Geändert: LDAP Admin-Benutzer und ReadOnly-Benutzer
Um externe oder interne Dienste über LDAPS einzubinden, gibt es nach wie vor den sogenannten LDAP-Admin und den seit der Umstellung auf LDAPS neu hinzugefügten ReadOnly-Benutzer.
In diesem Artikel erfahren Sie, wo Sie die Benutzernamen & Kennwörter der zwei Benutzer finden und welche Nutzer sich für welches Vorhaben am besten eignen.
LDAP-Admin Benutzer
Nutzungsgebiet:
Der LDAP-Admin Benutzer ist mit äußerster Vorsicht einzusetzen, da dieser einen beinahe uneingeschränkten (Schreib-)Zugriff auf den Inhalt des OpenLDAP-Verzeichnisdienst sowie die Nutzerattribute besitzt. Daher sollte der Benutzer möglichst nur intern durch LogoDIDACT-integrierte Dienste zum Einsatz kommen.
Sollten die Daten des LDAP-Admins in unbefugte Hände gelangen, stellt dies ein massives datenschutz- und sicherheitstechnisches Problem dar. Von einem externen Gebrauch des Benutzerkontos ist daher strengstens abzuraten!
Benutzername & Kennwort
Benutzername
Der Benutzername des LDAP Admins lautet:
Attribute des Benutzernamens
Die BaseDN als Einstiegspunkt zum LDAP-Verzeichnisdienst kann über ein zusätzliches Programm ausgelesen werden, z.B. über das freie Tool LDAP Admin. In diesem Beispiel lautet die BaseDN dc=schule,dc=local. Dies kann von Installation zu Installation abweichen und wird durch die intern verwendete DNS Domain bestimmt, hier im Beispiel handelt es sich um den Standardwert.
In diesem Beispiel ergibt sich der vollständige Benutzername (sogenannter Distinguished Name des Benutzerkontos) durch Anfügen der BaseDN:
Kennwort
Das Kennwort ist im logosrv unter folgendem Pfad einsehbar:
Optional kann man das Passwort (sowie die gültige BaseDN als Suffix des Benutzernamens) auch mit folgendem Befehl unter dem Punkt "Credentials" einsehen:
LDAP-ReadOnly (ldap-ro) Benutzer
Nutzungsgebiet:
Der LDAP-ReadOnly Benutzer ist für die Verwendung von externen Diensten/Anbindungen gedacht.
Mögliche Nutzungsszenarien wären unter anderem die Anbindung von extern gehosteten Webdiensten (z.B. Moodle, WebUntis oder Nextcloud) an die LogoDIDACT-integrierte Benutzerdatenbank über das LDAP-Protokoll.
Benutzername & Passwort:
Benutzername
Relevant für den Zugriff von Außen wäre folgender Benutzername:
Attribute des Benutzernamens
Die BaseDN als Einstiegspunkt zum LDAP-Verzeichnisdienst kann über ein zusätzliches Programm ausgelesen werden, z.B. über das freie Tool LDAP Admin. In diesem Beispiel lautet die BaseDN dc=schule,dc=local. Dies kann von Installation zu Installation abweichen und wird durch die intern verwendete DNS Domain bestimmt, hier im Beispiel handelt es sich um den Standardwert.
Im Unterschied zum vorherigen Benutzer steckt das Konto verschachtelt in der OU services. Dadurch ergibt sich nachfolgender, vollständiger Benutzername (sogenannter Distinguished Name):
Kennwort
Das Kennwort ist im logosrv unter folgendem Pfad einsehbar:
LDAP Attribute
Standardmäßig werden folgende Attribute an die externe LDAP Schnittstelle weitergegeben:
Sollen zusätzliche Attribute an die externe Schnittstelle weitergegeben werden, so müssen Sie diese in folgender Datei im Puppeteer Container wie folgt abändern/erstellen:
#Ist die Datei nicht vorhanden bitte wie folgt anpassen (Im Beispiel werden die Attribute ldBirthday & ldGender hinzugefügt):
---
ld_legacy::ldap::ldap_ro_atts:
- ldBirtday
- ldGender
Danach müssen Sie die Änderungen ins Git übernehmen:
root@puppeteer:/etc/logodidact # git add .
root@puppeteer:/etc/logodidact # git coomit -am "LDAP Attribute in der ldhost.yaml hinzugefügt"
Um den Prozess zu beschleunigen bietet sich ein prun im ldhost an. Damit werden die Änderungen sofort an den logosrv weitergeleitet:
Die angepassten ACL-Änderungen können zur Kontrolle im logosrv in der Konfigurationsdatei slapd.puppet.conf angeschaut werden: