Wiki-Quellcode von Geändert: LDAP Admin-Benutzer und ReadOnly-Benutzer

Version 34.1 von Jonas Mayer am 2022/05/03 11:23

version	line-number	content
33.1	1	(% style="color:#000000" %)Um externe oder interne Dienste über das LDAPS-Protokoll einzubinden, gibt es seit Puppet-Version 1.3.22 neben dem sogenannten LDAP-Admin Konto einen neu hinzugefügten ReadOnly-Benutzer zur Anmeldung am integrierten OpenLDAP-Verzeichnisdienst.
3.1	2
33.1	3	(% style="color:#000000" %)In diesem Artikel erfahren Sie, wo Sie die Benutzernamen & Kennwörter der zwei Benutzer finden und welches Konto sich für welches Vorhaben am besten eignen.
3.1	4
25.1	5	(% style="color:#000000" %)[[image:Grafik für LDAp.png\|\|height="331" width="622"]]
3.1	6
20.2	7	=== ===
	8
3.2	9	=== (% style="color:#000000" %)__LDAP-Admin Benutzer__(%%) ===
3.1	10
	11
3.2	12	=== (% style="color:#000000" %)__Nutzungsgebiet:__(%%) ===
3.1	13
32.1	14	(% style="color:#000000" %)Der LDAP-Admin Benutzer ist mit äußerster Vorsicht einzusetzen, da dieser einen beinahe uneingeschränkten (Schreib-)Zugriff auf den Inhalt des OpenLDAP-Verzeichnisdienst sowie die Nutzerattribute besitzt. Daher sollte der Benutzer möglichst nur intern durch LogoDIDACT-integrierte Dienste zum Einsatz kommen.
3.1	15
32.1	16	(% style="color:#000000" %)Sollten die Daten des LDAP-Admins in unbefugte Hände gelangen, stellt dies ein massives datenschutz- und sicherheitstechnisches Problem dar. __Von einem externen Gebrauch des Benutzerkontos ist daher strengstens abzuraten!__
3.1	17
	18
14.2	19	==== (% style="color:#000000" %)__Benutzername & Kennwort__(%%) ====
3.1	20
14.2	21	====== ======
	22
25.1	23	====== (% style="color:#000000" %)__Benutzername__(%%) ======
14.2	24
32.1	25	(% style="color:#000000" %)Der Benutzername des LDAP Admins lautet:
3.1	26
3.2	27	{{code language="bash"}}
14.2	28	cn=ldap-admin
3.2	29	{{/code}}
3.1	30
14.2	31	====== ======
3.1	32
25.1	33	====== (% style="color:#000000" %)__Attribute des Benutzernamens__(%%) ======
14.2	34
32.1	35	(% style="color:#000000" %)Die BaseDN als Einstiegspunkt zum LDAP-Verzeichnisdienst kann über ein zusätzliches Programm ausgelesen werden, z.B. über das freie Tool LDAP Admin. In diesem Beispiel lautet die BaseDN {{code language="bash"}}dc=schule,dc=local{{/code}}. Dies kann von Installation zu Installation abweichen und wird durch die intern verwendete DNS Domain bestimmt, hier im Beispiel handelt es sich um den Standardwert.
14.2	36
30.1	37	(% style="color:#000000" %)[[image:1651243652049-471.png]]
14.2	38
	39
32.1	40	(% style="color:#000000" %)In diesem Beispiel ergibt sich der vollständige Benutzername (sogenannter //Distinguished Name// des Benutzerkontos) durch Anfügen der BaseDN:
27.1	41
	42	{{code language="bash"}}
	43	cn=ldap-admin,dc=schule,dc=local
	44	{{/code}}
	45
	46
25.1	47	====== (% style="color:#000000" %)__Kennwort__(%%) ======
14.2	48
3.2	49	(% style="color:#000000" %)Das Kennwort ist im logosrv unter folgendem Pfad einsehbar:
3.1	50
3.2	51	{{code language="bash"}}
	52	root@logosrv:~ # cat /etc/ldap.secret
	53	{{/code}}
3.1	54
32.1	55	(% style="color:#000000" %)Optional kann man das Passwort (sowie die gültige BaseDN als Suffix des Benutzernamens) auch mit folgendem Befehl unter dem Punkt "Credentials" einsehen:
3.1	56
4.1	57	{{code language="bash"}}
	58	root@logosrv:~ # ldconf -o
	59	{{/code}}
	60
	61
3.2	62	=== (% style="color:#000000" %)__LDAP-ReadOnly (ldap-ro) Benutzer__(%%) ===
3.1	63
	64
3.2	65	==== (% style="color:#000000" %)__Nutzungsgebiet:__(%%) ====
3.1	66
14.2	67	(% style="color:#000000" %)Der LDAP-ReadOnly Benutzer ist für die Verwendung von externen Diensten/Anbindungen gedacht.
3.1	68
32.1	69	(% style="color:#000000" %)Mögliche Nutzungsszenarien wären unter anderem die Anbindung von extern gehosteten Webdiensten (z.B. Moodle, WebUntis oder Nextcloud) an die LogoDIDACT-integrierte Benutzerdatenbank über das LDAP-Protokoll.
14.2	70
	71
	72	==== (% style="color:#000000" %)__Benutzername & Passwort:__(%%) ====
3.2	73
8.1	74
25.1	75	====== (% style="color:#000000" %)__Benutzername__(%%) ======
11.1	76
3.2	77	(% style="color:#000000" %)Relevant für den Zugriff von Außen wäre folgender Benutzername:
	78
3.1	79	{{code language="bash"}}
14.2	80	cn=ldap-ro
3.1	81	{{/code}}
	82
32.1	83	====== (% id="cke_bm_979S" style="color:#000000; display:none" %)__ __(%%) ======
3.1	84
25.1	85	====== (% style="color:#000000" %)__Attribute des Benutzernamens__(%%) ======
14.2	86
32.1	87	(% style="color:#000000" %)Die BaseDN als Einstiegspunkt zum LDAP-Verzeichnisdienst kann über ein zusätzliches Programm ausgelesen werden, z.B. über das freie Tool LDAP Admin. In diesem Beispiel lautet die BaseDN {{code language="bash"}}dc=schule,dc=local{{/code}}. Dies kann von Installation zu Installation abweichen und wird durch die intern verwendete DNS Domain bestimmt, hier im Beispiel handelt es sich um den Standardwert.
19.1	88
30.1	89	(% style="color:#000000" %)[[image:1651243652049-471.png]]
14.2	90
	91
32.1	92	(% style="color:#000000" %)Im Unterschied zum vorherigen Benutzer steckt das Konto verschachtelt in der OU //services//. Dadurch ergibt sich nachfolgender, vollständiger Benutzername (sogenannter //Distinguished Name//):
27.1	93
	94	{{code language="bash"}}
32.1	95	cn=ldap-ro,ou=services,dc=schule,dc=local
27.1	96	{{/code}}
	97
	98
25.1	99	====== (% style="color:#000000" %)__Kennwort__(%%) ======
14.2	100
3.2	101	(% style="color:#000000" %)Das Kennwort ist im logosrv unter folgendem Pfad einsehbar:
	102
3.1	103	{{code language="bash"}}
	104	root@logosrv:~ # cat /etc/ldap.ro.secret
	105	{{/code}}
19.2	106
	107
34.1	108	(% style="color:#000000" %)Im Zuge der Anbindung externer Dienste sollte stets darauf geachtet werden, die verschlüsselte Form des LDAP-Protokolls (d.h. LDAPS auf TCP-Port 636) zu verwenden, damit sensible Information wie Benutzer-Zugangsdaten prinzipiell per SSL-Transportverschlüsselung versendet werden.
33.1	109	Zur Nutzung der SSL-Transportverschlüsselung ist es wiederum wichtig, ein gültiges Let's Encrypt Zertifikat zu beantragen, damit die Verbindungssicherheit zwischen zwei Servern gewährleistet werden kann.
19.2	110
33.1	111
	112	... [REV-PROXY LDAPS-Freischaltung mit Let's Encrypt einfügen]...
	113
	114
25.1	115	=== (% style="color:#000000" %)__LDAP Attribute__(%%) ===
19.2	116
	117
21.2	118	(% style="color:#000000" %)Standardmäßig werden folgende Attribute an die externe LDAP Schnittstelle weitergegeben:
19.2	119
	120	{{code language="bash"}}
	121	entry, cn, displayName, gidnumber, givenName, mail, member, memberOf, memberUid, o, objectClass, ou, sn, title, uid, uidnumber, uniqueMember, ldObjectType, ldRole
	122	{{/code}}
21.2	123
	124
25.1	125	(% style="color:#000000" %)Sollen zusätzliche Attribute an die externe Schnittstelle weitergegeben werden, so müssen Sie diese in folgender Datei im Puppeteer Container wie folgt abändern/erstellen:
21.2	126
	127	{{code language="bash"}}
	128	root@puppeteer:~ # vim /etc/logodidact/hiera/custom.d/ldhost.yaml
	129
	130	#Ist die Datei nicht vorhanden bitte wie folgt anpassen (Im Beispiel werden die Attribute ldBirthday & ldGender hinzugefügt):
	131
	132	---
	133	ld_legacy::ldap::ldap_ro_atts:
	134	- ldBirtday
	135	- ldGender
	136	{{/code}}
	137
	138
25.1	139	(% style="color:#000000" %)Danach müssen Sie die Änderungen ins Git übernehmen:
21.2	140
	141	{{code language="bash"}}
	142	root@puppeteer:~ # cd /etc/logodidact/
	143	root@puppeteer:/etc/logodidact # git add .
	144	root@puppeteer:/etc/logodidact # git coomit -am "LDAP Attribute in der ldhost.yaml hinzugefügt"
	145	{{/code}}
	146
24.1	147
25.1	148	(% style="color:#000000" %)Um den Prozess zu beschleunigen bietet sich ein prun im ldhost an. Damit werden die Änderungen sofort an den logosrv weitergeleitet:
24.1	149
21.2	150	{{code language="bash"}}
	151	root@ldhost:~ # prun
	152	{{/code}}
	153
	154
32.1	155	(% style="color:#000000" %)Die angepassten ACL-Änderungen können zur Kontrolle im logosrv in der Konfigurationsdatei slapd.puppet.conf angeschaut werden:
21.2	156
	157	{{code language="bash"}}
	158	root@logosrv:~ # cat /etc/ldap/slapd.puppet.conf
	159	{{/code}}