es wiederum wichtig, ein gültiges Let's Encrypt Zertifikat zu beantragen, damit die Verbindungssicherheit zwischen zwei Servern gewährleistet werden kann.
--**... [REV-PROXY LDAPS-Freischaltung mit Let's Encrypt einfügen]...**
--
--
  == __**Ports über Firewall an Rev-Proxy weiterleiten**__ ==
  Damit die LDAP Verbindung funktioniert, muss der Port 636 an den Rev-Proxy weitergeleitet werden. Diese Weiterleitung können Sie wie folgt einrichten:
@@ -136,22 +136,22 @@
  {{/code}}
--Ergänzen Sie die Liste innerhalb der Datei um den obersten Eintrag (DNAT ext dmz:172.28.29.3 tcp 636):
++Ergänzen Sie die Liste innerhalb der Datei um den obersten Eintrag (lila eingefärbte Zeile). Dadurch werden externe Verbindungsanfragen auf Port 636 (LDAPS) vom ldhost zum rev-proxy LXC-Container weitergeleitet, so wie im Schaubild am Anfang des Artikels abgebildet.
--{{code language="bash"}}
--#
--# Shorewall version 4.0
--#
--DNAT ext dmz:172.28.29.3 tcp 636
++(% class="box" %)
++(((
++(% style="color:#16a085" %)###
++# Shorewall version 4.0##(%%)
++(% style="color:#16a085" %)#(%%)##
++(% style="color:#8e44ad" %)**DNAT ext dmz:172.28.29.3 tcp 636**(%%)
  DNAT ext dmz:172.28.29.3 tcp 80,443
  DNAT ext dmz:172.28.29.2 tcp 1:21
  DNAT ext dmz:172.28.29.2 tcp 23:2221
  DNAT ext dmz:172.28.29.2 tcp 2223:65535
--DNAT ext dmz:172.28.29.2 udp 1:65535
++DNAT ext dmz:172.28.29.2 udp 1:65535##
++)))
--{{/code}}
--
  Starten Sie nun die Firewall des ldhost neu:
  {{code language="bash"}}
@@ -158,8 +158,56 @@
  root@ldhosts:~ # /etc/init.d/shorewall restart
  {{/code}}
--===  ===
++== __**Zertifikat für Rev-Proxy erstellen und prüfen**__ ==
++
++Damit die Verbindung gesichert werden kann, wird ein Let's Encrypt Zertifikat benötigt. Dieses können Sie nach folgender Anleitung erstellen:
++
++====== __acmetool__ ======
++
++Wechseln Sie in den puppeteer Container:
++
++{{code language="bash"}}
++root@ldhost:~ # lxc-ssh -n puppeteer
++{{/code}}
++
++Fordern Sie das Zertifikat mit folgendem Befehl an (Ersetzen Sie "SCHULKUERZEL" mit dem jeweiligen Shortname):
++
++{{code language="bash"}}
++root@puppeteer:~ # acmetool want kopano.SCHULKUERZEL.logoip.de
++{{/code}}
++
++====== __acme.sh__ ======
++
++Wechseln Sie in den puppeteer Container:
++
++{{code language="bash"}}
++root@ldhost:~ # lxc-ssh -n puppeteer
++{{/code}}
++
++
++Wechseln Sie im puppeteer Container in die Umgebung für das Verwalten der Zertifikate:
++
++{{code language="bash"}}
++root@puppeteer:~ # sle
++{{/code}}
++
++
++Beantragen Sie ein neues Zertifikat mit folgendem Befehl (Ersetzen Sie "SCHULKUERZEL" mit dem jeweiligen Shortname):
++
++{{code language="bash"}}
++le-acme@puppeteer:~ $ issue kopano.SCHULKUERZEL.logoip.de
++{{/code}}
++
++
++Um das verteilen der Zertifikate zu beschleunigen können Sie ggf. einen prun im puppeteer und rev-proxy Container durchführen:
++
++{{code language="bash"}}
++root@puppeteer:~ # prun
++root@rev-proxy:~ # prun
++{{/code}}
++
++
  == (% style="color:#000000" %)**__LDAP Attribute__**(%%) ==
  (% style="color:#000000" %)Standardmäßig werden folgende Attribute an die externe LDAP Schnittstelle weitergegeben: