Änderungen von Dokument LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv

Zusammenfassung

• Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Inhalt

...	...	@@ -64,20 +64,23 @@
64	64	{{/code}}
65	65
66	66
67		-== (% style="color:#000000" %)__**LDAP-ReadOnly (ldap-ro) Benutzer**__(%%) ==
	67	+=== (% style="color:#000000" %)**LDAP-ReadOnly (ldap-ro) Benutzer**(%%) ===
68	68
69		-=== (% style="color:#000000" %)__Nutzungsgebiet:__(%%) ===
	69	+(% class="wikigeneratedid" id="HNutzungsgebiet:" %)
	70	+(% style="color:#000000; font-size:20px" %)__Nutzungsgebiet:__
70	70
71	71	(% style="color:#000000" %)Der LDAP-ReadOnly Benutzer ist für die Verwendung von externen Diensten/Anbindungen gedacht.
72	72
73	73	(% style="color:#000000" %)Mögliche Nutzungsszenarien wären unter anderem die Anbindung  von extern gehosteten Webdiensten (z.B. Moodle, WebUntis oder Nextcloud) an die LogoDIDACT-integrierte Benutzerdatenbank über das LDAP-Protokoll.
74	74
75		-==== (% style="color:#000000" %)__Benutzername & Passwort:__(%%) ====
76	76
77		-====== (% style="color:#000000" %)__Benutzername__(%%) ======
78	78
79		-(% style="color:#000000" %)Relevant für den Zugriff von Außen wäre folgender Benutzername:
	78	+(% class="wikigeneratedid" id="HBenutzername26Passwort:" %)
	79	+(% style="color:#000000; font-size:20px" %)__Zugangsdaten:__
80	80
	81	+(% class="wikigeneratedid" id="HBenutzername" %)
	82	+(% style="color:#000000" %)Der Benutzername des LDAP ReadOnly Benutzers lautet:
	83	+
81	81	{{code language="bash"}}
82	82	cn=ldap-ro
83	83	{{/code}}
...	...	@@ -84,8 +84,11 @@
84	84
85	85	====== (% id="cke_bm_979S" style="color:#000000; display:none" %)__ __(%%) ======
86	86
87		-====== (% style="color:#000000" %)__Attribute des Benutzernamens__(%%) ======
88	88
	91	+
	92	+(% class="wikigeneratedid" id="HAttributedesBenutzernamens" %)
	93	+(% style="color:#000000; font-size:16px" %)__Vollständiger Benutzername__
	94	+
89	89	(% style="color:#000000" %)Die BaseDN als Einstiegspunkt zum LDAP-Verzeichnisdienst kann über ein zusätzliches Programm ausgelesen werden, z.B. über das freie Tool LDAP Admin. In diesem Beispiel lautet die BaseDN {{code language="bash"}}dc=schule,dc=local{{/code}}. Dies kann von Installation zu Installation abweichen und wird durch die intern verwendete DNS Domain bestimmt, hier im Beispiel handelt es sich um den Standardwert.
90	90
91	91	(% style="color:#000000" %)[[image:1651243652049-471.png]]
...	...	@@ -98,7 +98,8 @@
98	98	{{/code}}
99	99
100	100
101		-====== (% style="color:#000000" %)__Kennwort__(%%) ======
	107	+(% class="wikigeneratedid" id="HKennwort" %)
	108	+(% style="color:#000000; font-size:16px" %)__Kennwort__
102	102
103	103	(% style="color:#000000" %)Das Kennwort ist im logosrv unter folgendem Pfad einsehbar:
104	104
...	...	@@ -107,16 +107,15 @@
107	107	{{/code}}
108	108
109	109
110		-(% style="color:#000000" %)Im Zuge der Anbindung externer Dienste sollte stets darauf geachtet werden, die verschlüsselte Form des LDAP-Protokolls (d.h. LDAPS auf TCP-Port 636) zu verwenden, damit sensible Information wie Benutzer-Zugangsdaten prinzipiell per SSL-Transportverschlüsselung versendet werden.
111		-Zur Nutzung der SSL-Transportverschlüsselung ist es wiederum wichtig, ein gültiges Let's Encrypt Zertifikat zu beantragen, damit die Verbindungssicherheit zwischen zwei Servern gewährleistet werden kann.
	117	+(% style="color:#000000" %)Im Zuge der Anbindung externer Dienste sollte stets darauf geachtet werden, die verschlüsselte Form des LDAP-Protokolls (d.h. LDAPS auf TCP-Port 636) zu verwenden, damit sensible Information wie Benutzer-Zugangsdaten prinzipiell per SSL-Transportverschlüsselung versendet werden. Zur Nutzung der SSL-Transportverschlüsselung ist es wiederum wichtig, ein gültiges Let's Encrypt Zertifikat zu beantragen, damit die Verbindungssicherheit zwischen zwei Servern gewährleistet werden kann.
112	112
113	113
114	114	== __**Ports über Firewall an Rev-Proxy weiterleiten**__ ==
115	115
116		-Damit die LDAP Verbindung funktioniert, muss der Port 636 an den Rev-Proxy weitergeleitet werden. Diese Weiterleitung können Sie wie folgt einrichten:
	122	+Damit externe LDAPS-Verbindungen zum Server möglich werden, muss der TCP-Port 636 vom vorgeschalteten Router auf die externe IP-Adresse des LogoDIDACT Servers weitergeleitet werden. Vom ldhost wird die Verbindung dann entgegengenommen und abermals an den Rev-Proxy LXC-Container weitergeleitet. Die Einrichtung der zugehörige Poerweiterleitungs-Regel wird nachfolgend beschrieben.
117	117
118	118
119		-Wechseln Sie in das Verzeichnis der Shorewall:
	125	+Wechseln Sie vom ldhost aus in das Verzeichnis der Shorewall:
120	120
121	121	{{code language="bash"}}
122	122	root@ldhosts:~ # cd /etc/shorewall
...	...	@@ -130,14 +130,14 @@
130	130	{{/code}}
131	131
132	132
133		-Ergänzen Sie die Liste innerhalb der Datei um den obersten Eintrag (lila eingefärbte Zeile). Dadurch werden externe Verbindungsanfragen auf Port 636 (LDAPS) vom ldhost zum rev-proxy LXC-Container weitergeleitet, so wie im Schaubild am Anfang des Artikels abgebildet.
	139	+Ergänzen Sie die Liste innerhalb der Datei um den obersten DNAT-Eintrag (lila eingefärbte Zeile). Dadurch werden externe Verbindungsanfragen auf Port 636 (LDAPS) vom ldhost zum rev-proxy LXC-Container weitergeleitet, so wie im Schaubild am Anfang des Artikels abgebildet. Falls diese Regel bereits vorhanden ist, können Sie den Schritt überspringen.
134	134
135	135	(% class="box" %)
136	136	(((
137	137	(% style="color:#16a085" %)###
138	138	# Shorewall version 4.0##(%%)
139		-(% style="color:#16a085" %)#(%%)##
140		-(% style="color:#8e44ad" %)**DNAT ext dmz:172.28.29.3 tcp 636**(%%)
	145	+(% style="color:#16a085" %)#(%%)
	146	+(% style="color:#8e44ad" %)##**DNAT ext dmz:172.28.29.3 tcp 636**##(%%)##
141	141	DNAT ext dmz:172.28.29.3 tcp 80,443
142	142	DNAT ext dmz:172.28.29.2 tcp 1:21
143	143	DNAT ext dmz:172.28.29.2 tcp 23:2221