LDAP-Attribut, um NUR die Klassen (ohne Inhalt) zu bekommen?

Hallo.
Ich habe vorhin unseren v7-Server an die niedersächsische Bildungscloud angeschlossen.
Die richtigen LDAP-Einträge stehen hier.

Dabei ist aber eine Frage aufgetaucht: Kann man ein LDAP-Attribut/Pfad abfragen, in dem NUR die Klassen stehen, ohne darunter auch die Mitglieder der Klassen zu haben? Also nur eine Auflistung aller Klassen…
Diese Einstellung wäre in der Bildungscloud notwendig, um direkt auf Klassen zugreifen zu können. Wenn man den „normalen“ Pfad einträgt, werden die Klassen UND die darin befindlichen Schüler NOCHMAL angelegt, was man natürlich nicht haben will.

Hat jemand einen guten Tipp?
Danke,
Michael

Hi Michael,

Ich hab das AD grad nicht vor Augen, aber wenn du in den Filter noch ein objectClass= (und dann die objectClass der Klasse, da musst du ins AD schauen) oder ein (!(objectClass=person)) einträgst, sollte das klappen denke ich.

VG, Dorian

Der notwendige Eintrag sieht so aus:

Da müsste also ein Eintrag rein, der ALLE Namen der Klassen abfragt …

Hallo Michael,

mit Ldapsearch geht das so:

ldapsearch -x -w "geheim123!" -H "ldap://10.0.0.1" -D "cn=global-binduser,ou=Management,ou=global,dc=schule,dc=lan" -b "ou=default-school,ou=schools,dc=schule,dc=lan" "(sophomorixType=adminclass)"

Wenn Du also irgendwo einen Filer angeben kannst, dann wäre sophomorixType=adminclass wohl der richtige.

Hi Michael,

Das sieht schlecht aus, denn es gibt keinen Pfad, der nur Klassen enthält (soweit ich weiß) denn die Klassen Gruppenobjekte (die du ja brauchst) liegen auf der selben Ebene wie die Schüler.
Wenn du keinen Filter angeben kannst, wird das vermutlich nicht gehen, das haben die von der Cloud nicht modular genug implementiert.

VG, Dorian

Ja, das fürchte ich auch – bzw ist es so, dass die Zugänge doppelt angelegt werden, wenn ich bei den Klassen einen Eintrag mache. Dann werden alle Schüler reingeholt und zusätzlich die Klassen, in denen sich die Schüler wiederum befinden…

Dann müsste der LDAP-Zugang auf Seite der Cloud etwas angepasst werden, nehme ich an. Bin gespannt, ob die das machen!?

Davon gehe ich aus, ja. Es würde ja schon reichen, wenn sie an der Stelle einfach die Möglichkeit einbauen, einen Ldap Filter festzulegen, in den du dann sophomorixType=adminClass reinschreiben kannst. Das sollte für die nicht besonders kompliziert sein.

VG, Dorian

Es wurde ein Ticket für diesen Fall erstellt … bin gespannt, ob das zeitnah gelöst wird!

Wenn man ernsthaft mit der bildungscloud arbeiten will, muss man imho auch auf Klassen zugreifen können – ohne alle Schüler einzeln manuell zusammenklicken zu müssen. Zumal die Möglichkeit vom v7-Server ja gegeben ist…

Wäre es auch möglich, dass der LDAP-Baum des v7-Servers ergänzt wird um einen Pfad „Klassen“, in dem sich dann NUR die Klassen(namen) befinden?
Also konkret sowas wie:

cn=5a,ou=klassen,ou=default-school,ou=SCHOOLS,dc=linuxmuster,dc=meine-schule,dc=de

Ich weiß nicht, wie kompliziert sowas wäre – vor allem, wenn das automatisch aktuell gehalten werden muss … wer kann das einschätzen?

Hi Michael,

Das ist vermutlich mit relativ großem Aufwand und vor allem Performanceeinbußen verbunden. Sophomorix müsste da ja bei jedem Update zwei Gruppen pro Klasse pflegen, das heißt alles dauert doppelt so lange…
Aber mehr weiß da sicherlich @jeffbeck
Wurde denn auf das Ticket reagiert?

VG, Dorian

geht nicht so schnell … daher war die Frage, ob es auf der v7-Seite evtl schneller/besser geht … aber wenn du meinst, dass es eher zeitkritischer wird, lassen wir das besser.