Zum Inhalt springen
Zuletzt geändert von Jonas Mayer am 2022/05/25 00:02
Von Version 57.1
bearbeitet von Jens Gruber
am 2022/05/05 11:44
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 23.1
bearbeitet von Jens Gruber
am 2022/04/29 16:34
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Titel
... ... @@ -1,1 +1,1 @@
1 -Geändert: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv
1 +LDAP Admin-Benutzer und ReadOnly-Benutzer
Inhalt
... ... @@ -1,56 +1,45 @@
1 -(% style="color:#000000" %)Um externe oder interne Dienste über das LDAPS-Protokoll einzubinden, gibt es seit Puppet-Version 1.3.22 neben dem sogenannten LDAP-Admin Konto einen neu hinzugefügten ReadOnly-Benutzer zur Anmeldung am integrierten OpenLDAP-Verzeichnisdienst.
1 +(% style="color:#000000" %)Um externe oder interne Dienste über LDAPS einzubinden, gibt es nach wie vor den sogenannten LDAP-Admin und den seit der Umstellung auf LDAPS neu hinzugefügten ReadOnly-Benutzer.
2 2  
3 -(% style="color:#000000" %)In diesem Artikel erfahren Sie, wo Sie die Benutzernamen & Kennwörter der zwei Benutzer finden und welches Konto sich für welches Vorhaben am besten eignen.
3 +(% style="color:#000000" %)In diesem Artikel erfahren Sie, wo Sie die Benutzernamen & Kennwörter der zwei Benutzer finden und welche Nutzer sich für welches Vorhaben am besten eignen.
4 4  
5 -----
5 +[[image:Grafik für LDAp.png||height="331" width="622"]]
6 6  
7 -{{toc start="2"/}}
7 +=== ===
8 8  
9 +=== (% style="color:#000000" %)__**LDAP-Admin Benutzer**__(%%) ===
9 9  
10 -(% style="color:#000000" %)[[image:Grafik für LDAp.png||height="331" width="622"]]
11 11  
12 +=== (% style="color:#000000" %)__Nutzungsgebiet:__(%%) ===
12 12  
13 -== (% style="color:#000000" %)__**Übersicht der Benutzer**__(%%) ==
14 +(% style="color:#000000" %)Der LDAP-Admin Benutzer ist mit äußerster Vorsicht einzusetzen, da dieser einen beinahe uneingeschränkten Zugriff auf das Abrufen und Bearbeiten der Nutzerattribute des Servers besitzt. Daher sollte der Benutzer nur möglichst Intern eingesetzt werden.
14 14  
16 +(% style="color:#000000" %)Sollten die Daten des Admins in unbefugte Hände gelangen, stellt dies ein massives Datenschutz- und Sicherheitstechnisches Problem dar. **__Von einem externen Gebrauch ist daher strengstens abgeraten!__**
15 15  
16 -=== (% style="color:#000000" %)**LDAP-Admin Benutzer**(%%) ===
17 17  
18 -(% style="color:#000000; font-size:20px" %)__Nutzungsgebiet:__
19 +==== (% style="color:#000000" %)__Benutzername & Kennwort__(%%) ====
19 19  
20 -(% style="color:#000000" %)Der LDAP-Admin Benutzer ist mit äußerster Vorsicht einzusetzen, da dieser einen beinahe uneingeschränkten (Schreib-)Zugriff auf den Inhalt des OpenLDAP-Verzeichnisdienst sowie die Nutzerattribute besitzt. Daher sollte der Benutzer möglichst nur intern durch LogoDIDACT-integrierte Dienste zum Einsatz kommen.
21 +====== ======
21 21  
22 -(% style="color:#000000" %)Sollten die Daten des LDAP-Admins in unbefugte Hände gelangen, stellt dies ein massives datenschutz- und sicherheitsrelevantes Problem dar. **__Von einem externen Gebrauch des Benutzerkontos ist daher strikt abzuraten!__**
23 +====== __Benutzername__ ======
23 23  
25 +(% style="color:#000000" %)Der Benutzername des LDAP Admins wäre:
24 24  
25 -(% class="wikigeneratedid" id="HZugangsdaten:" %)
26 -(% style="color:#000000; font-size:20px" %)__Zugangsdaten:__
27 -
28 -(% class="wikigeneratedid" id="HBenutzername" %)
29 -(% style="color:#000000" %)Der Benutzername des LDAP Admins lautet:
30 -
31 31  {{code language="bash"}}
32 32  cn=ldap-admin
33 33  {{/code}}
34 34  
31 +====== ======
35 35  
36 -(% class="wikigeneratedid" id="HAttributedesBenutzernamens" %)
37 -(% style="color:#000000; font-size:16px" %)__Vollständiger Benutzername__
33 +====== __Attribute des Benutzernamens__ ======
38 38  
39 -(% style="color:#000000" %)Die BaseDN als Einstiegspunkt zum LDAP-Verzeichnisdienst kann über ein zusätzliches Programm ausgelesen werden, z.B. über das freie Tool LDAP Admin. In diesem Beispiel lautet die BaseDN {{code language="bash"}}dc=schule,dc=local{{/code}}. Dies kann von Installation zu Installation abweichen und wird durch die intern verwendete DNS Domain bestimmt, hier im Beispiel handelt es sich um den Standardwert.
35 +Die Attribute des LDAP Namens sind über ein zusätzliches Programm auszulesen wie z.B. die Software LDAP Admin auszulesen. In diesem Beispiel wären die Attribute {{code language="bash"}}dc=schule,dc=local{{/code}}. Dies kann von Installation zu Installation abweichen und wird durch die Intern verwendete DNS Domain bestimmt.
40 40  
41 -(% style="color:#000000" %)[[image:1651243652049-471.png]]
37 +[[image:1651127320035-296.png]]
42 42  
39 +====== ======
43 43  
44 -(% style="color:#000000" %)In diesem Beispiel ergibt sich der vollständige Benutzername (sogenannter //Distinguished Name// des Benutzerkontos) durch Anfügen der BaseDN:
41 +====== __Kennwort__ ======
45 45  
46 -{{code language="bash"}}
47 -cn=ldap-admin,dc=schule,dc=local
48 -{{/code}}
49 -
50 -
51 -(% class="wikigeneratedid" id="HKennwort" %)
52 -(% style="color:#000000; font-size:16px" %)__Kennwort__
53 -
54 54  (% style="color:#000000" %)Das Kennwort ist im logosrv unter folgendem Pfad einsehbar:
55 55  
56 56  {{code language="bash"}}
... ... @@ -57,7 +57,7 @@
57 57  root@logosrv:~ # cat /etc/ldap.secret
58 58  {{/code}}
59 59  
60 -(% style="color:#000000" %)Optional kann man das Passwort (sowie die gültige BaseDN des Servers als Teil des Benutzernamens) auch mit folgendem Befehl aus dem Abschnitt "Credentials" entnehmen:
49 +Optional kann man das Passwort auch mit folgendem Befehl unter dem Punkt "Credentials" einsehen:
61 61  
62 62  {{code language="bash"}}
63 63  root@logosrv:~ # ldconf -o
... ... @@ -64,44 +64,38 @@
64 64  {{/code}}
65 65  
66 66  
67 -=== (% style="color:#000000" %)**LDAP-ReadOnly (ldap-ro) Benutzer**(%%) ===
56 +=== (% style="color:#000000" %)**__LDAP-ReadOnly (ldap-ro) Benutzer__**(%%) ===
68 68  
69 -(% class="wikigeneratedid" id="HNutzungsgebiet:" %)
70 -(% style="color:#000000; font-size:20px" %)__Nutzungsgebiet:__
71 71  
72 -(% style="color:#000000" %)Der LDAP-ReadOnly Benutzer ist für die Verwendung in externen Diensten vorgesehen.
59 +==== (% style="color:#000000" %)__Nutzungsgebiet:__(%%) ====
73 73  
74 -(% style="color:#000000" %)Mögliche Nutzungsszenarien wären unter anderem die Anbindung  von extern gehosteten Webdiensten (z.B. Moodle, WebUntis oder Nextcloud) an die Benutzerdatenbank des LogoDIDACT Servers per LDAP-Protokoll.
61 +(% style="color:#000000" %)Der LDAP-ReadOnly Benutzer ist für die Verwendung von externen Diensten/Anbindungen gedacht.
75 75  
63 +(% style="color:#000000" %)Mögliche Nutzungsmöglichkeiten wären unteranderem die Nutzung und Einbindung  von einem extern gehosteten moodle, WebUntis oder einer Nextcloud.
76 76  
77 -(% class="wikigeneratedid" id="HBenutzername26Passwort:" %)
78 -(% style="color:#000000; font-size:20px" %)__Zugangsdaten:__
79 79  
80 -(% class="wikigeneratedid" id="HBenutzername" %)
81 -(% style="color:#000000" %)Der Benutzername des LDAP ReadOnly Benutzers lautet:
66 +==== (% style="color:#000000" %)__Benutzername & Passwort:__(%%) ====
82 82  
68 +
69 +====== __Benutzername__ ======
70 +
71 +(% style="color:#000000" %)Relevant für den Zugriff von Außen wäre folgender Benutzername:
72 +
83 83  {{code language="bash"}}
84 84  cn=ldap-ro
85 85  {{/code}}
86 86  
77 +====== (% id="cke_bm_979S" style="display:none" %)__ __(%%) ======
87 87  
88 -(% style="color:#000000; font-size:16px" %)__Vollständiger Benutzername__
79 +====== __Attribute des Benutzernamens__ ======
89 89  
90 -(% style="color:#000000" %)Die BaseDN als Einstiegspunkt zum LDAP-Verzeichnisdienst kann über ein zusätzliches Programm ausgelesen werden, z.B. über das freie Tool LDAP Admin. In diesem Beispiel lautet die BaseDN {{code language="bash"}}dc=schule,dc=local{{/code}}. Dies kann von Installation zu Installation abweichen und wird durch die intern verwendete DNS Domain bestimmt, hier im Beispiel handelt es sich um den Standardwert.
81 +Die Attribute des LDAP Namens sind über ein zusätzliches Programm auszulesen wie z.B. die Software LDAP Admin auszulesen. In diesem Beispiel wären die Attribute {{code language="bash"}}dc=schule,dc=local{{/code}}. Dies kann von Installation zu Installation abweichen und wird durch die Intern verwendete DNS Domain bestimmt.
91 91  
92 -(% style="color:#000000" %)[[image:1651243652049-471.png]]
83 +[[image:1651127322559-640.png]]
93 93  
94 94  
95 -(% style="color:#000000" %)Im Unterschied zum vorherigen Benutzer steckt das Konto verschachtelt in dem Unterobjekt //OU=services//. Dadurch ergibt sich nachfolgender, vollständiger Benutzername (sogenannter //Distinguished Name//):
86 +====== __Kennwort__ ======
96 96  
97 -{{code language="bash"}}
98 -cn=ldap-ro,ou=services,dc=schule,dc=local
99 -{{/code}}
100 -
101 -
102 -(% class="wikigeneratedid" id="HKennwort" %)
103 -(% style="color:#000000; font-size:16px" %)__Kennwort__
104 -
105 105  (% style="color:#000000" %)Das Kennwort ist im logosrv unter folgendem Pfad einsehbar:
106 106  
107 107  {{code language="bash"}}
... ... @@ -109,151 +109,10 @@
109 109  {{/code}}
110 110  
111 111  
112 -(% style="color:#000000" %)Im Zuge der Anbindung externer Dienste sollte stets darauf geachtet werden, die verschlüsselte Form des LDAP-Protokolls (d.h. LDAPS auf TCP-Port 636) zu verwenden, damit sensible Information wie Benutzer-Zugangsdaten prinzipiell per SSL-Transportverschlüsselung versendet werden. Zur Nutzung der SSL-Transportverschlüsselung ist es wiederum wichtig, ein gültiges Let's Encrypt Zertifikat zu beantragen, damit die Verbindungssicherheit zwischen zwei Servern gewährleistet werden kann.
113 113  
96 +=== **__LDAP Attribute__** ===
114 114  
115 -== __**Ports über Firewall an Rev-Proxy weiterleiten**__ ==
116 116  
117 -Damit externe LDAPS-Verbindungen zum Server möglich werden, muss der TCP-Port 636 vom vorgeschalteten Router auf die externe IP-Adresse des LogoDIDACT Servers weitergeleitet werden. Vom ldhost wird die Verbindung dann entgegengenommen und abermals an den Rev-Proxy LXC-Container weitergeleitet. Die Einrichtung der zugehörige Poerweiterleitungs-Regel wird nachfolgend beschrieben.
118 -
119 -
120 -Wechseln Sie vom ldhost aus in das Verzeichnis der Shorewall:
121 -
122 -{{code language="bash"}}
123 -root@ldhosts:~ # cd /etc/shorewall
124 -{{/code}}
125 -
126 -
127 -Öffnen Sie die Datei rules mit einem Editor ihrer Wahl:
128 -
129 -{{code language="bash"}}
130 -root@ldhost:/etc/shorewall # vim rules
131 -{{/code}}
132 -
133 -
134 -Ergänzen Sie die Liste innerhalb der Datei um den obersten DNAT-Eintrag (lila eingefärbte Zeile). Dadurch werden externe Verbindungsanfragen auf Port 636 (LDAPS) vom ldhost zum rev-proxy LXC-Container weitergeleitet, so wie im Schaubild am Anfang des Artikels abgebildet. Falls diese Regel bereits vorhanden ist, können Sie den Schritt überspringen.
135 -
136 -(% class="box" %)
137 -(((
138 -(% style="color:#16a085" %)###
139 -# Shorewall version 4.0##(%%)
140 -(% style="color:#16a085" %)#(%%)
141 -(% style="color:#8e44ad" %)##**DNAT ext dmz:172.28.29.3 tcp 636**##(%%)
142 -##DNAT ext dmz:172.28.29.3 tcp 80,443
143 -DNAT ext dmz:172.28.29.2 tcp 1:21
144 -DNAT ext dmz:172.28.29.2 tcp 23:2221
145 -DNAT ext dmz:172.28.29.2 tcp 2223:65535
146 -DNAT ext dmz:172.28.29.2 udp 1:65535##
147 -)))
148 -
149 -
150 -Starten Sie nun die Firewall des ldhost neu:
151 -
152 -{{code language="bash"}}
153 -root@ldhosts:~ # /etc/init.d/shorewall restart
154 -{{/code}}
155 -
156 -
157 -== __**Zertifikat für Rev-Proxy erstellen und prüfen**__ ==
158 -
159 -Damit die Verbindung gesichert werden kann, wird ein Let's Encrypt Zertifikat benötigt. Dieses können Sie - abhängig vom zu Grunde liegenden Tool - mit den folgenden Kommandos im Puppeteer-Container erstellen.
160 -
161 -=== __acmetool__ ===
162 -
163 -Wechseln Sie in den puppeteer Container:
164 -
165 -{{code language="bash"}}
166 -root@ldhost:~ # lxc-ssh -n puppeteer
167 -{{/code}}
168 -
169 -Fordern Sie das Zertifikat mit folgendem Befehl an (Ersetzen Sie "SCHULKUERZEL" mit dem jeweiligen Shortname):
170 -
171 -{{code language="bash"}}
172 -root@puppeteer:~ # acmetool want kopano.SCHULKUERZEL.logoip.de
173 -{{/code}}
174 -
175 -=== __acme.sh__ ===
176 -
177 -Wechseln Sie in den puppeteer Container:
178 -
179 -{{code language="bash"}}
180 -root@ldhost:~ # lxc-ssh -n puppeteer
181 -{{/code}}
182 -
183 -
184 -Wechseln Sie im puppeteer Container in die Umgebung für das Verwalten der Zertifikate:
185 -
186 -{{code language="bash"}}
187 -root@puppeteer:~ # sle
188 -{{/code}}
189 -
190 -
191 -Beantragen Sie ein neues Zertifikat mit folgendem Befehl (Ersetzen Sie "SCHULKUERZEL" mit dem jeweiligen Shortname):
192 -
193 -{{code language="bash"}}
194 -le-acme@puppeteer:~ $ issue kopano.SCHULKUERZEL.logoip.de
195 -{{/code}}
196 -
197 -
198 -Um das Verteilen der Zertifikate zu beschleunigen, können Sie einen gezielten 'prun' im puppeteer Container gefolgt von einen weiteren 'prun' im rev-proxy Container durchführen:
199 -
200 -{{code language="bash"}}
201 -root@puppeteer:~ # prun
202 -
203 -root@rev-proxy:~ # prun
204 -{{/code}}
205 -
206 -
207 -== __**Konfiguration für LDAP im Rev-Proxy**__ ==
208 -
209 -Nun müssen Sie im Puppeteer Container eine rev-proxy.yaml anlegen. Sollte diese bereits vorhanden sein, muss diese bearbeitet werden.
210 -
211 -
212 -Wechseln Sie in das Verzeichnis /etc/logodidact/hiera/custom.d/ im Puppeteer Container:
213 -
214 -{{code language="bash"}}
215 -root@puppeteer:~ # cd /etc/logodidact/hiera/custom.d/
216 -{{/code}}
217 -
218 -
219 -Erstellen Sie die rev-proxy-yaml
220 -
221 -{{code language="bash"}}
222 -root@puppeteer:/etc/logodidact/hiera/custom.d # vim rev-proxy.yaml
223 -{{/code}}
224 -
225 -
226 -Fügen Sie folgende Einstellungen in die yaml ein und ersetzen **musterstadt-gym** durch den Shortname der Schule:
227 -
228 -{{code language="bash"}}
229 ----
230 -ld_rproxy::hosts:
231 -  ldap.musterstadt-gym.logoip.de:
232 -    type: stream
233 -    template: ldap
234 -    ensure: present
235 -{{/code}}
236 -
237 -
238 -Übernehmen Sie die Änderungen ins git:
239 -
240 -{{code language="bash"}}
241 -root@puppeteer:~ # cd /etc/logodidact/
242 -root@puppeteer:/etc/logodidact # git add .
243 -root@puppeteer:/etc/logodidact # git coomit -am "rev-proxy.yaml angelegt."
244 -{{/code}}
245 -
246 -
247 -Führen Sie einen prun im rev-proxy Container aus:
248 -
249 -{{code language="bash"}}
250 -root@rev-proxy:~ # prun
251 -{{/code}}
252 -
253 -
254 -
255 -== (% style="color:#000000" %)**__Weitere LDAP Attribute für ReadOnly-Benutzer freischalten__**(%%) ==
256 -
257 257  (% style="color:#000000" %)Standardmäßig werden folgende Attribute an die externe LDAP Schnittstelle weitergegeben:
258 258  
259 259  {{code language="bash"}}
... ... @@ -261,7 +261,7 @@
261 261  {{/code}}
262 262  
263 263  
264 -(% style="color:#000000" %)Sollen zusätzliche Attribute an die externe Schnittstelle weitergegeben werden, so müssen Sie diese in folgender Datei im Puppeteer Container wie folgt abändern/erstellen:
106 +Sollen zusätzliche Attribute an die externe Schnittstelle weitergegeben werden, so muss man diese in folgender Datei im Puppeteer Container abändern:
265 265  
266 266  {{code language="bash"}}
267 267  root@puppeteer:~ # vim /etc/logodidact/hiera/custom.d/ldhost.yaml
... ... @@ -275,7 +275,7 @@
275 275  {{/code}}
276 276  
277 277  
278 -(% style="color:#000000" %)Danach müssen Sie die Änderungen ins Git übernehmen:
120 +Danach müssen Sie die Änderungen ins Git übernehmen und mit einem prun im ldhost an den logosrv senden:
279 279  
280 280  {{code language="bash"}}
281 281  root@puppeteer:~ # cd /etc/logodidact/
... ... @@ -283,15 +283,12 @@
283 283  root@puppeteer:/etc/logodidact # git coomit -am "LDAP Attribute in der ldhost.yaml hinzugefügt"
284 284  {{/code}}
285 285  
286 -
287 -(% style="color:#000000" %)Um den Prozess zu beschleunigen bietet sich ein prun im ldhost an. Damit werden die Änderungen sofort an den logosrv weitergeleitet:
288 -
289 289  {{code language="bash"}}
290 290  root@ldhost:~ # prun
291 291  {{/code}}
292 292  
293 293  
294 -(% style="color:#000000" %)Die angepassten ACL-Änderungen können zur Kontrolle im logosrv in der Konfigurationsdatei slapd.puppet.conf angeschaut werden:
133 +Die angepassten Änderungen können nun logosrv in der slapd.puppet.conf angeschaut werden:
295 295  
296 296  {{code language="bash"}}
297 297  root@logosrv:~ # cat /etc/ldap/slapd.puppet.conf
1651243652049-471.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.JensGruber@sbede
Größe
... ... @@ -1,1 +1,0 @@
1 -16.3 KB
Inhalt