Änderungen von Dokument LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv

Zusammenfassung

• Seiteneigenschaften (2 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Titel

...	...	@@ -1,1 +1,1 @@
1		-LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv
	1	+Geändert: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv

Inhalt

...	...	@@ -19,7 +19,7 @@
19	19
20	20	(% style="color:#000000" %)Der LDAP-Admin Benutzer ist mit äußerster Vorsicht einzusetzen, da dieser einen beinahe uneingeschränkten (Schreib-)Zugriff auf den Inhalt des OpenLDAP-Verzeichnisdienst sowie die Nutzerattribute besitzt. Daher sollte der Benutzer möglichst nur intern durch LogoDIDACT-integrierte Dienste zum Einsatz kommen.
21	21
22		-(% style="color:#000000" %)Sollten die Daten des LDAP-Admins in unbefugte Hände gelangen, stellt dies ein massives datenschutz- und sicherheitsrelevantes Problem dar. **__Von einem externen Gebrauch des Benutzerkontos ist daher strikt abzuraten!__**
	22	+(% style="color:#000000" %)Sollten die Daten des LDAP-Admins in unbefugte Hände gelangen, stellt dies ein massives datenschutz- und sicherheitstechnisches Problem dar. **__Von einem externen Gebrauch des Benutzerkontos ist daher strengstens abzuraten!__**
23	23
24	24
25	25	(% class="wikigeneratedid" id="HZugangsdaten:" %)
...	...	@@ -57,7 +57,7 @@
57	57	root@logosrv:~ # cat /etc/ldap.secret
58	58	{{/code}}
59	59
60		-(% style="color:#000000" %)Optional kann man das Passwort (sowie die gültige BaseDN des Servers als Teil des Benutzernamens) auch mit folgendem Befehl aus dem Abschnitt "Credentials" entnehmen:
	60	+(% style="color:#000000" %)Optional kann man das Passwort (sowie die gültige BaseDN als Suffix des Benutzernamens) auch mit folgendem Befehl unter dem Punkt "Credentials" einsehen:
61	61
62	62	{{code language="bash"}}
63	63	root@logosrv:~ # ldconf -o
...	...	@@ -69,11 +69,12 @@
69	69	(% class="wikigeneratedid" id="HNutzungsgebiet:" %)
70	70	(% style="color:#000000; font-size:20px" %)__Nutzungsgebiet:__
71	71
72		-(% style="color:#000000" %)Der LDAP-ReadOnly Benutzer ist für die Verwendung in externen Diensten vorgesehen.
	72	+(% style="color:#000000" %)Der LDAP-ReadOnly Benutzer ist für die Verwendung von externen Diensten/Anbindungen gedacht.
73	73
74		-(% style="color:#000000" %)Mögliche Nutzungsszenarien wären unter anderem die Anbindung  von extern gehosteten Webdiensten (z.B. Moodle, WebUntis oder Nextcloud) an die Benutzerdatenbank des LogoDIDACT Servers per LDAP-Protokoll.
	74	+(% style="color:#000000" %)Mögliche Nutzungsszenarien wären unter anderem die Anbindung  von extern gehosteten Webdiensten (z.B. Moodle, WebUntis oder Nextcloud) an die LogoDIDACT-integrierte Benutzerdatenbank über das LDAP-Protokoll.
75	75
76	76
	77	+
77	77	(% class="wikigeneratedid" id="HBenutzername26Passwort:" %)
78	78	(% style="color:#000000; font-size:20px" %)__Zugangsdaten:__
79	79
...	...	@@ -84,7 +84,11 @@
84	84	cn=ldap-ro
85	85	{{/code}}
86	86
	88	+====== (% id="cke_bm_979S" style="color:#000000; display:none" %)__ __(%%) ======
87	87
	90	+
	91	+
	92	+(% class="wikigeneratedid" id="HAttributedesBenutzernamens" %)
88	88	(% style="color:#000000; font-size:16px" %)__Vollständiger Benutzername__
89	89
90	90	(% style="color:#000000" %)Die BaseDN als Einstiegspunkt zum LDAP-Verzeichnisdienst kann über ein zusätzliches Programm ausgelesen werden, z.B. über das freie Tool LDAP Admin. In diesem Beispiel lautet die BaseDN {{code language="bash"}}dc=schule,dc=local{{/code}}. Dies kann von Installation zu Installation abweichen und wird durch die intern verwendete DNS Domain bestimmt, hier im Beispiel handelt es sich um den Standardwert.
...	...	@@ -92,7 +92,7 @@
92	92	(% style="color:#000000" %)[[image:1651243652049-471.png]]
93	93
94	94
95		-(% style="color:#000000" %)Im Unterschied zum vorherigen Benutzer steckt das Konto verschachtelt in dem Unterobjekt //OU=services//. Dadurch ergibt sich nachfolgender, vollständiger Benutzername (sogenannter //Distinguished Name//):
	100	+(% style="color:#000000" %)Im Unterschied zum vorherigen Benutzer steckt das Konto verschachtelt in der OU //services//. Dadurch ergibt sich nachfolgender, vollständiger Benutzername (sogenannter //Distinguished Name//):
96	96
97	97	{{code language="bash"}}
98	98	cn=ldap-ro,ou=services,dc=schule,dc=local
...	...	@@ -112,52 +112,9 @@
112	112	(% style="color:#000000" %)Im Zuge der Anbindung externer Dienste sollte stets darauf geachtet werden, die verschlüsselte Form des LDAP-Protokolls (d.h. LDAPS auf TCP-Port 636) zu verwenden, damit sensible Information wie Benutzer-Zugangsdaten prinzipiell per SSL-Transportverschlüsselung versendet werden. Zur Nutzung der SSL-Transportverschlüsselung ist es wiederum wichtig, ein gültiges Let's Encrypt Zertifikat zu beantragen, damit die Verbindungssicherheit zwischen zwei Servern gewährleistet werden kann.
113	113
114	114
115		-== (% id="cke_bm_200S" style="display:none" %)__**Konfiguration für LDAP im Rev-Proxy**__(%%) ==
116	116
117		-Nun müssen Sie im Puppeteer Container eine rev-proxy.yaml anlegen. Sollte diese bereits vorhanden sein, muss diese bearbeitet werden.
118	118
119	119
120		-Wechseln Sie in das Verzeichnis /etc/logodidact/hiera/custom.d/ im Puppeteer Container:
121		-
122		-{{code language="bash"}}
123		-root@puppeteer:~ # cd /etc/logodidact/hiera/custom.d/
124		-{{/code}}
125		-
126		-
127		-Erstellen Sie die rev-proxy.yaml:
128		-
129		-{{code language="bash"}}
130		-root@puppeteer:/etc/logodidact/hiera/custom.d # vim rev-proxy.yaml
131		-{{/code}}
132		-
133		-
134		-Fügen Sie folgende Einstellungen der yaml hinzu und ersetzen **musterstadt-gym** durch den Shortname der Schule:
135		-
136		-{{code language="bash"}}
137		-ld_rproxy::hosts:
138		-  ldap.musterstadt-gym.logoip.de:
139		-    type: stream
140		-    template: ldap
141		-    ensure: present
142		-{{/code}}
143		-
144		-
145		-Übernehmen Sie die Änderungen ins git:
146		-
147		-{{code language="bash"}}
148		-root@puppeteer:~ # cd /etc/logodidact/
149		-root@puppeteer:/etc/logodidact # git add .
150		-root@puppeteer:/etc/logodidact # git coomit -am "rev-proxy.yaml angelegt."
151		-{{/code}}
152		-
153		-
154		-Führen Sie einen prun im rev-proxy Container aus:
155		-
156		-{{code language="bash"}}
157		-root@rev-proxy:~ # prun
158		-{{/code}}
159		-
160		-
161	161	== __**Ports über Firewall an Rev-Proxy weiterleiten**__ ==
162	162
163	163	Damit externe LDAPS-Verbindungen zum Server möglich werden, muss der TCP-Port 636 vom vorgeschalteten Router auf die externe IP-Adresse des LogoDIDACT Servers weitergeleitet werden. Vom ldhost wird die Verbindung dann entgegengenommen und abermals an den Rev-Proxy LXC-Container weitergeleitet. Die Einrichtung der zugehörige Poerweiterleitungs-Regel wird nachfolgend beschrieben.
...	...	@@ -184,8 +184,8 @@
184	184	(% style="color:#16a085" %)###
185	185	# Shorewall version 4.0##(%%)
186	186	(% style="color:#16a085" %)#(%%)
187		-(% style="color:#8e44ad" %)##**DNAT ext dmz:172.28.29.3 tcp 636**##(%%)
188		-##DNAT ext dmz:172.28.29.3 tcp 80,443
	149	+(% style="color:#8e44ad" %)##**DNAT ext dmz:172.28.29.3 tcp 636**##(%%)##
	150	+DNAT ext dmz:172.28.29.3 tcp 80,443
189	189	DNAT ext dmz:172.28.29.2 tcp 1:21
190	190	DNAT ext dmz:172.28.29.2 tcp 23:2221
191	191	DNAT ext dmz:172.28.29.2 tcp 2223:65535
...	...	@@ -202,7 +202,7 @@
202	202
203	203	== __**Zertifikat für Rev-Proxy erstellen und prüfen**__ ==
204	204
205		-Damit die Verbindung gesichert werden kann, wird ein Let's Encrypt Zertifikat benötigt. Dieses können Sie - abhängig vom zu Grunde liegenden Tool - mit den folgenden Kommandos im Puppeteer-Container erstellen.
	167	+Damit die Verbindung gesichert werden kann, wird ein Let's Encrypt Zertifikat benötigt. Dieses können Sie nach folgender Anleitung erstellen:
206	206
207	207	=== __acmetool__ ===
208	208
...	...	@@ -241,18 +241,16 @@
241	241	{{/code}}
242	242
243	243
244		-Um das Verteilen der Zertifikate zu beschleunigen, können Sie einen gezielten 'prun' im puppeteer Container gefolgt von einen weiteren 'prun' im rev-proxy Container durchführen:
	206	+Um das verteilen der Zertifikate zu beschleunigen können Sie ggf. einen prun im puppeteer und rev-proxy Container durchführen:
245	245
246	246	{{code language="bash"}}
247	247	root@puppeteer:~ # prun
248		-
249	249	root@rev-proxy:~ # prun
250	250	{{/code}}
251	251
252	252
	214	+== (% style="color:#000000" %)**__LDAP Attribute__**(%%) ==
253	253
254		-== (% style="color:#000000" %)**__Weitere LDAP Attribute für ReadOnly-Benutzer freischalten__**(%%) ==
255		-
256	256	(% style="color:#000000" %)Standardmäßig werden folgende Attribute an die externe LDAP Schnittstelle weitergegeben:
257	257
258	258	{{code language="bash"}}