Änderungen von Dokument LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv

Zusammenfassung

• Seiteneigenschaften (2 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Titel

...	...	@@ -1,1 +1,1 @@
1		-Geändert: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv
	1	+Geändert: LDAP Admin-Benutzer und ReadOnly-Benutzer

Inhalt

...	...	@@ -2,15 +2,11 @@
2	2
3	3	(% style="color:#000000" %)In diesem Artikel erfahren Sie, wo Sie die Benutzernamen & Kennwörter der zwei Benutzer finden und welches Konto sich für welches Vorhaben am besten eignen.
4	4
5		-----
6		-
7		-{{toc start="2"/}}
8		-
9		-
10	10	(% style="color:#000000" %)[[image:Grafik für LDAp.png||height="331" width="622"]]
11	11
	7	+=== ===
12	12
13		-== (% style="color:#000000" %)__**LDAP-Admin Benutzer**__(%%) ==
	9	+=== (% style="color:#000000" %)__**LDAP-Admin Benutzer**__(%%) ===
14	14
15	15
16	16	=== (% style="color:#000000" %)__Nutzungsgebiet:__(%%) ===
...	...	@@ -22,6 +22,7 @@
22	22
23	23	==== (% style="color:#000000" %)__Benutzername & Kennwort__(%%) ====
24	24
	21	+====== ======
25	25
26	26	====== (% style="color:#000000" %)__Benutzername__(%%) ======
27	27
...	...	@@ -31,6 +31,7 @@
31	31	cn=ldap-admin
32	32	{{/code}}
33	33
	31	+====== ======
34	34
35	35	====== (% style="color:#000000" %)__Attribute des Benutzernamens__(%%) ======
36	36
...	...	@@ -61,7 +61,7 @@
61	61	{{/code}}
62	62
63	63
64		-== (% style="color:#000000" %)**__LDAP-ReadOnly (ldap-ro) Benutzer__**(%%) ==
	62	+=== (% style="color:#000000" %)**__LDAP-ReadOnly (ldap-ro) Benutzer__**(%%) ===
65	65
66	66
67	67	==== (% style="color:#000000" %)__Nutzungsgebiet:__(%%) ====
...	...	@@ -107,103 +107,16 @@
107	107	{{/code}}
108	108
109	109
110		-(% style="color:#000000" %)Im Zuge der Anbindung externer Dienste sollte stets darauf geachtet werden, die verschlüsselte Form des LDAP-Protokolls (d.h. LDAPS auf TCP-Port 636) zu verwenden, damit sensible Information wie Benutzer-Zugangsdaten prinzipiell per SSL-Transportverschlüsselung versendet werden.
	108	+(% style="color:#000000" %)Im Zuge der Anbindung externer Dienste sollte stets darauf geachtet werden, die verschlüsselte Form des LDAP-Protokolls (d.h. LDAPS auf TCP-Port 636) zu verwenden, damit sensible Information wie Benutzer-Zugangsdaten stets per SSL-Transportverschlüsselung versendet werden.
111	111	Zur Nutzung der SSL-Transportverschlüsselung ist es wiederum wichtig, ein gültiges Let's Encrypt Zertifikat zu beantragen, damit die Verbindungssicherheit zwischen zwei Servern gewährleistet werden kann.
112	112
113	113
114		-== __**Ports über Firewall an Rev-Proxy weiterleiten**__ ==
	112	+**... [REV-PROXY LDAPS-Freischaltung mit Let's Encrypt einfügen]...**
115	115
116		-Damit die LDAP Verbindung funktioniert, muss der Port 636 an den Rev-Proxy weitergeleitet werden. Diese Weiterleitung können Sie wie folgt einrichten:
117	117
	115	+=== (% style="color:#000000" %)**__LDAP Attribute__**(%%) ===
118	118
119		-Wechseln Sie in das Verzeichnis der Shorewall:
120	120
121		-{{code language="bash"}}
122		-root@ldhosts:~ # cd /etc/shorewall
123		-{{/code}}
124		-
125		-
126		-Öffnen Sie die Datei rules mit einem Editor ihrer Wahl:
127		-
128		-{{code language="bash"}}
129		-root@ldhost:/etc/shorewall # vim rules
130		-{{/code}}
131		-
132		-
133		-Ergänzen Sie die Liste innerhalb der Datei um den obersten Eintrag (lila eingefärbte Zeile). Dadurch werden externe Verbindungsanfragen auf Port 636 (LDAPS) vom ldhost zum rev-proxy LXC-Container weitergeleitet, so wie im Schaubild am Anfang des Artikels abgebildet.
134		-
135		-(% class="box" %)
136		-(((
137		-(% style="color:#16a085" %)###
138		-# Shorewall version 4.0##(%%)
139		-(% style="color:#16a085" %)#(%%)##
140		-(% style="color:#8e44ad" %)**DNAT ext dmz:172.28.29.3 tcp 636**(%%)
141		-DNAT ext dmz:172.28.29.3 tcp 80,443
142		-DNAT ext dmz:172.28.29.2 tcp 1:21
143		-DNAT ext dmz:172.28.29.2 tcp 23:2221
144		-DNAT ext dmz:172.28.29.2 tcp 2223:65535
145		-DNAT ext dmz:172.28.29.2 udp 1:65535##
146		-)))
147		-
148		-
149		-Starten Sie nun die Firewall des ldhost neu:
150		-
151		-{{code language="bash"}}
152		-root@ldhosts:~ # /etc/init.d/shorewall restart
153		-{{/code}}
154		-
155		-
156		-== __**Zertifikat für Rev-Proxy erstellen und prüfen**__ ==
157		-
158		-Damit die Verbindung gesichert werden kann, wird ein Let's Encrypt Zertifikat benötigt. Dieses können Sie nach folgender Anleitung erstellen:
159		-
160		-====== __acmetool__ ======
161		-
162		-Wechseln Sie in den puppeteer Container:
163		-
164		-{{code language="bash"}}
165		-root@ldhost:~ # lxc-ssh -n puppeteer
166		-{{/code}}
167		-
168		-Fordern Sie das Zertifikat mit folgendem Befehl an (Ersetzen Sie "SCHULKUERZEL" mit dem jeweiligen Shortname):
169		-
170		-{{code language="bash"}}
171		-root@puppeteer:~ # acmetool want kopano.SCHULKUERZEL.logoip.de
172		-{{/code}}
173		-
174		-====== __acme.sh__ ======
175		-
176		-Wechseln Sie in den puppeteer Container:
177		-
178		-{{code language="bash"}}
179		-root@ldhost:~ # lxc-ssh -n puppeteer
180		-{{/code}}
181		-
182		-
183		-Wechseln Sie im puppeteer Container in die Umgebung für das Verwalten der Zertifikate:
184		-
185		-{{code language="bash"}}
186		-root@puppeteer:~ # sle
187		-{{/code}}
188		-
189		-
190		-Beantragen Sie ein neues Zertifikat mit folgendem Befehl (Ersetzen Sie "SCHULKUERZEL" mit dem jeweiligen Shortname):
191		-
192		-{{code language="bash"}}
193		-le-acme@puppeteer:~ $ issue kopano.SCHULKUERZEL.logoip.de
194		-{{/code}}
195		-
196		-
197		-Um das verteilen der Zertifikate zu beschleunigen können Sie ggf. einen prun im puppeteer und rev-proxy Container durchführen:
198		-
199		-{{code language="bash"}}
200		-root@puppeteer:~ # prun
201		-root@rev-proxy:~ # prun
202		-{{/code}}
203		-
204		-
205		-== (% style="color:#000000" %)**__LDAP Attribute__**(%%) ==
206		-
207	207	(% style="color:#000000" %)Standardmäßig werden folgende Attribute an die externe LDAP Schnittstelle weitergegeben:
208	208
209	209	{{code language="bash"}}