Hallo Artur,
zuerst musst Du sicherstellen, dass die LDAP-Anfrage vom WebUntis auf Deinen Server funktioniert. Ich habe dies damals erstens vom WebUntis aus probiert mit der Testfunktion der LDAP-Seite und zweitens in den Logs vom IPfire nachgesehen (wie das genau geht, kann ich aus dem Gedächtnis nicht schreiben).
-
Firewallregel musste erstellt werden
Kann ich jetzt nicht nachschauen. -
LDAP-Anfrage am Server zulassen (LDAPS ist wohl ohne Anpassungen erlaubt)
in der /etc/ldap/slapd.conf
muss der anfragende Rechner unter #Limits Access eingetragen werden.
#Limits Access:
…
by anonymous peername.ip=abc.def.ghi.jkl.mno auth
Gruß
Alois
Wobei abc.def.ghi.jkl.mno für die IP des WebUntis-Servers stehen muss.
Zu den LDAP-Untersuchungsprogrammen:
Auf dem Server hat mir das schon einmal geholfen:
# smbldap-usershow username
Ich habe in meinem Aufzeichnungen auch noch dies gefunden:
LDAP Admin Tool
unter Ubuntu installiert als linuxadmin in /tmp
Search - Build Filter kann bei Syntax helfen
Habe ich damals als hilfreich empfunden. Installation muss damals wohl auf dem Client gewesen sein und dann verbindet man sich wohl zum Server.
Nun zu dem LDAP-Einstellungen im WebUntis:
Das kann man so machen (war bei uns so mit der PaedML Windows eingerichtet). Mit LMN haben wir das aber ohne diesen Benutzer. Hier einmal ein Screenshot unserer Einstellungen im WebUntis mit Erläuterungen:
- Die unkenntlich gemachte LDAP-Server-URL wäre dann die öffentliche IP Deiner IPfire-Firewall ldap://abc.def.ghi.jkl.mno:389
- Der Userfilter greift nur, wenn Du „BaseDn für Benutzersuche“ verwendest. Der Filter musste nach meinen Tests für unsere Umgebung dann so lauten:
(&(objectClass=posixAccount)((uid={0})(!(gidNumber=10056))))
(uid={0}) findet alle User, (!(gidNumber=10056) schließt User der gidGruppe 10056 aus. Vermutlich haben viele Admins einen Filter gesetzt, der gar nicht greift, weil sie MusterDN verwenden. Es fällt aber nicht auf, weil ja alle Benutzer über die MusterDN gefunden werden. - Die gidGruppe 10056 enthält die Personen, die ein LMN-Login haben, aber nicht auf WebUntis zugreifen dürfen.
- Außerdem haben wir Personen, die auf WebUntis Zugriff haben, aber keine Lehrer oder Schüler sind z.B. Hausmeister, Sekretariat. Die sind in LMN in einer Extraklasse 0webuntis mit der homeDirectory …/home/students/0…, während Schüler alle in Extraklassen sind mit der homeDirectory …/home/students/k… z.B. kl9a.
Und hier die Zusammenfassung meiner Bemühungen aus der früheren Mailingliste:
aus den ganzen Anregungen konnte nun auch bei uns eine
zufrriedenstellende Lösung gebastelt werden. Die Test waren
erfolgreich.
Die grobe Aufgabenverteilung in den versch. Netzen ist:
VerwNetz: Benutzernamenerzeugung (und Erstkennworterstellung)
PädNetz: Benutzergruppenverwaltung (und damit auch
LDAP-Authentifizierung)
nach ewigem hin und her hat unsere Schulleitung nun für alle Klassen lokal in Webuntis
einen Nutzer angelegt und vergibt jedes SJ neue PW’s…da gibt es im
Webuntis Handbuch auch einen Eintrag dazu… das klappt super.
Dominik
Ich habe zum Glück einen sehr netten und kompetenten Kollegen, der im
Verwaltungsnetz die Schüler anlegt und WebUntis betreut. Wir haben uns
darauf verständigt, dass im Verwaltungsnetz die Benutzernamen von
Lehrern und Schülern verwaltet werden. Ich bekomme jetzt eine
Textdatei für alle SuS mit Loginname und Passwort, so dass ich die SuS
damit direkt als extraschueler anlegen kann (weil man bei denen das
Wunschlogin vergeben kann).
Übrigens ist die Doku für extraschueler.txt unvollständig. Es fehlt
das letzte (6.) Feld: „Kennwort“.
Klasse;Nachname;Vorname;Geburtsdatum;Wunschlogin;Kennwort
Das hat den Vorteil, dass der Benutzername in WebUntis und im
LMN-System immer gleich ist. So ist die Personenidentifizierung beim
WebUntis problemlos.
Außerdem bekommen die neu an der Schule angemeldeten Schüler (bei uns
zukünftige 5-Klässler) schon vor den Sommerferien eine Mappe mit allen
möglichen Infos und da ist dann auch schon der Zugang zu WebUntis
drin, so dass der Stundenplan auch schon in der letzten Ferienwoche
eingesehen werden kann.
aus der Liste hier hatte ich mal den Tipp erhalten die Unterscheidung
zwischen LuL und SuS per unterschiedlichen Pfad des Home zu machen.
Rainer
Das habe ich jetzt auch so verwendet und sogar noch etwas erweitert.
Das war unbedingt nötig, da sonst die Unterscheidung von Schülern und
Schulnahen Personen, die ja auch in Extraklassen sind nicht möglich
gewesen wäre.
Die SuS sind alle in Klassen, die mit kl anfangen und die
Kursschülerklassen haben ku (z.B. kuJ1a). Die schulnahen Personen sind
in Klassen, die mit 0 anfangen.
So kann ich die Gruppen im WebUntis schön den Rollen zuteilen:
Teil des Attributs „homeDirectory“: /home/teachers → Lehrer
Teil des Attributs „homeDirectory“: /home/students/k → Schüler
Teil des Attributs „homeDirectory“: /home/students/0 → Sekretariat
Durch den Userfilter im WebUntis werden Gruppen ausgeschlossen, die
keinen Zugang haben sollen - bei uns schulnahe Personen die nur einem
LMN-Account haben sollen, aber sonst nix.
Hoffe das hilft bei dem komplexen Thema!
Gruß
Stefan