LDAP Nachhilfe benötigt ;-)

crazy-to-bike · 4. Januar 2019 um 12:29

Hallo,

eigentlich OT, und daher vielleicht besser in der Kategorie OT aufgehoben?? …

… weil’s kein LMN-Server ist, aber ich hoffe, ihr könnt mir doch helfen

LDAP ist noch ein eher blinder Fleck auf meiner Landkarte, komme daher trotz Versuch über Beschäftigung mit ldapsearch nicht weiter beim Versuch, mit einem LDAP-Server Kontakt aufzunehmen. Da es mit dem Moodle-LDAP-Plugin nicht geht, wollte ich mal mit ldapsearch testen, ob der LDAP denn überhaupt erreichbar ist.

Grundsätzliche Infos zum LDAP der pädML Linux habe ich hier entnommen (hat mir der Diensteister ausgehändigt):
Anbindung eines DokuWikis via LDAP an die paedML Linux 6 - rete-mirabile.net.pdf (188 KB)

Laut Dienstleister ist der LDAP der pädML Linux aus dem Internet per LDAPS auf Port 636 erreichbar. Auch hat er mir die IP der Firewall im internen Netz der Fritzbox gegeben.

Mein verwendeter Befehl von extern:

ldapsearch -H ldaps://externedomain.de -b „dc=paedml-linux,dc=lokal“ -D „cn=users,dc=paedml-linux,dc=lokal“ „uid=username“ -x -w password

wobei ich als username und password nur meine persönlichen Lehrerdaten zur Verfügung habe.

Das liefert

ldap_sasl_bind(SIMPLE): Can’t contact LDAP server (-1)

Kann das mit dem Befehl so überhaupt klappen? Wenn nein, wie sollte ein möglichst einfacher Befehl zur Prüfung der Verbindung zum LDAP aussehen?

Versuche ich das Ganze vom Webserver, der im Netz der Fritzbox hängt:

ldapsearch -H ldaps://10.16.234.236 -b „dc=paedml-linux,dc=lokal“ -D „cn=users,dc=paedml-linux,dc=lokal“ „uid=username“ -x -w password

Dann passiert gar nichts, ich muss den Befehl abbrechen.

ping 10.16.234.236 dito, daher vermute ich hier, dass die IP schlicht nicht stimmt??

Aus dem Netz der Fritzbox

ldapsearch -H ldaps://externedomain.de -b „dc=paedml-linux,dc=lokal“ -D „cn=users,dc=paedml-linux,dc=lokal“ „uid=username“ -x -w password

liefert seltsamerweise dann doch eine (andere) Ausgabe:

ldap_bind: Invalid credentials (49)
additional info: Simple Bind Failed: NT_STATUS_UNSUCCESSFUL

Ich interpretiere das so, dass hier der Zugriff klappt, aber die Anmeldung mit meinen Lehrerdaten über ldapsearch nicht erlaubt ist, oder sehe ich das falsch?

Viele Grüße
Steffen

crazy-to-bike · 4. Januar 2019 um 13:23

Hallo,

von intern (Netz der Fritzbox) liefert mir der LDAP nun hiermit

ldapsearch -H ldaps://externedomain.de -x -b „“ -s base

eine Reihe Infos.
Also stimmt wohl in der Tat schonmal die IP nicht, die mir der Dienstleister angegeben hat.

Derselbe Befehl müsste ja auch von extern funktionieren, aber das liefert weiterhin

ldap_sasl_bind(SIMPLE): Can’t contact LDAP server (-1)

Also stimmt auch bei den Portweiterleitungen in der Fritzbox was nicht, oder es werden im LDAP keine öffentlichen IPs zugelassen.

Das ist echt Arbeiten wie der Käfer im Dreck, seit wir die pädML Linux haben, der Dienstleister das betreut und ich keine administrativen Zugangsdaten zum päd Netzwerk mehr habe.
Zudem kommt noch eine Portion Arroganz und Überheblichkeit - wahrscheinlich, um dem Chef, der immer bei Mails in cc genommen wird, zu suggerieren, dass es nicht an ihm liege, dass Moodle und Cloud noch immer nicht nutzbar sind.

Warum ich das dann überhaupt noch mache mit Moodle und Nextcloud?
Weil der AZA im Vergleich zu vorher (alles machen) erheblich besser ist - gut, wie ich jetzt weiß, wird der durch eigentlich unnötige Hindernisse aufgefressen

Viele Grüße
Steffen

crazy-to-bike · 4. Januar 2019 um 14:35

Hallo,

kann man irgendwie die (Benutzer-)Gruppen und deren IDs auslesen, auch wenn man nur anonymen Zugriff auf den LDAP hat?

Viele Grüße
Steffen

crazy-to-bike · 4. Januar 2019 um 15:26

Hallo,

kann ich so

(&(objectclass=posixAccount)(cn=lehrer-schule))

die Nutzung auf die Gruppe der Lehrer beschränken, oder geht das nur über die gid, z.B.

(&(objectclass=posixAccount)(gidNumber=10000))

Viele Grüße
Steffen

baumhof · 4. Januar 2019 um 17:14

Hallo Steffen,

da du keienn administrativen ZUgriff auf das Netz hast, muss der
Dienstleister dir den ZUgang zum LDAP legen.

Laut Dienstleister ist der LDAP der pädML Linux aus dem Internet per
LDAPS auf Port 636 erreichbar. Auch hat er mir die IP der Firewall im
internen Netz der Fritzbox gegeben.

Mein verwendeter Befehl von extern:
ldapsearch -H ldaps://externedomain.de -b “dc=paedml-linux,dc=lokal”
-D “cn=users,dc=paedml-linux,dc=lokal” “uid=username” -x -w password
wobei ich als username und password nur meine persönlichen Lehrerdaten
zur Verfügung habe.

Das liefert
ldap_sasl_bind(SIMPLE): Can’t contact LDAP server (-1)

der Zugriff geht nicht: also geht das zurück an den Dienstleister: der
muss den Zugang bereit stellen.
Da brauchst du garnichts groß machen: wenn er die Tür nicht auf macht,
kannst du eben nichts machen.

LG

Holger

crazy-to-bike · 4. Januar 2019 um 17:34

Hallo Holger,

vom Webserver (im „roten“ Netz) bekomme ich eine Rückmeldung vom LDAP, wenn ich die externe Domain benutze:

Daher meine letzten Fragen zum Anzeigen der vorhandenen Gruppen und zur Einschränkung der Nutzung auf eine oder mehrere Gruppen mit so was:

Aber letztlich hast du natürlich vollauf Recht: Es geht nicht, wie es sollte, und entweder ich brauche einen User, mit dem ich per ldapsearch alle Infos lesend abrufen kann, oder der Dienstleister muss diese liefern.

Viele Grüße
Steffen

crazy-to-bike · 14. Januar 2019 um 16:56

Hallo,

bisherige Reaktion des Dienstleisters auf meine E-Mail, dass eine Kontaktaufnahme mit dem LDAP weiter nicht wirklich funktioniert: Null.

Reaktion des SL Sonntag vor 1 Woche:

das mit der Cloud scheint doch etwas größer zu sein.
Wir (SL, Dienstleister, Auer) sollten uns da nochmal zusammensetzen und die Aufgaben der Cloud durchgehen. Vielleicht findet sich ja noch eine andere Lösung.

Bin mal gespannt, ob dann jetzt noch was kommt, oder er ob irgendwann plötzlich mit neuen vollendeten Tatsachen um die Ecke kommt

Wenn es nicht viel zu komplex, mit Kanonen auf Spatzen geschossen und meine Möglichkeiten übersteigend wäre, sollte ich wohl am Besten einen eigene LDAP aufsetzen und betreiben…

Viele Grüße
Steffen

irrlicht · 14. Januar 2019 um 17:25

Vom Sicherheitsaspekt her sehe ich irgendwie keinen Grund LDAP(S) von aussen zugaenglich zu machen, wer soll das nutzen? Der steht unnoetigerweise voll im Feuer.

Wenn ich von draussen gegen einen internen LDAP-Server authentifizieren will, dann per VPN.

crazy-to-bike · 14. Januar 2019 um 17:31

Hallo Harry,

nun, der LDAP läuft in der Schule, bei uns in BW haben die meisten Schulen das Moodle aber bei Belwü (Landeshochschulnetz). Das hätte man halt gerne an die Benutzerdatenbank des Schulservers angebunden (gleiche Anmeldedaten, automatische Kurseinschreibung,…).

Wenn’s mal funktioniert, dann kann man die Zugriffe ja auf eine IP oder einen IP-Bereich (den des Landeshochschulnetzes) beschränken.

Viele Grüße
Steffen

irrlicht · 14. Januar 2019 um 18:04

Ok, danke Steffen - wir sind zwar auch in BW, haben aber ein eigenes Moodle und wir bauen von der Musterloesung von innen ein VPN dahin auf, LDAP also nur darin verfuegbar.