Ja dann, der befehl hieß, denke ich sophomorix-dump-pg2ldap
oder so ähnlich.
Der konnte bedenkenlos angewandt werden, wenn man dachte, dass ldap nicht das widerspiegelt, was die postgres DB enthält.
Vg, Tobias
Moin!
Wir haben die Anbindung an die niedersächsische Variante der HPI Schul-Cloud mittlerweile produktiv am Start.
Letztenendes habe ich ein Python-Script geschrieben, dass noch einige Änderungen am LDAP-Baum vornimmt. Dabei ging es hauptsächlich um ein Attribut zur Unterscheidung von Benutzerrollen.
Auf einen Vorschlag des Support-Teams verwende ich das Attributr description, es wird in Abhängigkeit des Home-Pfades auf student oder teacher gesetzt. Außerdem werden alle Einträge für die Rechner entfernt, weil sie den Benutzer-Einträgen zu ähnlich waren.
Die Original-Daten werden also aus dem LDAP ausgelesen, umgeschrieben und dann in einem eigenen LDAP-Server für die HPI-Cloud zur Verfügung gestellt.
Damit haben wir jetzt eine stabile Anbindung, bei der Passwörter und die Klassen bzw. Projekte in der Cloud zur Verfügung stehen. 
Hallo Jens.
Das klingt gut! Stellst du das Script zur Verfügung? Wir haben uns auch für die niedersachsen.cloud angemeldet.
Was mich übrigens an der Sache auch interessiert: stellen sie eine Dienst-Email-Adresse zur Verfügung, die dann nach dem Login an der Weboberfläche direkt zur Verfügung steht? Funktioniert dort eine Gruppen-eMail wie 5a@meine-schule.de??
VG
Michael
Da bin ich zu schüchtern zu. 
Bei Bedarf teile ich es gerne - aber dann mit entsprechenden Anmerkungen zum Einsatz.
Meines Wissens nach gibt es eine aktive Unterstützung für Mailverteiler oder Mail-Adressen für Teilnehmende. Für unsere Einträge habe ich eine Fake-Adresse generiert, damit überhaupt etwas hinterlegt werden kann. Laut Dokumentation werden diese Mail-Adressen auch nur für das Zurücksetzen des Passworts verwendet - und das machen wir ja bei einer LDAP-Anbindung auf dem schul-eigenen Server.
Hi,
bei uns hätten jetzt auch einige gerne die Bildungscloud (nicht wegen der Cloud an sich, sondern wegen Bettermarks).
Könnte jemand für v7 die korrekten LDAP Einstellungen hier posten?
Dank + Gruß,
Andreas
Ist da jemand schon weitergekommen?
Das versuche ich auch gerade und stolpere über diese Einstellungen:
Was sollte man da nehmen? Ein Sophomorix-Attribut? Wer kann etwas dazu sagen bzw wer hat den v7-Server bereits mit der cloud verbunden?
{etwas später… }
Ich denke, dass man bei uid den Eintrag cn und bei uuid den Eintrag objectGUID wählen kann, richtig? Danke.
Viele Grüße,
Michael
Ich habe leider unseren Admin-Zugang noch nicht, sonst würde ich mitfrickeln. Ich drücke die Daumen!
Moin!
Für uns und einen 6.0-Server (s.o.) funktionieren diese Einträge:
Grüße,
– Jens
Nochmal eine Rückfrage – die geht aber wieder Richtung AD/LDAP-Struktur des v7-Servers. Ich glaube, dass die Felder unter v6.x anders hießen.
Ich habe heute nochmal versucht, den Zugang zur Niedersachsen-Cloud über eine LDAP-Anbindung an den v7-Server zu regeln. Das hat leider nicht funktioniert und ich glaube, dass es an diesem Feld liegt:
Ich hatte gehofft, dass ich bei „Nutzer-Pfade“ den gleichen Wert angeben kann wie das bei der Anbindung der Nextcloud angegeben ist, also z.B.
(&(objectClass=person)(|(sophomorixRole=teacher)(sophomorixRole=student)))– der Eintrag wird aber nicht akzeptiert mit der Meldung:
"Bitte verwenden Sie das LDAP Pfad Format!"
Daher hatte ich es zunächst einfach mit
objectClass=person versucht, was aber falsch ist.
Daher nochmal die Frage in die Runde: Was muss da rein?
Hat jemand eine gute Idee?
Danke.
Michael
Hi.
Gute Neuigkeiten – zusammen mit dem Support der https://niedersachsen.cloud haben wir die richtigen Einstellungen ermittelt, die man zur Anbindung eines lmn-v7-Servers an die HPI-cloud bzw NBC benötigt. Die notwendigen Einträge sehen so aus:
Verbindung:
ldaps://server.linuxmuster.meine-schule.de:636 (von außen erreichbar und mit gültigem Zertifikat versehen!)
ou=default-school,ou=SCHOOLS,dc=linuxmuster,dc=meine-schule,dc=de
CN=global-binduser,OU=Management,OU=GLOBAL,DC=linuxmuster,DC=meine-schule,DC=de
<secret mit "sophomorix-user -i --user global-binduser" nachsehen>
Nutzer:
OU=Projects;;OU=Students;;OU=Teachers
givenName
sn
mail
cn
objectGUID
Nutzer-Rollen:
memberOf
CN=role-student,OU=Groups,OU=GLOBAL,DC=linuxmuster,DC=meine-schule,DC=de
CN=role-teacher,OU=Groups,OU=GLOBAL,DC=linuxmuster,DC=meine-schule,DC=de
Admin leer lassen (zu viele Rechte!)
Klassen:
??
Zu den Klassen habe ich eine Frage, die ich aber gleich in einen getrennten Beitrag packe.
Ich hoffe, dass das einige verwenden können!
Viele Grüße,
Michael
1 „Gefällt mir“
Probier mal objectClass=group zu verwenden.
Hallo,
bei mir geht es leider mit diesen Einstellungen nicht (auch Linuxmuster 7).
Ich habe als ldap - Basis das hier:
ou=default-school,ou=schools,dc=ohg-netz,dc=llan
Das funktioniert bei Moodle und Nextcloud, bei dir ist es ein Eintrag mehr:
ou=default-school,ou=SCHOOLS,dc=linuxmuster,dc=meine-schule,dc=de
Mir fehlt also die Entsprechung für linuxmuster, wie kann ich herausbekommen, wie das bei uns heißt?
Dank + Gruß,
Andreas
Hi.
Leider ist es bei Anbindung an die (HPI-)Schul-Cloud weiterhin so, dass die Teilnehmer der Gruppen nicht automatisch richtig angezeigt bzw direkt automatisch richtig reingeholt werden. Unter’m Strich heißt das: Auch dort muss man sich seine Klassen und Kurse wieder manuell zusammenklicken – mittelfristig nicht gerade ein Killer-Feature 
Die Ursache liegt „tief“ in der Struktur des AD (wie schon mal hier diskutiert). Warum das so ist, können aber nur die Entwickler beantworten …
Viele Grüße,
Michael
Hallo Michael,
danke für den Hinweis. Bei uns geht es aber GAR NICHT mit dem Ldap. Mir wäre das erst mal egal mit den Klassen, es gibt nur einige wenige KuK, die Bettermarks nutzen wollen. Wir nutzen für 99% aller Sachen sowieso unser eigenes Moodle.
Wenn ich den global-binduser nehme, bekomme ich „falsche Anmeldedaten“ für den Binduser, wenn ich die Einstellungen wie bei Moodle nehme, bekomme ich zwar keine Fehlermeldung, aber beim Testimport auch keine User.
Edit: Ich hab’s nochmal probiert, frag nicht warum, aber jetzt gehts. Seufz. Ich hasse LDAP, aber nun gut!
Danke, wenn du was hörst wegen der Klassen wäre super!
Gruß,
Andreas
Versuche auf dem v7-Server mal: sophomorix-user -iv -u global-binduser – da steht einiges.
Hallo,
das richtige Passwort des global-bindusers
steht in /etc/linuxmuster/.secret/global-binduser
LG
Holger
Hallo Andreas!
Ja, genau deshalb habe ich die Anbindung auch eingerichtet … ist nicht schlecht gemacht, finde ich!
Allerdings finde ich es schon seltsam/schade, dass HPI aus dem Projekt wieder aussteigt – gerade wo es halbwegs angelaufen ist!?
Ich finde die Syntax auch grausam … habe aber in meinem Logbuch mittlerweile einige passende Vorlagen abgespeichert. Damit komme ich dann klar …
Viele Grüße,
Michael
Komisch, jetzt geht es (auch ohne den globalen bind-user, gleiche Daten wie für unser Moodle).
Hab ich wohl irgendwo ein Komma zu viel oder wenig gehabt!
LG
Andreas
PS: Ich dachte, ich hätte das schon gepostet, aber naja …
Die Übernahme durch die Bundesländer empfinde ich eher als positives Signal für eine Verstetigung der Bemühungen. Mal sehen, wie lange sich der Entwicklungsverbund gegen die Lobby-Arbeit der anderen Anbieter behaupten kann.