Änderungen von Dokument LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv

Zusammenfassung

• Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Inhalt

...	...	@@ -64,23 +64,20 @@
64	64	{{/code}}
65	65
66	66
67		-=== (% style="color:#000000" %)**LDAP-ReadOnly (ldap-ro) Benutzer**(%%) ===
	67	+== (% style="color:#000000" %)__**LDAP-ReadOnly (ldap-ro) Benutzer**__(%%) ==
68	68
69		-(% class="wikigeneratedid" id="HNutzungsgebiet:" %)
70		-(% style="color:#000000; font-size:20px" %)__Nutzungsgebiet:__
	69	+=== (% style="color:#000000" %)__Nutzungsgebiet:__(%%) ===
71	71
72	72	(% style="color:#000000" %)Der LDAP-ReadOnly Benutzer ist für die Verwendung von externen Diensten/Anbindungen gedacht.
73	73
74	74	(% style="color:#000000" %)Mögliche Nutzungsszenarien wären unter anderem die Anbindung  von extern gehosteten Webdiensten (z.B. Moodle, WebUntis oder Nextcloud) an die LogoDIDACT-integrierte Benutzerdatenbank über das LDAP-Protokoll.
75	75
	75	+==== (% style="color:#000000" %)__Benutzername & Passwort:__(%%) ====
76	76
	77	+====== (% style="color:#000000" %)__Benutzername__(%%) ======
77	77
78		-(% class="wikigeneratedid" id="HBenutzername26Passwort:" %)
79		-(% style="color:#000000; font-size:20px" %)__Zugangsdaten:__
	79	+(% style="color:#000000" %)Relevant für den Zugriff von Außen wäre folgender Benutzername:
80	80
81		-(% class="wikigeneratedid" id="HBenutzername" %)
82		-(% style="color:#000000" %)Der Benutzername des LDAP ReadOnly Benutzers lautet:
83		-
84	84	{{code language="bash"}}
85	85	cn=ldap-ro
86	86	{{/code}}
...	...	@@ -87,11 +87,8 @@
87	87
88	88	====== (% id="cke_bm_979S" style="color:#000000; display:none" %)__ __(%%) ======
89	89
	87	+====== (% style="color:#000000" %)__Attribute des Benutzernamens__(%%) ======
90	90
91		-
92		-(% class="wikigeneratedid" id="HAttributedesBenutzernamens" %)
93		-(% style="color:#000000; font-size:16px" %)__Vollständiger Benutzername__
94		-
95	95	(% style="color:#000000" %)Die BaseDN als Einstiegspunkt zum LDAP-Verzeichnisdienst kann über ein zusätzliches Programm ausgelesen werden, z.B. über das freie Tool LDAP Admin. In diesem Beispiel lautet die BaseDN {{code language="bash"}}dc=schule,dc=local{{/code}}. Dies kann von Installation zu Installation abweichen und wird durch die intern verwendete DNS Domain bestimmt, hier im Beispiel handelt es sich um den Standardwert.
96	96
97	97	(% style="color:#000000" %)[[image:1651243652049-471.png]]
...	...	@@ -104,8 +104,7 @@
104	104	{{/code}}
105	105
106	106
107		-(% class="wikigeneratedid" id="HKennwort" %)
108		-(% style="color:#000000; font-size:16px" %)__Kennwort__
	101	+====== (% style="color:#000000" %)__Kennwort__(%%) ======
109	109
110	110	(% style="color:#000000" %)Das Kennwort ist im logosrv unter folgendem Pfad einsehbar:
111	111
...	...	@@ -114,15 +114,16 @@
114	114	{{/code}}
115	115
116	116
117		-(% style="color:#000000" %)Im Zuge der Anbindung externer Dienste sollte stets darauf geachtet werden, die verschlüsselte Form des LDAP-Protokolls (d.h. LDAPS auf TCP-Port 636) zu verwenden, damit sensible Information wie Benutzer-Zugangsdaten prinzipiell per SSL-Transportverschlüsselung versendet werden. Zur Nutzung der SSL-Transportverschlüsselung ist es wiederum wichtig, ein gültiges Let's Encrypt Zertifikat zu beantragen, damit die Verbindungssicherheit zwischen zwei Servern gewährleistet werden kann.
	110	+(% style="color:#000000" %)Im Zuge der Anbindung externer Dienste sollte stets darauf geachtet werden, die verschlüsselte Form des LDAP-Protokolls (d.h. LDAPS auf TCP-Port 636) zu verwenden, damit sensible Information wie Benutzer-Zugangsdaten prinzipiell per SSL-Transportverschlüsselung versendet werden.
	111	+Zur Nutzung der SSL-Transportverschlüsselung ist es wiederum wichtig, ein gültiges Let's Encrypt Zertifikat zu beantragen, damit die Verbindungssicherheit zwischen zwei Servern gewährleistet werden kann.
118	118
119	119
120	120	== __**Ports über Firewall an Rev-Proxy weiterleiten**__ ==
121	121
122		-Damit externe LDAPS-Verbindungen zum Server möglich werden, muss der TCP-Port 636 vom vorgeschalteten Router auf die externe IP-Adresse des LogoDIDACT Servers weitergeleitet werden. Vom ldhost wird die Verbindung dann entgegengenommen und abermals an den Rev-Proxy LXC-Container weitergeleitet. Die Einrichtung der zugehörige Poerweiterleitungs-Regel wird nachfolgend beschrieben.
	116	+Damit die LDAP Verbindung funktioniert, muss der Port 636 an den Rev-Proxy weitergeleitet werden. Diese Weiterleitung können Sie wie folgt einrichten:
123	123
124	124
125		-Wechseln Sie vom ldhost aus in das Verzeichnis der Shorewall:
	119	+Wechseln Sie in das Verzeichnis der Shorewall:
126	126
127	127	{{code language="bash"}}
128	128	root@ldhosts:~ # cd /etc/shorewall
...	...	@@ -136,14 +136,14 @@
136	136	{{/code}}
137	137
138	138
139		-Ergänzen Sie die Liste innerhalb der Datei um den obersten DNAT-Eintrag (lila eingefärbte Zeile). Dadurch werden externe Verbindungsanfragen auf Port 636 (LDAPS) vom ldhost zum rev-proxy LXC-Container weitergeleitet, so wie im Schaubild am Anfang des Artikels abgebildet. Falls diese Regel bereits vorhanden ist, können Sie den Schritt überspringen.
	133	+Ergänzen Sie die Liste innerhalb der Datei um den obersten Eintrag (lila eingefärbte Zeile). Dadurch werden externe Verbindungsanfragen auf Port 636 (LDAPS) vom ldhost zum rev-proxy LXC-Container weitergeleitet, so wie im Schaubild am Anfang des Artikels abgebildet.
140	140
141	141	(% class="box" %)
142	142	(((
143	143	(% style="color:#16a085" %)###
144	144	# Shorewall version 4.0##(%%)
145		-(% style="color:#16a085" %)#(%%)
146		-(% style="color:#8e44ad" %)##**DNAT ext dmz:172.28.29.3 tcp 636**##(%%)##
	139	+(% style="color:#16a085" %)#(%%)##
	140	+(% style="color:#8e44ad" %)**DNAT ext dmz:172.28.29.3 tcp 636**(%%)
147	147	DNAT ext dmz:172.28.29.3 tcp 80,443
148	148	DNAT ext dmz:172.28.29.2 tcp 1:21
149	149	DNAT ext dmz:172.28.29.2 tcp 23:2221