Änderungen von Dokument LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv

Zusammenfassung

• Seiteneigenschaften (3 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Titel

...	...	@@ -1,1 +1,1 @@
1		-Geändert: LDAP Admin-Benutzer und ReadOnly-Benutzer
	1	+Geändert: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv

Dokument-Autor

...	...	@@ -1,1 +1,1 @@
1		-XWiki.JensGruber@sbede
	1	+XWiki.jonasmayer@sbede

Inhalt

...	...	@@ -4,29 +4,28 @@
4	4
5	5	----
6	6
7		-{{toc start="3"/}}
	7	+{{toc start="2"/}}
8	8
9	9
10	10	(% style="color:#000000" %)[[image:Grafik für LDAp.png||height="331" width="622"]]
11	11
12		-=== ===
13	13
14		-== (% style="color:#000000" %)__**LDAP-Admin Benutzer**__(%%) ==
	13	+== (% style="color:#000000" %)__**Übersicht der Benutzer**__(%%) ==
15	15
16	16
17		-=== (% style="color:#000000" %)__Nutzungsgebiet:__(%%) ===
	16	+=== (% style="color:#000000" %)**LDAP-Admin Benutzer:**(%%) ===
18	18
	18	+(% style="color:#000000; font-size:20px" %)__Nutzungsgebiet:__
	19	+
19	19	(% style="color:#000000" %)Der LDAP-Admin Benutzer ist mit äußerster Vorsicht einzusetzen, da dieser einen beinahe uneingeschränkten (Schreib-)Zugriff auf den Inhalt des OpenLDAP-Verzeichnisdienst sowie die Nutzerattribute besitzt. Daher sollte der Benutzer möglichst nur intern durch LogoDIDACT-integrierte Dienste zum Einsatz kommen.
20	20
21	21	(% style="color:#000000" %)Sollten die Daten des LDAP-Admins in unbefugte Hände gelangen, stellt dies ein massives datenschutz- und sicherheitstechnisches Problem dar. **__Von einem externen Gebrauch des Benutzerkontos ist daher strengstens abzuraten!__**
22	22
23	23
24		-==== (% style="color:#000000" %)__Benutzername & Kennwort__(%%) ====
	25	+(% class="wikigeneratedid" id="HZugangsdaten:" %)
	26	+(% style="color:#000000; font-size:20px" %)__Zugangsdaten:__
25	25
26		-====== ======
27		-
28		-====== (% style="color:#000000" %)__Benutzername__(%%) ======
29		-
	28	+(% class="wikigeneratedid" id="HBenutzername" %)
30	30	(% style="color:#000000" %)Der Benutzername des LDAP Admins lautet:
31	31
32	32	{{code language="bash"}}
...	...	@@ -33,9 +33,9 @@
33	33	cn=ldap-admin
34	34	{{/code}}
35	35
36		-====== ======
37	37
38		-====== (% style="color:#000000" %)__Attribute des Benutzernamens__(%%) ======
	36	+(% class="wikigeneratedid" id="HAttributedesBenutzernamens" %)
	37	+(% style="color:#000000; font-size:16px" %)__Vollständiger Benutzername__
39	39
40	40	(% style="color:#000000" %)Die BaseDN als Einstiegspunkt zum LDAP-Verzeichnisdienst kann über ein zusätzliches Programm ausgelesen werden, z.B. über das freie Tool LDAP Admin. In diesem Beispiel lautet die BaseDN {{code language="bash"}}dc=schule,dc=local{{/code}}. Dies kann von Installation zu Installation abweichen und wird durch die intern verwendete DNS Domain bestimmt, hier im Beispiel handelt es sich um den Standardwert.
41	41
...	...	@@ -49,7 +49,8 @@
49	49	{{/code}}
50	50
51	51
52		-====== (% style="color:#000000" %)__Kennwort__(%%) ======
	51	+(% class="wikigeneratedid" id="HKennwort" %)
	52	+(% style="color:#000000; font-size:16px" %)__Kennwort__
53	53
54	54	(% style="color:#000000" %)Das Kennwort ist im logosrv unter folgendem Pfad einsehbar:
55	55
...	...	@@ -64,23 +64,23 @@
64	64	{{/code}}
65	65
66	66
67		-== (% style="color:#000000" %)**__LDAP-ReadOnly (ldap-ro) Benutzer__**(%%) ==
	67	+=== (% style="color:#000000" %)**LDAP-ReadOnly (ldap-ro) Benutzer**(%%) ===
68	68
	69	+(% class="wikigeneratedid" id="HNutzungsgebiet:" %)
	70	+(% style="color:#000000; font-size:20px" %)__Nutzungsgebiet:__
69	69
70		-==== (% style="color:#000000" %)__Nutzungsgebiet:__(%%) ====
71		-
72	72	(% style="color:#000000" %)Der LDAP-ReadOnly Benutzer ist für die Verwendung von externen Diensten/Anbindungen gedacht.
73	73
74	74	(% style="color:#000000" %)Mögliche Nutzungsszenarien wären unter anderem die Anbindung  von extern gehosteten Webdiensten (z.B. Moodle, WebUntis oder Nextcloud) an die LogoDIDACT-integrierte Benutzerdatenbank über das LDAP-Protokoll.
75	75
76	76
77		-==== (% style="color:#000000" %)__Benutzername & Passwort:__(%%) ====
78	78
	78	+(% class="wikigeneratedid" id="HBenutzername26Passwort:" %)
	79	+(% style="color:#000000; font-size:20px" %)__Zugangsdaten:__
79	79
80		-====== (% style="color:#000000" %)__Benutzername__(%%) ======
	81	+(% class="wikigeneratedid" id="HBenutzername" %)
	82	+(% style="color:#000000" %)Der Benutzername des LDAP ReadOnly Benutzers lautet:
81	81
82		-(% style="color:#000000" %)Relevant für den Zugriff von Außen wäre folgender Benutzername:
83		-
84	84	{{code language="bash"}}
85	85	cn=ldap-ro
86	86	{{/code}}
...	...	@@ -87,8 +87,11 @@
87	87
88	88	====== (% id="cke_bm_979S" style="color:#000000; display:none" %)__ __(%%) ======
89	89
90		-====== (% style="color:#000000" %)__Attribute des Benutzernamens__(%%) ======
91	91
	91	+
	92	+(% class="wikigeneratedid" id="HAttributedesBenutzernamens" %)
	93	+(% style="color:#000000; font-size:16px" %)__Vollständiger Benutzername__
	94	+
92	92	(% style="color:#000000" %)Die BaseDN als Einstiegspunkt zum LDAP-Verzeichnisdienst kann über ein zusätzliches Programm ausgelesen werden, z.B. über das freie Tool LDAP Admin. In diesem Beispiel lautet die BaseDN {{code language="bash"}}dc=schule,dc=local{{/code}}. Dies kann von Installation zu Installation abweichen und wird durch die intern verwendete DNS Domain bestimmt, hier im Beispiel handelt es sich um den Standardwert.
93	93
94	94	(% style="color:#000000" %)[[image:1651243652049-471.png]]
...	...	@@ -101,7 +101,8 @@
101	101	{{/code}}
102	102
103	103
104		-====== (% style="color:#000000" %)__Kennwort__(%%) ======
	107	+(% class="wikigeneratedid" id="HKennwort" %)
	108	+(% style="color:#000000; font-size:16px" %)__Kennwort__
105	105
106	106	(% style="color:#000000" %)Das Kennwort ist im logosrv unter folgendem Pfad einsehbar:
107	107
...	...	@@ -110,19 +110,15 @@
110	110	{{/code}}
111	111
112	112
113		-(% style="color:#000000" %)Im Zuge der Anbindung externer Dienste sollte stets darauf geachtet werden, die verschlüsselte Form des LDAP-Protokolls (d.h. LDAPS auf TCP-Port 636) zu verwenden, damit sensible Information wie Benutzer-Zugangsdaten prinzipiell per SSL-Transportverschlüsselung versendet werden.
114		-Zur Nutzung der SSL-Transportverschlüsselung ist es wiederum wichtig, ein gültiges Let's Encrypt Zertifikat zu beantragen, damit die Verbindungssicherheit zwischen zwei Servern gewährleistet werden kann.
	117	+(% style="color:#000000" %)Im Zuge der Anbindung externer Dienste sollte stets darauf geachtet werden, die verschlüsselte Form des LDAP-Protokolls (d.h. LDAPS auf TCP-Port 636) zu verwenden, damit sensible Information wie Benutzer-Zugangsdaten prinzipiell per SSL-Transportverschlüsselung versendet werden. Zur Nutzung der SSL-Transportverschlüsselung ist es wiederum wichtig, ein gültiges Let's Encrypt Zertifikat zu beantragen, damit die Verbindungssicherheit zwischen zwei Servern gewährleistet werden kann.
115	115
116	116
117		-**... [REV-PROXY LDAPS-Freischaltung mit Let's Encrypt einfügen]...**
118		-
119		-
120	120	== __**Ports über Firewall an Rev-Proxy weiterleiten**__ ==
121	121
122		-Damit die LDAP Verbindung funktioniert, muss der Port 636 an den Rev-Proxy weitergeleitet werden. Diese Weiterleitung können Sie wie folgt einrichten:
	122	+Damit externe LDAPS-Verbindungen zum Server möglich werden, muss der TCP-Port 636 vom vorgeschalteten Router auf die externe IP-Adresse des LogoDIDACT Servers weitergeleitet werden. Vom ldhost wird die Verbindung dann entgegengenommen und abermals an den Rev-Proxy LXC-Container weitergeleitet. Die Einrichtung der zugehörige Poerweiterleitungs-Regel wird nachfolgend beschrieben.
123	123
124	124
125		-Wechseln Sie in das Verzeichnis der Shorewall:
	125	+Wechseln Sie vom ldhost aus in das Verzeichnis der Shorewall:
126	126
127	127	{{code language="bash"}}
128	128	root@ldhosts:~ # cd /etc/shorewall
...	...	@@ -136,22 +136,22 @@
136	136	{{/code}}
137	137
138	138
139		-Ergänzen Sie die Liste innerhalb der Datei um den obersten Eintrag (DNAT ext dmz:172.28.29.3 tcp 636):
	139	+Ergänzen Sie die Liste innerhalb der Datei um den obersten DNAT-Eintrag (lila eingefärbte Zeile). Dadurch werden externe Verbindungsanfragen auf Port 636 (LDAPS) vom ldhost zum rev-proxy LXC-Container weitergeleitet, so wie im Schaubild am Anfang des Artikels abgebildet. Falls diese Regel bereits vorhanden ist, können Sie den Schritt überspringen.
140	140
141		-{{code language="bash"}}
142		-#
143		-# Shorewall version 4.0
144		-#
145		-DNAT ext dmz:172.28.29.3 tcp 636
	141	+(% class="box" %)
	142	+(((
	143	+(% style="color:#16a085" %)###
	144	+# Shorewall version 4.0##(%%)
	145	+(% style="color:#16a085" %)#(%%)
	146	+(% style="color:#8e44ad" %)##**DNAT ext dmz:172.28.29.3 tcp 636**##(%%)##
146	146	DNAT ext dmz:172.28.29.3 tcp 80,443
147	147	DNAT ext dmz:172.28.29.2 tcp 1:21
148	148	DNAT ext dmz:172.28.29.2 tcp 23:2221
149	149	DNAT ext dmz:172.28.29.2 tcp 2223:65535
150		-DNAT ext dmz:172.28.29.2 udp 1:65535
	151	+DNAT ext dmz:172.28.29.2 udp 1:65535##
	152	+)))
151	151
152		-{{/code}}
153	153
154		-
155	155	Starten Sie nun die Firewall des ldhost neu:
156	156
157	157	{{code language="bash"}}
...	...	@@ -163,8 +163,6 @@
163	163
164	164	Damit die Verbindung gesichert werden kann, wird ein Let's Encrypt Zertifikat benötigt. Dieses können Sie nach folgender Anleitung erstellen:
165	165
166		-====== ======
167		-
168	168	====== __acmetool__ ======
169	169
170	170	Wechseln Sie in den puppeteer Container:
...	...	@@ -179,8 +179,6 @@
179	179	root@puppeteer:~ # acmetool want kopano.SCHULKUERZEL.logoip.de
180	180	{{/code}}
181	181
182		-===== =====
183		-
184	184	====== __acme.sh__ ======
185	185
186	186	Wechseln Sie in den puppeteer Container:
...	...	@@ -212,8 +212,6 @@
212	212	{{/code}}
213	213
214	214
215		-=== ===
216		-
217	217	== (% style="color:#000000" %)**__LDAP Attribute__**(%%) ==
218	218
219	219	(% style="color:#000000" %)Standardmäßig werden folgende Attribute an die externe LDAP Schnittstelle weitergegeben: