Zum Inhalt springen

LDAP Admin-Benutzer und ReadOnly-Benutzer

Version 25.1 von Alexander Kruck am 2022/04/29 16:38

Um externe oder interne Dienste über LDAPS einzubinden, gibt es nach wie vor den sogenannten LDAP-Admin und den seit der Umstellung auf LDAPS neu hinzugefügten ReadOnly-Benutzer.

In diesem Artikel erfahren Sie, wo Sie die Benutzernamen & Kennwörter der zwei Benutzer finden und welche Nutzer sich für welches Vorhaben am besten eignen.

Grafik für LDAp.png

LDAP-Admin Benutzer

Nutzungsgebiet:

Der LDAP-Admin Benutzer ist mit äußerster Vorsicht einzusetzen, da dieser einen beinahe uneingeschränkten Zugriff auf das Abrufen und Bearbeiten der Nutzerattribute des Servers besitzt. Daher sollte der Benutzer nur möglichst Intern eingesetzt werden.

Sollten die Daten des Admins in unbefugte Hände gelangen, stellt dies ein massives Datenschutz- und Sicherheitstechnisches Problem dar. Von einem externen Gebrauch ist daher strengstens abgeraten!

Benutzername & Kennwort

Benutzername

Der Benutzername des LDAP Admins wäre:

cn=ldap-admin
Attribute des Benutzernamens

Die Attribute des LDAP Namens sind über ein zusätzliches Programm auszulesen wie z.B. die Software LDAP Admin auszulesen. In diesem Beispiel wären die Attribute dc=schule,dc=local. Dies kann von Installation zu Installation abweichen und wird durch die Intern verwendete DNS Domain bestimmt.

1651127320035-296.png

Kennwort

Das Kennwort ist im logosrv unter folgendem Pfad einsehbar:

root@logosrv:~ # cat /etc/ldap.secret

Optional kann man das Passwort auch mit folgendem Befehl unter dem Punkt "Credentials" einsehen:

root@logosrv:~ # ldconf -o

LDAP-ReadOnly (ldap-ro) Benutzer

Nutzungsgebiet:

Der LDAP-ReadOnly Benutzer ist für die Verwendung von externen Diensten/Anbindungen gedacht.

Mögliche Nutzungsmöglichkeiten wären unteranderem die Nutzung und Einbindung  von einem extern gehosteten moodle, WebUntis oder einer Nextcloud.

Benutzername & Passwort:

Benutzername

Relevant für den Zugriff von Außen wäre folgender Benutzername:

cn=ldap-ro
Attribute des Benutzernamens

Die Attribute des LDAP Namens sind über ein zusätzliches Programm auszulesen wie z.B. die Software LDAP Admin auszulesen. In diesem Beispiel wären die Attribute dc=schule,dc=local. Dies kann von Installation zu Installation abweichen und wird durch die Intern verwendete DNS Domain bestimmt.

1651127322559-640.png

Kennwort

Das Kennwort ist im logosrv unter folgendem Pfad einsehbar:

root@logosrv:~ # cat /etc/ldap.ro.secret

LDAP Attribute

Standardmäßig werden folgende Attribute an die externe LDAP Schnittstelle weitergegeben:

entry, cn, displayName, gidnumber, givenName, mail, member, memberOf, memberUid, o, objectClass, ou, sn, title, uid, uidnumber, uniqueMember, ldObjectType, ldRole

Sollen zusätzliche Attribute an die externe Schnittstelle weitergegeben werden, so müssen Sie diese in folgender Datei im Puppeteer Container wie folgt abändern/erstellen:

root@puppeteer:~ # vim /etc/logodidact/hiera/custom.d/ldhost.yaml

#Ist die Datei nicht vorhanden bitte wie folgt anpassen (Im Beispiel werden die Attribute ldBirthday & ldGender hinzugefügt):

---
ld_legacy::ldap::ldap_ro_atts:
 - ldBirtday
 - ldGender

Danach müssen Sie die Änderungen ins Git übernehmen:

root@puppeteer:~ # cd /etc/logodidact/
root@puppeteer:/etc/logodidact # git add .
root@puppeteer:/etc/logodidact # git coomit -am "LDAP Attribute in der ldhost.yaml hinzugefügt"

Um den Prozess zu beschleunigen bietet sich ein prun im ldhost an. Damit werden die Änderungen sofort an den logosrv weitergeleitet:

root@ldhost:~ # prun

Die angepassten Änderungen können nun logosrv in der slapd.puppet.conf angeschaut werden:

root@logosrv:~ # cat /etc/ldap/slapd.puppet.conf