LDAP an WebUntis

Hallo zusammen,

ich verbinde gerade unser WebUntis it unserer lmn7.2.
Hat da Jemand Erfahrung?
Ich hab jetzt auf Anhieb nicht die Stelle gefunden, wo ich in der LDAP EInstellung in WebUntis sage, dass es die UID, die ich aus ASV in den LDAP unter sophomorixUnid extra importiert habe, findet.

Ebenfalls etwas seltsam ist die Rollenidentifizierung:
da sage ich ihm also Distinguished Name und dann als
LDAP Personenrolle Attribut: sophomorixRole
Dann müssen unten bei den Personenrollen eben nicht Lehrer und Schüler drin stehen, sondern teacher und student

Aber die wichtigste Frage ist für mich derzeit:
mache ich zuerst den csv Import der user aus ASV, damit alle schon mal angelegt sind?
Oder mache ich erst die Anbindung an LDAP und importiere dann die csv aus ASV?
Ich würde dann auch das „unbekannte user anlegen“ abstellen, damit niemand rein kommt, den ich nicht per import reingeholt habe (ist bei uns etwas schwierig, weil wir ja auch Realschullehrer und Schüler im selben LDAP haben).

LG

Holger

die Benutzer und die Stammdaten sind erstmal 2 getrennte Dinge.
Daher spielt es keine Rolle in welcher Reihenfolge du es machst. Erst CSV oder erst LDAP Anbindung.*

Webunits empfiehlt ganz klar die Zuordnung der Schülerbenutzer zu den Schuelerstammdaten über die ASV-ID zu machen.
„Unbekannte User erzeugen“ abstellen ist in sofern eine gute Sache, dass die Nutzer nur dann rein kommen wenn die Zuordnung Benutzer zu Stammdatenelement erfolgreich war. Wenn nämlich diese Zuordnung nicht stimmt und er trotzdem einloggen, sieht der Schueler nicht seinen individuellen Stundenplan.

Wenn du die “unbekannte user erstellen” deaktiviert hast, musst du tatsächlich erst die Stammdaten einlesen per csv. dann kann man die Benutzer Elemente anhand der Stammdaten generieren lassen. der login klappt dann aber nur, wenn die Zuordnung passt beim einloggen (vgl. Personenidentifizierung)

Zu den rollenbezogenen Einstellungen
Das sollte bei den Schülern so aussehen:
Personenrolle Schueler (siehe Anleitung, Teil der dn)
Personenidentifizierzung über Einzelattribut
LDAP ID Attribute …. da sollte jetzt der LDAP Attribut stehen wo du die ASV-ID eingelesen hast
Element Daten ID Feld externKey (Das ist in der Webuntis Datenbank der Eintrag für externe Schlüssel, wo du ebenfalls die ASV-ID eingelesen hast)

und wie due die Lehrerzuordnung machst musst du selbst entscheiden. Da es viel weniger Lehrer als Schueler sind und die sich ja nicht ändern, ginge es im Notfall sogar manuell.

Zum Testen der LDAP Anbindung wuerde ich “unbekannte Benutzer erstellen” erstmal erlauben. Dann siehst du was passiert bei den Benutzern.

Der Hintergrund wieso man die ASV-ID zur Zuordnung verwenden sollte ist,
dass uid zwar innerhalb eines Schuljahres eindeutig ist, aber nicht über Schuljahre hinweg. Und die Stammdaten in Webunits bleiben über die Schuljahre hinweg fortbestehen.

siehe auch https://help.untis.at/hc/de/articles/360015069699

Hallo sucher,

super: vielen Dank.
Das erhellt es für mich.
Dass ich die ASV ID nehme war schon klar. Dass die in externkey steckt hatte ich vermutet.

Viele Grüße

Holger

Hallo Holger,

wir verwenden zwar keine IDs aus historischen Gründen, aber vielleicht hilft Dir eine Grafik des Settings mit Anmerkungen, die ich früher mal eingestellt habe (für LMN v6). Ist zwar schon älter, aber läuft bei uns prinzipiell immer noch so mit der LMN 7.1:

Hier das aktuelle Setting:

Beste Wünsche!

Stefan

Hallo,

Ende der Ferien, und schon sitze ich wieder an WebUntis.
Klappt natürlich nicht: ist schon klar.
Inzwischen komme ich so weit, dass ich beim Testen (Knopf unter den Einstellungen) mich mit Lehrer und Schüleraccounts einloggen kann: er spuckt mir dann Daten aus, die er aus dem LDAP lesen kann. Anmelden an der Loginmaske geht natürlich trotzdem nicht (wo hab ich hingedacht… der Test klappt? … egal, du kommst trotzdem nicht rein).

Hier ist ein Bild der Einstellungen:

und hier die Ausgabe nach dem Test (annonymisiert):

ldap connection is ok: CN=global-binduser,OU=Management,OU=GLOBAL,DC=MEINE,DC=DOMAIN
found cn=NUTZERNAME,ou=5a,ou=Students,ou=default-school,ou=SCHOOLS,dc=MEINE,dc=DOMAIN
mail: NUTZERNAME@MEINE.DOMAIN
uSNCreated: 236681
badPwdCount: 0
countryCode: 0
sophomorixWebuiPermissionsCalculated
>lm:crontab:read: false
>lm:crontab:write: false
>lm:devices: false
>lm:devices:import: false
>lm:docker:change: false
>lm:docker:list: false
>lm:globalsettings: false
>lm:linbo:configs: false
>lm:linbo:examples: false
>lm:linbo:icons: false
>lm:linbo:images: false
>lm:quotas:apply: false
>lm:quotas:configure: false
>lm:quotas:ldap-search: false
>lm:samba_dns:read: false
>lm:samba_dns:write: false
>lm:schoolsettings: false
>lm:sync:list: false
>lm:sync:online: false
>lm:sync:sync: false
>lm:users:apply: false
>lm:users:check: false
>lm:users:customfields:read: true
>lm:users:customfields:write: true
>lm:users:globaladmins:create: false
>lm:users:passwords: false
>lm:users:schooladmins:create: false
>lm:users:teachers:read: false
>lmn:clients:config: false
>lmn:groupmembership: false
>lmn:groupmemberships:write: false
>sidebar:view:/view/dashboard: false
>sidebar:view:/view/lmn/crontab: false
>sidebar:view:/view/lmn/devices: false
>sidebar:view:/view/lmn/dhcp: false
>sidebar:view:/view/lmn/docker: false
>sidebar:view:/view/lmn/globalsettings: false
>sidebar:view:/view/lmn/groupmembership: false
>sidebar:view:/view/lmn/home: true
>sidebar:view:/view/lmn/DOMAINdingpage: true
>sidebar:view:/view/lmn/linbo4: false
>sidebar:view:/view/lmn/linbo_sync: false
>sidebar:view:/view/lmn/links: false
>sidebar:view:/view/lmn/nextcloud: false
>sidebar:view:/view/lmn/oldsession: false
>sidebar:view:/view/lmn/quotas: false
>sidebar:view:/view/lmn/samba_dns: false
>sidebar:view:/view/lmn/schoolsettings: false
>sidebar:view:/view/lmn/session: false
>sidebar:view:/view/lmn/sessionsList: false
>sidebar:view:/view/lmn/users/globaladmins: false
>sidebar:view:/view/lmn/users/listmanagement: false
>sidebar:view:/view/lmn/users/print-passwords: false
>sidebar:view:/view/lmn/users/schooladmins: false
>sidebar:view:/view/lmn/users/students: false
>sidebar:view:/view/lmn/users/teachers: false
>sidebar:view:/view/lmn/websession: false
>sidebar:view:/view/lmn_clients: false
homeDrive: H:
objectClass
>top
>person
>organizationalPerson
>user
sophomorixWebuiDashboard: ---
givenName: Retal Ali Abdulridha
objectSid: �����!w~wy� 
userAccountControl: 66048
sophomorixMailQuota: ---:---:
codePage: 0
sophomorixAdminFile: students.csv
sAMAccountType: 805306368
userPrincipalName: NUTZERNAME@MEINE.DOMAIN
pwdLastSet: 133355447491403130
name: NUTZERNAME
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=MEINE,DC=DOMAIN
lastLogoff: 0
memberOf
>CN=role-student,OU=Groups,OU=GLOBAL,DC=MEINE,DC=DOMAIN
>CN=5a,OU=5a,OU=Students,OU=default-school,OU=SCHOOLS,DC=MEINE,DC=DOMAIN
>CN=internet,OU=Management,OU=default-school,OU=SCHOOLS,DC=MEINE,DC=DOMAIN
>CN=webfilter,OU=Management,OU=default-school,OU=SCHOOLS,DC=MEINE,DC=DOMAIN
>CN=intranet,OU=Management,OU=default-school,OU=SCHOOLS,DC=MEINE,DC=DOMAIN
>CN=printing,OU=Management,OU=default-school,OU=SCHOOLS,DC=MEINE,DC=DOMAIN
sophomorixCloudQuotaCalculated: ---
logonCount: 4
uSNChanged: 244906
sophomorixTolerationDate: 19700101000000.0Z
sophomorixQuota
>linuxmuster-global:---:---:new:---:
>default-school:---:---:new:---:
sophomorixRole: student
whenChanged: 20230904094514.0Z
sophomorixUnid: 111111111-86b57b6b-0186-11111111-1111
primaryGroupID: 513
sophomorixStatus: U
homeDirectory: \\server\default-school\students\5a\NUTZERNAME
objectGUID: ����;�N�I�Q8Q�^
instanceType: 4
whenCreated: 20230803135909.0Z
sn: NUTZER
sophomorixFirstnameInitial: 
lastLogonTimestamp: 133382943146356210
sophomorixSurnameASCII: Al-Daffaie
sophomorixComment: created by sophomorix
sophomorixExamMode: ---
sophomorixSchoolPrefix: ---
unixHomeDirectory: /srv/samba/schools/default-school/students/5a/NUTZERNAME
cn: NUTZERNAME
sophomorixExitAdminClass: unknown
sophomorixAdminClass: 5a
sophomorixBirthdate: 17.09.2012
accountExpires: 0
sAMAccountName: NUTZERNAME
sophomorixUserToken: ---
sophomorixSurnameInitial: A.-D.
sophomorixCreationDate: 20230803155844.0Z
displayName: vollstaendiger NUTZERNAME
lastLogon: 133382943150211510
sophomorixMailQuotaCalculated: 1
sophomorixSchoolname: default-school
distinguishedName: CN=NUTZERNAME,OU=5a,OU=Students,OU=default-school,OU=SCHOOLS,DC=MEINE,DC=DOMAIN
sophomorixFirstnameASCII: nochmal NUTZERNAME
sophomorixDeactivationDate: 19700101000000.0Z
sophomorixIntrinsic2: students/5a/NUTZERNAME

kann mir Jemand helfen?

… bei Lehrern steht noch eine Zeile extra drunter (unter der Ausgabe beim Test):

error: ERR_UNIDENTIFIED_PERSON

Dieser Lehrer hat aber, genau wie der Schüler, die ID aus ASV im LDAP hinterlegt (als sophomorixUNID).

LG

Holger

Benutzer anlegen nach erfolgreicher Anmeldung? Das hab ich bei mir angeklickt, denn die Nutzer gibts ja so erstmal nicht.

Wie schon mal gesagt.
Fuer den ersten test in den ldap einstellubgen anklicken dass benutzer dynamisch erzzeugt werden. Dann kommst sicher rein, siehst aber net den stundenplan.
Wenn du die benutzer anschaust kannst du in dem benutzerobjekt anschauen ob ein passendes stammdatenobjekt zugeordnet ist.

Ausserdem gibt es eine uebersichtsseite wo du siehst wieviele benutzeraccounts verwaist sind und mjt einem klick kannst su die benutzer accts anlegen

Hallo,

… habs inzwischen mit einem Kollegen zusammen hinbekommen.

Es fehlte tatsächlich der Haken bei „Benutzer anlegen“.
Der Hintergrund ist nciht so einfach ersichtlich:
LDAP Anmeldung geht nur, wenn es den Benutzer gibt (sagt so aber niemand).
Wenn er in den Stammdaten existiert, reicht das nicht: es muss ihn „als
Nutzer“ geben. Deswegen ist der Haken erforderlich.
Im Hintergrund läuft das wohl so:

  1. Anmelden mit Benutzername und Passwort
  2. Element wird aus dem LDAP geholt und ein Atribut (bei mir
    sophomorixUNID) verglichen mit einem Element aus den Stammdaten (bei mir
    externKey)
  3. wenns paßt, dann paßt es: der Benutzer wird erkannt und alles
    relevante angezeigt (für den Nutzer).

Bei den Schülern geht es, weil externamKey mit der UID aus ASV befüllt
ist und bei mir im LDAP das Feld sophomorixUNID auch.

Bei den Lehrern ist das wohl anders.
Die wurden nicht (und sollen wohl auch nicht) importiert.
Und da steht bei uns der letzte Mist drin.
Bei vielen Lehrern steht unter „Familienname“ nur der Nachname. Das Feld
„Vorname“ ist bei allen leer.
Bei etlichen Lehrern steht im Feld Familienname:
NACHNAME, VORNAME
… da gibt es nix, was ich abgleichen kann…
Da müssen jetzt unsere Untis Leute ran und „sauber“ machen.
Gerade wird getestet, dass man einfach ins letzte Feld „Text“ die UID
aus ASV rein schreibt… sollte klappen …

LG

Holger

1 „Gefällt mir“

Hallo Holger,

wir stellen jetzt gerade um, so dass die LMN-Schüler-Accounts im WebUntis den WebUntis-Nutzern per ASV-ID zugeordnet werden sollen. Daher würden mir einige hinweise helfen.

Ich lege die Schüler in der Schulkonsole also so an, wie in der offiziellen LMN-Doku beschrieben:
Klasse;Nachname;Vorname;Geburtsdatum;Nr;
Wobei „Nr“ dann die ASV-ID enthält.

Machst ihr das auch so?
Ist die ASV-ID dann im LDAP-Attribut „sophomorixUNID“??? Oder wo ist das dann im LDAP?


Funktioniert die Rollenidentifzierung (teachers / students) zuverlässig über
LDAP Personenrolle Attribut: spohomorixRole ?


Wie ordnet ihr die einzelnen Lehrer zu?
Wir machen das z.Zt. noch über den Abgleich von
LDAP ID Attribute: sAMAccountName
mit
Elementdaten ID Feld: Kurzname (enthält das Kürzel - also den LMN-benutzernamen)

Beste Wünsche,
Stefan


PS: Hier die noch produktiven Einstellungen - also ohne ASV-ID - mit der Zuordnung über den Pfad der Homeverzeichnisse der LMN-Nutzer (alle Klassen beginnen bei uns mit „k“). Vielleicht braucht man das auch mal wieder:

LDAP Server URL
ldaps://SERVER-URL:636

LDAP Benutzer
cn=BINDUSER-NAME,OU=Management,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan

Userfilter
(&(objectClass=user)((sAMAccountname={0})(!(sophomorixAdminClass=AUSGESPERRTEKLASSE-NAME)))

BaseDn für Benutzersuche
OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan

LDAP Mail Attribut
mail

Hallo Stefan,

… sorry: Ende vom Schuljahr … viel los.
Deswegen erst jetzt.

  1. ASV ID: ich habe sie einfach in der students.csv und der teachers.csv an die anderen Spalten angehängt.
    Also:
    KLASSE;NACHNAME;VORNAME;GebDatum;ASVID
    bei Schuelern.
    und bei Lehrern:
    teachers;Baumhof;Holger;01.01.1992;baumhof;12a34567-655c6222-0165-7c7b7g7d-8888

Danach ein
sophomorix-check
und dann ein
sophomorix-update
schon steht das bei allen drin.

Dabei macht es nichts, wenn es user gibt, die keien ID drin stehen haben.
Bei mir ist das bei der Hälfte der Lehrer der Fall, weil ich die ASV ID der Realschullehrer nicht habe: macht aber nix.

Wie das dann in WebuntisLDAP Modul aussieht, siehst du hier:

Es kann sein, dass mein Kollege die Lehrer auch noch irgendwie anders angelegt hatte: zumindest einzelne …

Ich hoffe, dass dir das hilft :slight_smile:
LG

Holger

PS: bei der LDAP Server URL steht bei mir kein Port dahinter.
Die URL ist aber nicht die meines lmn Servers, sondern die des LDAP Proxys, damit ich ein gültiges Zert habe …

1 „Gefällt mir“

Hallo Holger,

Danke für die Infos - das hilft uns bestimmt weiter!

Beste Wünsche für die letzten Schultage!
Stefan

1 „Gefällt mir“