Änderungen von Dokument LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv

Zusammenfassung

• Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Inhalt

...	...	@@ -13,9 +13,9 @@
13	13	== (% style="color:#000000" %)__**Übersicht der Benutzer**__(%%) ==
14	14
15	15
16		-=== (% style="color:#000000" %)**LDAP-Admin Benutzer**(%%) ===
	16	+=== (% style="color:#000000" %)**LDAP-Admin Benutzer:**(%%) ===
17	17
18		-(% style="color:#000000; font-size:20px" %)__Nutzungsgebiet:__
	18	+(% style="font-size: 20px; color: rgb(0, 0, 0)" %)__Nutzungsgebiet:__
19	19
20	20	(% style="color:#000000" %)Der LDAP-Admin Benutzer ist mit äußerster Vorsicht einzusetzen, da dieser einen beinahe uneingeschränkten (Schreib-)Zugriff auf den Inhalt des OpenLDAP-Verzeichnisdienst sowie die Nutzerattribute besitzt. Daher sollte der Benutzer möglichst nur intern durch LogoDIDACT-integrierte Dienste zum Einsatz kommen.
21	21
...	...	@@ -22,8 +22,7 @@
22	22	(% style="color:#000000" %)Sollten die Daten des LDAP-Admins in unbefugte Hände gelangen, stellt dies ein massives datenschutz- und sicherheitstechnisches Problem dar. **__Von einem externen Gebrauch des Benutzerkontos ist daher strengstens abzuraten!__**
23	23
24	24
25		-(% class="wikigeneratedid" id="HZugangsdaten:" %)
26		-(% style="color:#000000; font-size:20px" %)__Zugangsdaten:__
	25	+==== (% style="font-size: 20px; color: rgb(0, 0, 0)" %)__Zugangsdaten:__(%%) ====
27	27
28	28	(% class="wikigeneratedid" id="HBenutzername" %)
29	29	(% style="color:#000000" %)Der Benutzername des LDAP Admins lautet:
...	...	@@ -34,7 +34,7 @@
34	34
35	35
36	36	(% class="wikigeneratedid" id="HAttributedesBenutzernamens" %)
37		-(% style="color:#000000; font-size:16px" %)__Vollständiger Benutzername__
	36	+(% style="font-size: 16px; color: rgb(0, 0, 0)" %)__Vollständiger Benutzername__
38	38
39	39	(% style="color:#000000" %)Die BaseDN als Einstiegspunkt zum LDAP-Verzeichnisdienst kann über ein zusätzliches Programm ausgelesen werden, z.B. über das freie Tool LDAP Admin. In diesem Beispiel lautet die BaseDN {{code language="bash"}}dc=schule,dc=local{{/code}}. Dies kann von Installation zu Installation abweichen und wird durch die intern verwendete DNS Domain bestimmt, hier im Beispiel handelt es sich um den Standardwert.
40	40
...	...	@@ -49,7 +49,7 @@
49	49
50	50
51	51	(% class="wikigeneratedid" id="HKennwort" %)
52		-(% style="color:#000000; font-size:16px" %)__Kennwort__
	51	+(% style="font-size: 16px; color: rgb(0, 0, 0)" %)__Kennwort__
53	53
54	54	(% style="color:#000000" %)Das Kennwort ist im logosrv unter folgendem Pfad einsehbar:
55	55
...	...	@@ -64,23 +64,20 @@
64	64	{{/code}}
65	65
66	66
67		-=== (% style="color:#000000" %)**LDAP-ReadOnly (ldap-ro) Benutzer**(%%) ===
	66	+== (% style="color:#000000" %)__**LDAP-ReadOnly (ldap-ro) Benutzer**__(%%) ==
68	68
69		-(% class="wikigeneratedid" id="HNutzungsgebiet:" %)
70		-(% style="color:#000000; font-size:20px" %)__Nutzungsgebiet:__
	68	+=== (% style="color:#000000" %)__Nutzungsgebiet:__(%%) ===
71	71
72	72	(% style="color:#000000" %)Der LDAP-ReadOnly Benutzer ist für die Verwendung von externen Diensten/Anbindungen gedacht.
73	73
74	74	(% style="color:#000000" %)Mögliche Nutzungsszenarien wären unter anderem die Anbindung  von extern gehosteten Webdiensten (z.B. Moodle, WebUntis oder Nextcloud) an die LogoDIDACT-integrierte Benutzerdatenbank über das LDAP-Protokoll.
75	75
	74	+==== (% style="color:#000000" %)__Benutzername & Passwort:__(%%) ====
76	76
	76	+====== (% style="color:#000000" %)__Benutzername__(%%) ======
77	77
78		-(% class="wikigeneratedid" id="HBenutzername26Passwort:" %)
79		-(% style="color:#000000; font-size:20px" %)__Zugangsdaten:__
	78	+(% style="color:#000000" %)Relevant für den Zugriff von Außen wäre folgender Benutzername:
80	80
81		-(% class="wikigeneratedid" id="HBenutzername" %)
82		-(% style="color:#000000" %)Der Benutzername des LDAP ReadOnly Benutzers lautet:
83		-
84	84	{{code language="bash"}}
85	85	cn=ldap-ro
86	86	{{/code}}
...	...	@@ -87,11 +87,8 @@
87	87
88	88	====== (% id="cke_bm_979S" style="color:#000000; display:none" %)__ __(%%) ======
89	89
	86	+====== (% style="color:#000000" %)__Attribute des Benutzernamens__(%%) ======
90	90
91		-
92		-(% class="wikigeneratedid" id="HAttributedesBenutzernamens" %)
93		-(% style="color:#000000; font-size:16px" %)__Vollständiger Benutzername__
94		-
95	95	(% style="color:#000000" %)Die BaseDN als Einstiegspunkt zum LDAP-Verzeichnisdienst kann über ein zusätzliches Programm ausgelesen werden, z.B. über das freie Tool LDAP Admin. In diesem Beispiel lautet die BaseDN {{code language="bash"}}dc=schule,dc=local{{/code}}. Dies kann von Installation zu Installation abweichen und wird durch die intern verwendete DNS Domain bestimmt, hier im Beispiel handelt es sich um den Standardwert.
96	96
97	97	(% style="color:#000000" %)[[image:1651243652049-471.png]]
...	...	@@ -104,8 +104,7 @@
104	104	{{/code}}
105	105
106	106
107		-(% class="wikigeneratedid" id="HKennwort" %)
108		-(% style="color:#000000; font-size:16px" %)__Kennwort__
	100	+====== (% style="color:#000000" %)__Kennwort__(%%) ======
109	109
110	110	(% style="color:#000000" %)Das Kennwort ist im logosrv unter folgendem Pfad einsehbar:
111	111
...	...	@@ -114,18 +114,16 @@
114	114	{{/code}}
115	115
116	116
117		-(% style="color:#000000" %)Im Zuge der Anbindung externer Dienste sollte stets darauf geachtet werden, die verschlüsselte Form des LDAP-Protokolls (d.h. LDAPS auf TCP-Port 636) zu verwenden, damit sensible Information wie Benutzer-Zugangsdaten prinzipiell per SSL-Transportverschlüsselung versendet werden. Zur Nutzung der SSL-Transportverschlüsselung ist es wiederum wichtig, ein gültiges Let's Encrypt Zertifikat zu beantragen, damit die Verbindungssicherheit zwischen zwei Servern gewährleistet werden kann.
	109	+(% style="color:#000000" %)Im Zuge der Anbindung externer Dienste sollte stets darauf geachtet werden, die verschlüsselte Form des LDAP-Protokolls (d.h. LDAPS auf TCP-Port 636) zu verwenden, damit sensible Information wie Benutzer-Zugangsdaten prinzipiell per SSL-Transportverschlüsselung versendet werden.
	110	+Zur Nutzung der SSL-Transportverschlüsselung ist es wiederum wichtig, ein gültiges Let's Encrypt Zertifikat zu beantragen, damit die Verbindungssicherheit zwischen zwei Servern gewährleistet werden kann.
118	118
119	119
120		-
121		-
122		-
123	123	== __**Ports über Firewall an Rev-Proxy weiterleiten**__ ==
124	124
125		-Damit externe LDAPS-Verbindungen zum Server möglich werden, muss der TCP-Port 636 vom vorgeschalteten Router auf die externe IP-Adresse des LogoDIDACT Servers weitergeleitet werden. Vom ldhost wird die Verbindung dann entgegengenommen und abermals an den Rev-Proxy LXC-Container weitergeleitet. Die Einrichtung der zugehörige Poerweiterleitungs-Regel wird nachfolgend beschrieben.
	115	+Damit die LDAP Verbindung funktioniert, muss der Port 636 an den Rev-Proxy weitergeleitet werden. Diese Weiterleitung können Sie wie folgt einrichten:
126	126
127	127
128		-Wechseln Sie vom ldhost aus in das Verzeichnis der Shorewall:
	118	+Wechseln Sie in das Verzeichnis der Shorewall:
129	129
130	130	{{code language="bash"}}
131	131	root@ldhosts:~ # cd /etc/shorewall
...	...	@@ -139,14 +139,14 @@
139	139	{{/code}}
140	140
141	141
142		-Ergänzen Sie die Liste innerhalb der Datei um den obersten DNAT-Eintrag (lila eingefärbte Zeile). Dadurch werden externe Verbindungsanfragen auf Port 636 (LDAPS) vom ldhost zum rev-proxy LXC-Container weitergeleitet, so wie im Schaubild am Anfang des Artikels abgebildet. Falls diese Regel bereits vorhanden ist, können Sie den Schritt überspringen.
	132	+Ergänzen Sie die Liste innerhalb der Datei um den obersten Eintrag (lila eingefärbte Zeile). Dadurch werden externe Verbindungsanfragen auf Port 636 (LDAPS) vom ldhost zum rev-proxy LXC-Container weitergeleitet, so wie im Schaubild am Anfang des Artikels abgebildet.
143	143
144	144	(% class="box" %)
145	145	(((
146	146	(% style="color:#16a085" %)###
147	147	# Shorewall version 4.0##(%%)
148		-(% style="color:#16a085" %)#(%%)
149		-(% style="color:#8e44ad" %)##**DNAT ext dmz:172.28.29.3 tcp 636**##(%%)##
	138	+(% style="color:#16a085" %)#(%%)##
	139	+(% style="color:#8e44ad" %)**DNAT ext dmz:172.28.29.3 tcp 636**(%%)
150	150	DNAT ext dmz:172.28.29.3 tcp 80,443
151	151	DNAT ext dmz:172.28.29.2 tcp 1:21
152	152	DNAT ext dmz:172.28.29.2 tcp 23:2221
...	...	@@ -164,9 +164,9 @@
164	164
165	165	== __**Zertifikat für Rev-Proxy erstellen und prüfen**__ ==
166	166
167		-Damit die Verbindung gesichert werden kann, wird ein Let's Encrypt Zertifikat benötigt. Dieses können Sie - abhängig vom zu Grunde liegenden Tool - mit den folgenden Kommandos im Puppeteer-Container erstellen.
	157	+Damit die Verbindung gesichert werden kann, wird ein Let's Encrypt Zertifikat benötigt. Dieses können Sie nach folgender Anleitung erstellen:
168	168
169		-=== __acmetool__ ===
	159	+====== __acmetool__ ======
170	170
171	171	Wechseln Sie in den puppeteer Container:
172	172
...	...	@@ -180,7 +180,7 @@
180	180	root@puppeteer:~ # acmetool want kopano.SCHULKUERZEL.logoip.de
181	181	{{/code}}
182	182
183		-=== __acme.sh__ ===
	173	+====== __acme.sh__ ======
184	184
185	185	Wechseln Sie in den puppeteer Container:
186	186
...	...	@@ -203,16 +203,15 @@
203	203	{{/code}}
204	204
205	205
206		-Um das Verteilen der Zertifikate zu beschleunigen, können Sie einen gezielten 'prun' im puppeteer Container gefolgt von einen weiteren 'prun' im rev-proxy Container durchführen:
	196	+Um das verteilen der Zertifikate zu beschleunigen können Sie ggf. einen prun im puppeteer und rev-proxy Container durchführen:
207	207
208	208	{{code language="bash"}}
209	209	root@puppeteer:~ # prun
210		-
211	211	root@rev-proxy:~ # prun
212	212	{{/code}}
213	213
214	214
215		-== (% style="color:#000000" %)**__Weitere LDAP Attribute für ReadOnly-Benutzer freischalten__**(%%) ==
	204	+== (% style="color:#000000" %)**__LDAP Attribute__**(%%) ==
216	216
217	217	(% style="color:#000000" %)Standardmäßig werden folgende Attribute an die externe LDAP Schnittstelle weitergegeben:
218	218