Änderungen von Dokument LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv
Zuletzt geändert von Jonas Mayer am 2022/05/25 00:02
Von Version 58.1
bearbeitet von Jonas Mayer
am 2022/05/05 11:53
am 2022/05/05 11:53
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Auf Version 67.1
bearbeitet von Jonas Mayer
am 2022/05/23 11:21
am 2022/05/23 11:21
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Zusammenfassung
-
Seiteneigenschaften (2 geändert, 0 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Titel
-
... ... @@ -1,1 +1,1 @@ 1 - Geändert:LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv1 +LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv - Inhalt
-
... ... @@ -112,8 +112,54 @@ 112 112 (% style="color:#000000" %)Im Zuge der Anbindung externer Dienste sollte stets darauf geachtet werden, die verschlüsselte Form des LDAP-Protokolls (d.h. LDAPS auf TCP-Port 636) zu verwenden, damit sensible Information wie Benutzer-Zugangsdaten prinzipiell per SSL-Transportverschlüsselung versendet werden. Zur Nutzung der SSL-Transportverschlüsselung ist es wiederum wichtig, ein gültiges Let's Encrypt Zertifikat zu beantragen, damit die Verbindungssicherheit zwischen zwei Servern gewährleistet werden kann. 113 113 114 114 115 -== __** Portsüber Firewallan Rev-Proxyweiterleiten**__ ==115 +== (% style="color:#000000" %)__**Konfiguration zur Freischaltung von OpenLDAP via Rev-Proxy**__(%%) == 116 116 117 +Um den Verzeichnisdienst mit signiertem Let's Encrypt per nginx-stream freizuschalten, müssen Sie im Puppeteer-Container die Konfigurationsdatei {{box}}rev-proxy.yaml{{/box}} anlegen. Sollte diese bereits vorhanden sein, muss diese stattdessen bearbeitet werden. 118 + 119 + 120 +Wechseln Sie in das Verzeichnis {{box}}/etc/logodidact/hiera/custom.d/{{/box}} im Puppeteer Container: 121 + 122 +{{code language="bash"}} 123 +root@puppeteer:~ # cd /etc/logodidact/hiera/custom.d/ 124 +{{/code}} 125 + 126 + 127 +Erstellen Sie die Datei {{box}}rev-proxy.yaml{{/box}} bzw. fügen Sie den Inhalt aus dem nachfolgenden Schritt darin hinzu, falls die Datei bereits vorhanden ist: 128 + 129 +{{code language="bash"}} 130 +root@puppeteer:/etc/logodidact/hiera/custom.d # vim rev-proxy.yaml 131 +{{/code}} 132 + 133 + 134 +Fügen Sie folgenden Konfigurationsabschnitt zur Konfigurationsdatei hinzu und ersetzen Sie **SCHULKUERZEL** in der zweiten Zeile durch den passenden ShortName der Schule: 135 + 136 +{{code language="bash"}} 137 +ld_rproxy::hosts: 138 + ldaps.SCHULKUERZEL.logoip.de: 139 + type: stream 140 + template: ldap 141 + ensure: present 142 +{{/code}} 143 + 144 + 145 +Übernehmen Sie die Änderungen ins Git: 146 + 147 +{{code language="bash"}} 148 +root@puppeteer:~ # cd /etc/logodidact/ 149 +root@puppeteer:/etc/logodidact # git add . 150 +root@puppeteer:/etc/logodidact # git coomit -am "rev-proxy.yaml angelegt." 151 +{{/code}} 152 + 153 + 154 +Führen Sie einen {{box}}prun{{/box}} im rev-proxy Container aus, um die Freischaltung des LDAPS-Tunnels zu aktivieren: 155 + 156 +{{code language="bash"}} 157 +root@rev-proxy:~ # prun 158 +{{/code}} 159 + 160 + 161 +== __**Ports über Firewall vom Internet an Rev-Proxy weiterleiten**__ == 162 + 117 117 Damit externe LDAPS-Verbindungen zum Server möglich werden, muss der TCP-Port 636 vom vorgeschalteten Router auf die externe IP-Adresse des LogoDIDACT Servers weitergeleitet werden. Vom ldhost wird die Verbindung dann entgegengenommen und abermals an den Rev-Proxy LXC-Container weitergeleitet. Die Einrichtung der zugehörige Poerweiterleitungs-Regel wird nachfolgend beschrieben. 118 118 119 119 ... ... @@ -124,7 +124,7 @@ 124 124 {{/code}} 125 125 126 126 127 -Öffnen Sie die Datei rules mit einem Editor ihrer Wahl: 173 +Öffnen Sie die Datei {{box}}rules{{/box}} mit einem Editor ihrer Wahl: 128 128 129 129 {{code language="bash"}} 130 130 root@ldhost:/etc/shorewall # vim rules ... ... @@ -131,7 +131,7 @@ 131 131 {{/code}} 132 132 133 133 134 -Ergänzen Sie die Liste innerhalb der Datei um den obersten DNAT-Eintrag (lila eingefärbte Zeile). Dadurch werden externe Verbindungsanfragen auf Port 636 (LDAPS) vom ldhost zum rev-proxyLXC-Container weitergeleitet, so wie im Schaubild am Anfang des Artikels abgebildet. Falls diese Regel bereits vorhanden ist, können Sie den Schritt überspringen.180 +Ergänzen Sie die Liste innerhalb der Datei um den obersten DNAT-Eintrag (lila eingefärbte Zeile). Dadurch werden externe Verbindungsanfragen auf Port 636 (LDAPS) vom ldhost zum LXC-Container rev-proxy weitergeleitet, so wie im Schaubild am Anfang des Artikels abgebildet. Falls diese Regel bereits vorhanden ist, können Sie den Schritt überspringen. 135 135 136 136 (% class="box" %) 137 137 ((( ... ... @@ -147,14 +147,14 @@ 147 147 ))) 148 148 149 149 150 -Starten Sie nun die Firewall desldhost neu:196 +Starten Sie nun die Firewall am ldhost neu: 151 151 152 152 {{code language="bash"}} 153 -root@ldhosts:~ # /etc/init.d/shorewallrestart199 +root@ldhosts:~ # systemctl restart shorewall.service 154 154 {{/code}} 155 155 156 156 157 -== __**Zertifikat für Rev-Proxy erstellen und prüfen**__ == 203 +== __**SSL-Zertifikat für Rev-Proxy erstellen ~*~*~*~*~*~*und prüfen~*~*~*~*~*~***__ == 158 158 159 159 Damit die Verbindung gesichert werden kann, wird ein Let's Encrypt Zertifikat benötigt. Dieses können Sie - abhängig vom zu Grunde liegenden Tool - mit den folgenden Kommandos im Puppeteer-Container erstellen. 160 160 ... ... @@ -169,7 +169,7 @@ 169 169 Fordern Sie das Zertifikat mit folgendem Befehl an (Ersetzen Sie "SCHULKUERZEL" mit dem jeweiligen Shortname): 170 170 171 171 {{code language="bash"}} 172 -root@puppeteer:~ # acmetool want kopano.SCHULKUERZEL.logoip.de218 +root@puppeteer:~ # acmetool want ldaps.SCHULKUERZEL.logoip.de 173 173 {{/code}} 174 174 175 175 === __acme.sh__ === ... ... @@ -191,7 +191,7 @@ 191 191 Beantragen Sie ein neues Zertifikat mit folgendem Befehl (Ersetzen Sie "SCHULKUERZEL" mit dem jeweiligen Shortname): 192 192 193 193 {{code language="bash"}} 194 -le-acme@puppeteer:~ $ issue kopano.SCHULKUERZEL.logoip.de240 +le-acme@puppeteer:~ $ issue ldaps.SCHULKUERZEL.logoip.de 195 195 {{/code}} 196 196 197 197 ... ... @@ -204,53 +204,7 @@ 204 204 {{/code}} 205 205 206 206 207 -== __**Konfiguration für LDAP im Rev-Proxy**__ == 208 208 209 -Nun müssen Sie im Puppeteer Container eine rev-proxy.yaml anlegen. Sollte diese bereits vorhanden sein, muss diese bearbeitet werden. 210 - 211 - 212 -Wechseln Sie in das Verzeichnis /etc/logodidact/hiera/custom.d/ im Puppeteer Container: 213 - 214 -{{code language="bash"}} 215 -root@puppeteer:~ # cd /etc/logodidact/hiera/custom.d/ 216 -{{/code}} 217 - 218 - 219 -Erstellen Sie die rev-proxy-yaml 220 - 221 -{{code language="bash"}} 222 -root@puppeteer:/etc/logodidact/hiera/custom.d # vim rev-proxy.yaml 223 -{{/code}} 224 - 225 - 226 -Fügen Sie folgende Einstellungen in die yaml ein und ersetzen **musterstadt-gym** durch den Shortname der Schule: 227 - 228 -{{code language="bash"}} 229 -ld_rproxy::hosts: 230 - ldap.musterstadt-gym.logoip.de: 231 - type: stream 232 - template: ldap 233 - ensure: present 234 -{{/code}} 235 - 236 - 237 -Übernehmen Sie die Änderungen ins git: 238 - 239 -{{code language="bash"}} 240 -root@puppeteer:~ # cd /etc/logodidact/ 241 -root@puppeteer:/etc/logodidact # git add . 242 -root@puppeteer:/etc/logodidact # git coomit -am "rev-proxy.yaml angelegt." 243 -{{/code}} 244 - 245 - 246 -Führen Sie einen prun im rev-proxy Container aus: 247 - 248 -{{code language="bash"}} 249 -root@rev-proxy:~ # prun 250 -{{/code}} 251 - 252 - 253 - 254 254 == (% style="color:#000000" %)**__Weitere LDAP Attribute für ReadOnly-Benutzer freischalten__**(%%) == 255 255 256 256 (% style="color:#000000" %)Standardmäßig werden folgende Attribute an die externe LDAP Schnittstelle weitergegeben: