Global-bindadmin, global-binduser, weitere bind-user

Hi zusammen,
finde weder in sophomorix4 Doku noch in der allgemeinen Doku noch hier konkret die Beschreibung zu global-admin, global-binduser oder anderen bindusern.

Meine konkreten Fragen:

  • worin besteht der Unterschied zwischen global-admin und global-binduser, außer, dass global-binduser nur ro liest und dass sein Passwort im Klartext vorliegt?
  • worin besteht der Unterschied zwischen global-binduser und anderen bindusern, die man nach diesem Muster: Externe Authentifizierung - Moodle — linuxmuster.net 7.1 Dokumentation anlegt?
  • Gibt es eine Möglichkeit binduser RW im AD/LDAP zu geben oder zu nehmen?
  • unterschiedliche binduser anzulegen: ich sehe nur einen Grund das zu tun: wenn man das Passwort von nextcloud-binduser in einer gekaperten Nextcloud-Instanz erhält, hat man dadurch nicht automatisch die Passwörter anderer binduser, die dann vllt. auch schreibrechte nutzen… aber so sinnig erschließt sich selbst das nicht. Ist das also nur Kosmetik und „Ordnung ins Chaos“ bringen?

VG udn vielen Dank,
Tobias

@cweikl, @rettich ,

bezgl. der Dokumentation: wenn ich obige Fragen beantwortet bekomme bzw. selbst beantworten kann, habt ihr was dagegen, die ERstellung eines „-binduser“ in der Moodle + Nextcloud Doku jeweils rauszuziehen?

Mir entgeht momentan noch, warum wirklich ein „-binduser“ sinnig ist für jeden service. Wenn man einfach nur den „global-binduser“ oder einen einzigen externen „service-binduser“ nutzt, würde sich die Doku dahingehend vereinfachen.

Das hängt natürlich auch ein bisschen davon ab, ob der jeweilige Dienst Schreibrechte braucht oder nicht und mir ist noch nicht klar, ob ein „moodle-binduser“ Schreibrechte hat oder nicht, und ob das konfigurabel ist.

VG, Tobias

Hallo Tobias!
Die Idee war tatsächlich für jeden Dienst einen eigenen binduser einzurichten.
Dann kann man für einzelne Dienste den Zugang sperren, das Passwort ändern oder die Berechtigungen ändern ohne alle verbundenen Dienste anfassen zu müssen.
Ich halte das nach wie vor für eine gute und wichtige Option.
Gruß - Rainer

2 „Gefällt mir“

Hi Rainer, danke!
Ok, sehe ich ein: nicht nur Kosmetik, sondern feinere Vergabe von Rechten, bzw. Sperren/Freischalten, verstehe!

Kannst du noch sagen, ob die selbst eingerichteten binduser (wie der global-binduser) auch nur Leserechte im LDAP-Baum haben?
Ich wüsste gar nicht, wie ich das rauskriegen sollte, ohne ein „ldbmodify“ mal zu bemühen… (wofür ich die Syntax wiederum nicht kenne).

Viele Grüße, Tobias

Hallo,
ich hole das Thema nochmal hervor, weil ich auch gerade vor der Frage steh, welche binduser Schreibrechte haben und welche nicht. Vielleicht kann das jemand belastbar beantworten?
VG
Micha