LDAP - Authentifizierung extern

Hallo,

ich versuche gerade eine Authentifizierung eines externen Dienstes (hpi schul-cloud) gegen den lm-Server einzurichten, und komme nicht weiter. Die Anleitung findet man hier: https://docs.schul-cloud.org/pages/viewpage.action?pageId=55902270

Ich habe bis jetzt ein signiertes Zertifikat eingerichtet und einen Nutzer, der Lesezugriffe hat. Ich kann von außerhalb mit diesem Nutzer zugreifen (ldapsearch). Auch eine Authentifizierung funktioniert (ldapwhoami) Ich habe in der slapd.conf die IP-Adresse des externen Servers eingetragen. Dürfte aber auch eigentlich nicht notwendig sein, da die Anfrage ja über die ipfire kommt und die darf. Portweiterleitung existiert auch.
Aus der Weboberfläche der hpi schul-cloud heraus, kann ich auch auf den Server zugreifen, allerdings werden keine Nutzer ausgelesen. Folgende Angaben habe ich dort gemacht:

Muss ich irgendwo noch eine Freigabe machen?

Hi.
Du hast alle Schüler in einem Projekt?
Werden denn die Lehrer angezeigt?
Michael

Hallo,
ja, da es keine Gruppe students gibt, habe ich alle Schüler in ein Projekt gepackt. Das klappt auch (z. B. bei nextcloud) Die Lehrer werden auch nicht angezeigt.

Was mich ein wenig wundert ist, dass die Passwörterhashes nicht sichtbar sind, wenn ich ldapsearch aufrufe. Die stehen doch auch im LDAP

Hi.
Bist du sicher, dass ldapsearch und die Webseite über den gleichen Port abfragen?

Ich bin auch in Sachen uidNumber nicht ganz sicher… bin aber auch weit davon entfernt, ein AD/LDAP Experte zu sein… (meistens war es bei mir unter v6.x trial and error bis es lief… und dann wieder vergessen warum… Hilft dir jetzt leider auch nicht wirklich weiter.)

Michael

Ja, bin ich. Ich gebe in beiden Fällen den gleichen Port an. Die uidNumber steht zumindest im LDAP, wird beim search ausgegeben

Warum sieht man die Passwordhashes beim ldapsearch eigentlich nicht. Die stehen doch auch dort drin.

Hallo,
habe jetzt das Problem gefunden:es wird das memberOf Attribut bei den Nutzern benötigt, das die Gruppenzugehörigkeit beinhaltet. Das gibt es in 6.2 nicht, aber offensichtlich in 7.0

Kann ich das in 6.2 irgendwie „nachrüsten“

Danke, Martin

Hallo Martin,

habe jetzt das Problem gefunden:es wird das memberOf Attribut bei den
Nutzern benötigt, das die Gruppenzugehörigkeit beinhaltet. Das gibt es
in 6.2 nicht, aber offensichtlich in 7.0

Kann ich das in 6.2 irgendwie „nachrüsten“

ich weiß nicht wie das gehen könnte und ich nehme an, dass die
Entwickler ihre Arbeit lieber in die lmn7 stecken: das ist nachhaltiger
für uns :frowning:

Also: ich glaube nicht, dass wir da für die 6.2 noch solche Änderungen
vornehmen.

LG

Holger

Hallo,

wie ich lese ist das Laden des Moduls memberOf nicht schwierig. Ich benötige nur ein Benutzer der die config des LDAPs verändern darf, Irgendwas Richtung cn=config. der normal ldap-admin (cn=admin,dc=schule,dc=lokal ) hat nicht die nötigen Rechte.

Besten Dank, Martin

wir hatten damals auch damit experimentiert.

Aus der Erinnerung war folgendes das Problem:

Das modul klinkt sich im slapd in die ldap abfrage ein und updated zuätzlich (zu members der Gruppe) das memberOf attribut des users.

Problem ist, dass ja der ldap aus der postgres Datenbank kommt, (ohne das memberOf attribut).

Ein einklinken nützt da leider nichts.

Ein script könnte das erledigen (members bei gruppen durchgehen, memberOf bei user schreiben). Es sollte dann als cronjob laufen.

Aber Holger hat Recht. Nachhaltiger ist es, die Zeit in die 7er zu stecken.

LG, Rüdiger