Wiki-Quellcode von LDAP Admin-Benutzer und ReadOnly-Benutzer
Version 12.1 von Jonas Mayer am 2022/04/28 07:33
Verstecke letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
 |
11.2 | 1 | (% style="color:#000000" %)Um externe oder interne Dienste über LDAPS einzubinden, gibt es nach wie vor den sogenannten LDAP-Admin und den seit der Umstellung auf LDAPS neu hinzugefügten ReadOnly-Benutzer. |
| |
3.1 | 2 | |
| |
10.1 | 3 | (% style="color:#000000" %)In diesem Artikel erfahren Sie, wo Sie die Benutzernamen & Passwörter der zwei Benutzer finden und welche Nutzer sich für welches Vorhaben am besten eignen. |
| |
3.1 | 4 | |
| 5 | |||
| |
3.2 | 6 | === (% style="color:#000000" %)__**LDAP-Admin Benutzer**__(%%) === |
| |
3.1 | 7 | |
| 8 | |||
| |
3.2 | 9 | === (% style="color:#000000" %)__Nutzungsgebiet:__(%%) === |
| |
3.1 | 10 | |
| |
3.2 | 11 | (% style="color:#000000" %)Der LDAP-Admin Benutzer ist mit äußerster Vorsicht einzusetzen, da dieser einen beinahe uneingeschränkten Zugriff auf das Abrufen und Bearbeiten der Nutzerattribute des Servers besitzt. Daher sollte der Benutzer nur möglichst Intern eingesetzt werden. |
| |
3.1 | 12 | |
| |
11.1 | 13 | (% style="color:#000000" %)Sollten die Daten des Admins in unbefugte Hände gelangen, stellt dies ein massives Datenschutz- und Sicherheitstechnisches Problem dar. **__Von einem externen Gebrauch ist daher strengstens abgeraten!__** |
| |
3.1 | 14 | |
| 15 | |||
| |
3.2 | 16 | ==== (% style="color:#000000" %)__Benutzername & Passwort:__(%%) ==== |
| |
3.1 | 17 | |
| |
4.1 | 18 | (% style="color:#000000" %)Der Benutzername mit den jeweiligen Attributen: |
| |
3.1 | 19 | |
| |
3.2 | 20 | {{code language="bash"}} |
| |
12.1 | 21 | cn=ldap-admin,dc=schule,dc=local |
| |
3.2 | 22 | {{/code}} |
| |
3.1 | 23 | |
| 24 | |||
| |
3.2 | 25 | (% style="color:#000000" %)Das Kennwort ist im logosrv unter folgendem Pfad einsehbar: |
| |
3.1 | 26 | |
| |
3.2 | 27 | {{code language="bash"}} |
| 28 | root@logosrv:~ # cat /etc/ldap.secret | ||
| 29 | {{/code}} | ||
| |
3.1 | 30 | |
| |
4.1 | 31 | Optional kann man das Passwort auch mit folgendem Befehl unter dem Punkt "Credentials" einsehen: |
| |
3.1 | 32 | |
| |
4.1 | 33 | {{code language="bash"}} |
| 34 | root@logosrv:~ # ldconf -o | ||
| 35 | {{/code}} | ||
| 36 | |||
| 37 | |||
| |
3.2 | 38 | === (% style="color:#000000" %)**__LDAP-ReadOnly (ldap-ro) Benutzer__**(%%) === |
| |
3.1 | 39 | |
| 40 | |||
| |
3.2 | 41 | ==== (% style="color:#000000" %)__Nutzungsgebiet:__(%%) ==== |
| |
3.1 | 42 | |
| |
5.1 | 43 | (% style="color:#000000" %)Der LDAP-ReadOnly Benutzer ist für die Verwendung von externen Diensten/Anbindungen gedacht. Dieser hat lediglich lesende Rechte auf folgende Attribute: |
| |
3.1 | 44 | |
| |
11.1 | 45 | {{code language="bash"}} |
| 46 | entry, cn, displayName, gidnumber, givenName, mail, member, memberOf, memberUid, o, objectClass, ou, sn, title, uid, uidnumber, uniqueMember, ldObjectType, ldRole | ||
| 47 | {{/code}} | ||
| |
3.2 | 48 | |
| 49 | |||
| |
8.1 | 50 | |
| |
11.1 | 51 | (% style="color:#000000" %)Mögliche Nutzungsmöglichkeiten wären unteranderem die Nutzung und Einbindung von einem extern gehosteten moodle oder WebUntis. |
| 52 | |||
| 53 | |||
| |
3.2 | 54 | ==== (% style="color:#000000" %)__Benutzername & Passwort:__(%%) ==== |
| 55 | |||
| 56 | (% style="color:#000000" %)Relevant für den Zugriff von Außen wäre folgender Benutzername: | ||
| 57 | |||
| |
3.1 | 58 | {{code language="bash"}} |
| 59 | cn=ldap-ro,ou=services,dc=schule,dc=local | ||
| 60 | {{/code}} | ||
| 61 | |||
| 62 | |||
| |
3.2 | 63 | (% style="color:#000000" %)Das Kennwort ist im logosrv unter folgendem Pfad einsehbar: |
| 64 | |||
| |
3.1 | 65 | {{code language="bash"}} |
| 66 | root@logosrv:~ # cat /etc/ldap.ro.secret | ||
| 67 | {{/code}} | ||
| 68 | |||
| 69 |