LDAP Anbindung PeerTube lmn 6.2

baumhof · 26. September 2020 um 13:27

Hallo,

und noch eine LDAP Anfrage (HaHa, Wortwitz)

Ich will die Einstellungen in PeerTube machen um das an die lmn 6.2 an zu binden.
Für eine lmn 7 muss das so aussehen:

URL ldaps://server.meine.domain.de
Insecure TLS (gesetzt)
Bind DN CN=global-binduser,OU=Management,OU=GLOBAL,DC=lmndev,DC=de
Bind Passwort GeHeim
Search base OU=teachers,OU=default-school,OU=SCHOOLS,DC=lmndev,DC=de
Search filter (|(mail={{username}})(sAMAccountName={{username}}))
Mail property mail
Username property sAMAccountName

Ich brauch das aber für eine lmn 6.2
Der Weg zum LDAP ist frei.
Mache ich diese Anfrage vom PeerTube Server aus:

ldapsearch -x -W -H "ldaps://193.197.84.69" -D "uid=binduser,ou=accounts,dc=linuxmuster,dc=local" -b "ou=accounts,dc=linuxmuster,dc=local" "(|(mail={{username}})(uid={{username}}))"

kommt raus:

Enter LDAP Password: 
# extended LDIF
#
# LDAPv3
# base <ou=accounts,dc=linuxmuster,dc=local> with scope subtree
# filter: (|(mail={{username}})(uid={{username}}))
# requesting: ALL
#

# search result
search: 2
result: 0 Success

# numResponses: 1

Es werden also keine User gefunden, auch wenn ich am Ende in der Abfrage statt username mein Loginkürzel eintrage (oder das eines anderen Nutzers).

Ich habe eingestellt:

URL ldaps://server.meine.domain.de
Insecure TLS (gesetzt)
Bind DN uid=binduser,ou=accounts,dc=linuxmuster,dc=local
Bind Passwort GeHeim
Search base ou=accounts,dc=linuxmuster,dc=local
Search filter (|(mail={{username}})(uid={{username}}))
Mail property mail
Username property uid

Was muss da rein?
So kommt beim Anmeldeversuch „Falscher Benutzername oder falsches Passwort“

LG

Holger

jrichter · 27. September 2020 um 01:18

Hallo Holger,

das {{username}} ist garantiert ein Platzhalter für den eingegebenen Usernamen. Du musst also sowas versuchen (ohne die geschweiften Klammern):

ldapsearch -x -W -H "ldaps://193.197.84.69" -D "uid=binduser,ou=accounts,dc=linuxmuster,dc=local" -b "ou=accounts,dc=linuxmuster,dc=local" "(|(mail=baumhof)(uid=baumhof))"

So klappt das bei meiner 6.2. Du kannst bei -D auch mal Deinen Account nehmen, dann siehst Du, ob es mit Deinem Passwort klappt.

Dass da auch das Attribut mail abgefragt wird, soll offenbar ermöglichen, dass man bei der Anmeldung als Usernamen auch seine Mailadresse eingeben kann.

Ansonsten sehen Deine Einstellungen für mich korrekt aus.

Beste Grüße

Jörg

baumhof · 27. September 2020 um 07:10

Hallo Jörg,

vielen Dank für den Hinweis.
Inzwischen bin ich ein wenig weiter: ich kann die LDAP Anfrage vom Host
aus starten: aber aus dem docker heraus erreiche ich den LDAP nicht …
Ursache unklar
Ich werde das ganze wohl nochmal neu installieren

LG

Holger

baumhof · 27. September 2020 um 21:15

Hallo,

der Vollständigkeit halber: ich habe das Problem mit Jeskos Hilfe
gefunden und „umgangen“.
Es ist uns nicht gelungen PeerTube zu überreden mit einem
selbstsignierten LDAP zu reden, obwohl es den Kasten Insecure TLS gibt
… der wird aber wohl von authplugin ignoriert (nunja, es ist Version
0.0.3 … da kommt sowas vor).

Ich hatte es am Ende geschafft, dass der ldapsearch Befehl aus dem dock
des peertube heraus funktionierte … aber halt nicht in der Webseite.

Wir haben es so gelößt: wir haben den ldap mit dem sowiso vorhandenen
letsencrypt cert auf dem ldap server signiert … jetzt geht es.

LG

Holger

Tobias · 13. Dezember 2020 um 16:26

Hallo Holger,

ich wurde im BBB-Forum jetzt hierhin erwiesen, wie lustig.
Ich habe Version auth-ldap 0.0.7 und da macht ein Insecure TLS keine Probleme.

Nur zur Info, als Docker-VErsion funkt das auch ganz gut.

VG, Tobias

Tobias · 13. Dezember 2020 um 16:27

Aber ein paar Fragen können nicht schaden. Ich cross-poste mal hier:

Daher habe ich auch noch keine Antworten auf folgende Fragen, die sich hier ergeben, parat:

installiere ich das in der Schule oder extern? Wie entscheidend ist die dabei die Bandbreitenanbindung der Schule?

Wer es extern installiert, hat sicher Vorteile beim Fernunterricht, wenn die Schüler zu Hause sind, muss aber datenschutzrechtlich die VErarbeitung evtl. personenbezogener Daten auf externen Servern beachten. (z.B: wenn Schüler Lernvideos erstellen und hochladen…)
Wenn ich es in der Schule installiere, brauche ich Speicherplatz, Bandbreite nach außen (upload), muss mich aber nicht um externe Datenverarbeitung kümmern und wenn alle Schüler intern sitzen, schafft das WLAN dann die Bandbreite mehrere Schulklassen mit Videostreaming zu versorgen?

wie installiere ich?

Ich bin im Moment ein „docker“-Fan, d.h. ich installiere in der Schule so einen Service über einen docker-container, damit muss ich mich bei verschieden gelagerten Problemen nur einmal um die Bereitstellung kümmern. Damit meine ich: SSL-Zertifikat, Erreichbarkeit von außen (Firewall), update-strategie
Andererseits gibt es evtl. auch eine 20 min. Anleitung das auf einem Hetzner-Server mit SSL und Namensauflösung zu installieren, so dass man sich nicht ein paar mehr Stunden mit docker auseinandersetzen muss.

nice

Wenn ich richtig sehe, wird es bei einem update von peertube irgendwann auch eine „Live“ Funktion geben, so dass ein Corona-Live-Aid Konzert nicht mehr in ganz so weiter Ferne liegt…

VG, Tobias

Tobias · 20. Dezember 2020 um 11:44

Hier nochmal die Frage, vllt. @baumhof ?

Wie installiere ich peertube am besten?

Intern: traffik nach zu Hause muss über die upload-Bandbreite
Extern: Traffik in die Schule muss über die download-Bandbreite

intern im grünen Netz (wo vermutlich keine BYOD Geräte sind, vorteil für die vorinstallierten Rechner, Traffik von BYOD muss über die Firewall)
intern im orangenen Netz (wo vermutlich die BYOD Geräte sind, Traffik von Grünen muss über die Firewall)
intern im roten Netz (wäre bei mir so, weil das WLAN bei mir im roten Netz ist, Traffik muss über den externen Router)
extern gehostet

Jetzt in der Coronazeit wird ein Streaming nach draußen wichtig sein. Aber für die Zukunft ist das Hausintern vermutlich überwiegend - oder das hängt tatsächlich von der didaktischen Nutzung ab: wenn jemand flipped-classroom macht, macht extern mehr Sinn…

Zudem frage ich mich — wenn ich es intern installiere — ob ich mich darum bemühen soll den Peertube ins selbe Netz wie das WLAN stelle, um Umwege über den Belwue-Router zu vermeiden. Das muss ich mit meiner Stadt dann klären.

VG, Tobias

baumhof · 20. Dezember 2020 um 16:00

Hallo Tobias,

kommt auf deine Anbindung an.
Für mich war klar: das Ding kommt auf meinen KVM Host in der
Einrichtung: aber die ist auch Dick angebunden (1GBit/s synchron).
Wenn dein Upload schmal ist, dann macht ein externer Server Sinn, da der
upload normalerweise deutlich unter dem Donwload ligt: ein Download in
die SChule also weniger problematisch ist.

LG

Holger