HPI schul-cloud: Anbindung per LDAP

Server
1

Moin,

in Niedersachsen soll ja nun mit der „niedersächsichen Bildungscloud (NBC)“ die lokale Variante der HPI-schul-cloud eingeführt werden. Im Kurs zur Anbindung externer LDAP-Server werden die Anforderungen an die Struktur genannt und für die Benutzer passt das auch ganz gut.

Leider gibt es bei den Klassen ein Problem. Die NBC wird vermutlich ein eine OU erwarten, in der nur Klassen drin sind - das wäre dann wohl die ou=groups,dc=… und passt soweit. Problematisch wird es vielleicht, wenn die Einträge folgende Attribute haben sollen:

Eine Klasse benötigt folgende Attribute (Tipp - ObjectClass: groupOfUniqueNames):

  • description (Anzeigenamen) (nicht veränderbar und notwendig)
  • uniqueMember (Einträge der User als LDAP-Pfade, die zur Klasse gehören)

Ich habe in unserem LDAP-Baum danach gesucht und nichts gefunden, die Gruppenzugehörigkeit ist über memberUid-Einträge definiert und die Gruppen haben keine Beschreibung.

Gibt es Ideen, wie man diese Hürde nehmen könnte?

Für Lösungsansätze wäre ich dankbar.
Jens

2

Hi Jens,

erste Lösung: Beschweren. KAnn doch nicht sein, dass… usw.

zweite Lösung: lmn v7. Netterweise macht die das so wie die NBC das will und ich glaube das liegt daran, dass die v7 eher einem AD von Microsoft ähnelt als einem irgendeinem (aber auch validem) LDAP:

# LDAPTLS_REQCERT=ALLOW ldapsearch -H ldaps://server.linuxmuster.meine-schule.de:636 -D global-binduser@linuxmuster -b "DC=linuxmuster,DC=meine-schule,DC=de" -x -W  cn=biberklasse  | egrep 'member|description'
Enter LDAP Password: 
memberOf: CN=students,OU=Students,OU=default-school,OU=SCHOOLS,DC=linuxmuster,
memberOf: CN=p_schueler,OU=Projects,OU=default-school,OU=SCHOOLS,DC=linuxmuste
description: biberklasse migrated
member: CN=biber,OU=biberklasse,OU=Students,OU=default-school,OU=SCHOOLS,DC=li
member: CN=girls,OU=biberklasse,OU=Students,OU=default-school,OU=SCHOOLS,DC=li
member: CN=kuechel,OU=Teachers,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=
member: CN=schuelte,OU=biberklasse,OU=Students,OU=default-school,OU=SCHOOLS,DC
member: CN=taste,OU=biberklasse,OU=Students,OU=default-school,OU=SCHOOLS,DC=li

die CNs sind abgeschnitten, aber you get the picture…

Sind die wenigstens so flexibel, dass der Eintrag auch „member“ heißen kann, dann hast du deine Lösung.
Statt „description“ wäre „name“ dann vermutlich besser (weil dort auch nur „biberklasse“ steht)

VG, Tobias

3

Moin Tobias,

danke für die Antwort und die Lösungsansätze.

Auf die lmn v7 zu gehen ist jetzt keine Option. Aber wenn es mal so sein sollte, weiß ich Bescheid.

„Beschweren“ werde ich mich natürlich auch - mal sehen wie das endet. Für die Mit-Niedersachsen hier im Forum kann ich dann ja berichten.

4

Lesezeichen ist gesetzt!

Es ist halt die Frage, ob die Cloud dann auch Inhalte bietet, oder ob es eine reine Plattform ist. Im letzteren Fall bietet das gegenüber unserem selbst gehosteten Moodle wohl eher keine Vorteile (nur Nachteile). Es soll wohl noch ein Big Blue Button enthalten sein, wenn der richtig skaliert, wäre das auch noch attraktiv.

5

… was die HPI-Schul-Cloud (angeblich?) alles so kann und was nicht, haben Prof. Dr. Meinel und Jan Renz schon vor längerer Zeit in einem Podcast dargestellt:
hier: https://podcast.hpi.de/?name=2019-08-06_neuland_ep16.mp3

6

Und es ist super, dass wir die nächste Plattform entwickeln. Nehmen, was da ist und es mit allen Ressourcen verbessern - das geht nicht in die Köpfe der Entscheider.

Wobei die vom HPI das ja eher als Moodle durchaus freundlich gegenüberstehendes Forschungsprojekt sahen, um zu schauen, wie man „anders als Moodle“ herangehen kann.

Und trotzdem… ob es das ist, was jetzt alle brauchen…

Ich bin auf Testberichte gespannt. Und wenn ich mal viel, viel Zeit habe, schaue ich es mir auch mal an.

Viele Grüße
Thomas

7

Moin zusammen,

aus Anfang Mai in der Ankündigung von der Behörde ist mittlerweile Mitte Juni geworden…

Nächste Woche soll die Anbindung realisiert werden und bei der Vorbereitung ist mir noch eine Sache aufgefallen:

Mir fehlt noch ein Benutzer für die Abfrage, in anderen Threads wurde das als Bindnutzer bezeichnet. Aber: Wie lege ich diesen Benutzer an? Ich könnte natürlich einfach eine Schüleraccount in extraschueler.txt einrichten, aber ist das der „richtige“ Weg?

8

Hallo Jens,

Mir fehlt noch ein Benutzer für die Abfrage, in anderen Threads wurde
das als Bindnutzer bezeichnet. Aber: Wie lege ich diesen Benutzer an?
Ich könnte natürlich einfach eine Schüleraccount in extraschueler.txt
einrichten, aber ist das der „richtige“ Weg?

in der lmn7 gibt es den bindnutzer global-bind

Seine Credentials findest du in der /etc/linuxmuster/.secret/

LG

Holger

9

Hallo Holger,

danke für den Hinweis. Und wenn ich noch die Version 6 im Einsatz habe? :slight_smile:

– Jens

10

Hallo Jens,

danke für den Hinweis. Und wenn ich noch die Version 6 im Einsatz habe?
:slight_smile:

… na schnell updaten :slight_smile: … Spass…

Da hab ich es damals so gemacht wie du vorgeschlagen hast; einen
dummynutzer angelegt und den verwendet.
Es sollte ein „Extraschüler“ reichen. Ich hatte einen in der 5e (wir
haben nur 5 a-d)

LG

Holger

11

Hallo Holger.

… na schnell updaten :slight_smile: … Spass…

Fast hätte ich den Vorschlag ernst genommen. :wink:

… Extraschüler …

Gut, das werde ich dann erstmal so machen.

Danke für die Unterstützung!

– Jens

12

Hi @jens.kuespert,

Ich wäre auch auf Berichte aus der hpi-schul-cloud gespannt:

  • ist das so opensource, dass mann/frau es auch selbst installieren kann, oder kriegt man das nur SAAS, weil keiner deren github-quellen versteht?
  • was kann sie?
  • wie ergänzt sie die LMN ?

Wenn in BW eines Tages an einer Schule, die kein LMS hat, die Entscheidung ansteht, was geht, dann werden wir selbst gut informiert sein müssen und wissen müssen, was mit der lmn gut kann und was nicht…
Vg, Tobias

13

Moin @Tobias

Ich werde berichten…
– Jens

14

Ich würde berichten, wenn ich nicht folgendes Problem hätte:

Sobald ich das generierte Passwort des Abfragebenutzers durch ein komplexeres (länger als sechs Zeichen) Passwort ersetze, sagt ldapsearch:
ldap_bind: Invalid credentials (49)

Über die Schulkonsole kann ich mich aber mit diesem Passwort anmelden.

Gibt es dazu Ideen in der Runde?
– Jens

15

evtl. seltsame Zeichen, teste mal so einfache wie mögliche (Muster!)

16

Habe ich bereits. Interessant dabei: Wenn ich das Passwort über sophomorix-reset auf den Anfangswert gesetzt habe, so kann sich der betreffende Benutzer nicht mehr authentifizieren.

Gibt es die Notwendigkeit noch eine Synchronisation mit LDAP durchzuführen?
– Jens

17

Das glaube ich mit ziemlicher Sicherheit nicht. Da war so was in der lmn6, aber in der lmn7 wird direkt mit sophomorix der AD = das LDAP behandelt.

Poste mal deinen ldapsearch befehl?

VG, Tobias

18

:slight_smile: Ich setze produktiv noch die Version 6 ein.
– Jens

19

Ja dann, der befehl hieß, denke ich sophomorix-dump-pg2ldap

oder so ähnlich.
Der konnte bedenkenlos angewandt werden, wenn man dachte, dass ldap nicht das widerspiegelt, was die postgres DB enthält.

Vg, Tobias

20

Moin!

Wir haben die Anbindung an die niedersächsische Variante der HPI Schul-Cloud mittlerweile produktiv am Start.

Letztenendes habe ich ein Python-Script geschrieben, dass noch einige Änderungen am LDAP-Baum vornimmt. Dabei ging es hauptsächlich um ein Attribut zur Unterscheidung von Benutzerrollen.

Auf einen Vorschlag des Support-Teams verwende ich das Attributr description, es wird in Abhängigkeit des Home-Pfades auf student oder teacher gesetzt. Außerdem werden alle Einträge für die Rechner entfernt, weil sie den Benutzer-Einträgen zu ähnlich waren.

Die Original-Daten werden also aus dem LDAP ausgelesen, umgeschrieben und dann in einem eigenen LDAP-Server für die HPI-Cloud zur Verfügung gestellt.

Damit haben wir jetzt eine stabile Anbindung, bei der Passwörter und die Klassen bzw. Projekte in der Cloud zur Verfügung stehen. :slight_smile: