Änderungen von Dokument LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv

Zuletzt geändert von Jonas Mayer am 2022/05/25 00:02

Von 54.1 nach 55.1 Von 65.1 nach 66.1

Von Version 55.1

bearbeitet von Jonas Mayer
am 2022/05/05 07:43

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Auf Version 65.1

bearbeitet von Jens Gruber
am 2022/05/17 13:58

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Rohform
Im Layout

Zusammenfassung

Seiteneigenschaften (3 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Titel

@@ -1,1 +1,1 @@
--Geändert: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv
++LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv

Dokument-Autor

@@ -1,1 +1,1 @@
--XWiki.jonasmayer@sbede
++XWiki.JensGruber@sbede

Inhalt

@@ -112,6 +112,52 @@
  (% style="color:#000000" %)Im Zuge der Anbindung externer Dienste sollte stets darauf geachtet werden, die verschlüsselte Form des LDAP-Protokolls (d.h. LDAPS auf TCP-Port 636) zu verwenden, damit sensible Information wie Benutzer-Zugangsdaten prinzipiell per SSL-Transportverschlüsselung versendet werden. Zur Nutzung der SSL-Transportverschlüsselung ist es wiederum wichtig, ein gültiges Let's Encrypt Zertifikat zu beantragen, damit die Verbindungssicherheit zwischen zwei Servern gewährleistet werden kann.
++== (% style="color:#000000" %)__**Konfiguration für LDAP im Rev-Proxy**__(%%) ==
++
++Nun müssen Sie im Puppeteer Container eine rev-proxy.yaml anlegen. Sollte diese bereits vorhanden sein, muss diese bearbeitet werden.
++
++
++Wechseln Sie in das Verzeichnis /etc/logodidact/hiera/custom.d/ im Puppeteer Container:
++
++{{code language="bash"}}
++root@puppeteer:~ # cd /etc/logodidact/hiera/custom.d/
++{{/code}}
++
++
++Erstellen Sie die Datei rev-proxy.yaml bzw. fügen Sie den Inhalt aus dem nachfolgenden Schritt darin hinzu, falls die Datei bereits vorhanden ist:
++
++{{code language="bash"}}
++root@puppeteer:/etc/logodidact/hiera/custom.d # vim rev-proxy.yaml
++{{/code}}
++
++
++Fügen Sie folgenden Konfigurationsabschnitt zur yaml-Datei hinzu und ersetzen Sie **musterstadt-gym** in der zweiten Zeile durch den passenden Shortname der Schule:
++
++{{code language="bash"}}
++ld_rproxy::hosts:
++  ldap.musterstadt-gym.logoip.de:
++    type: stream
++    template: ldap
++    ensure: present
++{{/code}}
++
++
++Übernehmen Sie die Änderungen ins git:
++
++{{code language="bash"}}
++root@puppeteer:~ # cd /etc/logodidact/
++root@puppeteer:/etc/logodidact # git add .
++root@puppeteer:/etc/logodidact # git coomit -am "rev-proxy.yaml angelegt."
++{{/code}}
++
++
++Führen Sie einen prun im rev-proxy Container aus, um die Freischaltung des LDAPS-Tunnels zu aktivieren:
++
++{{code language="bash"}}
++root@rev-proxy:~ # prun
++{{/code}}
++
++
  == __**Ports über Firewall an Rev-Proxy weiterleiten**__ ==
  Damit externe LDAPS-Verbindungen zum Server möglich werden, muss der TCP-Port 636 vom vorgeschalteten Router auf die externe IP-Adresse des LogoDIDACT Servers weitergeleitet werden. Vom ldhost wird die Verbindung dann entgegengenommen und abermals an den Rev-Proxy LXC-Container weitergeleitet. Die Einrichtung der zugehörige Poerweiterleitungs-Regel wird nachfolgend beschrieben.
@@ -169,7 +169,7 @@
  Fordern Sie das Zertifikat mit folgendem Befehl an (Ersetzen Sie "SCHULKUERZEL" mit dem jeweiligen Shortname):
  {{code language="bash"}}
--root@puppeteer:~ # acmetool want kopano.SCHULKUERZEL.logoip.de
++root@puppeteer:~ # acmetool want ldap.SCHULKUERZEL.logoip.de
  {{/code}}
  === __acme.sh__ ===
@@ -191,7 +191,7 @@
  Beantragen Sie ein neues Zertifikat mit folgendem Befehl (Ersetzen Sie "SCHULKUERZEL" mit dem jeweiligen Shortname):
  {{code language="bash"}}
--le-acme@puppeteer:~ $ issue kopano.SCHULKUERZEL.logoip.de
++le-acme@puppeteer:~ $ issue ldap.SCHULKUERZEL.logoip.de
  {{/code}}
@@ -204,6 +204,7 @@
  {{/code}}
++
  == (% style="color:#000000" %)**__Weitere LDAP Attribute für ReadOnly-Benutzer freischalten__**(%%) ==
  (% style="color:#000000" %)Standardmäßig werden folgende Attribute an die externe LDAP Schnittstelle weitergegeben: