Liebe Entwickler und Beta-Tester,
bei uns kommt jetzt auch der Wunsch auf, Webuntis und Belwue-Moodle per Musterlösungs-LDAP zu authentifizieren.
Mit LML6.2 machen das ja schon einige, wichtiger ist aber zu wissen ob das beim v7-Server auch wieder gehen wird - es scheint da ja einen Systemwechsel zu geben (von openldap zum integrierten ldap des samba 4-dienstes).
Hat das schon jemand probiert beziehungsweise hat jemand das know-how um da eine Prognose zu wagen ?
Gruß
Sascha
Hallo Sascha,
bei uns kommt jetzt auch der Wunsch auf, Webuntis und Belwue-Moodle per
Musterlösungs-LDAP zu authentifizieren.
Mit LML6.2 machen das ja schon einige, wichtiger ist aber zu wissen ob
das beim v7-Server auch wieder gehen wird - es scheint da ja einen
Systemwechsel zu geben (von openldap zum integrierten ldap des samba
4-dienstes).
Hat das schon jemand probiert beziehungsweise hat jemand das know-how um
da eine Prognose zu wagen ?
ich sage: das wird gehen.
Die Firewall hast du im Griff: also kannst du die AD erreichbar machen.
Active Directory ist seit vielen Jahren Standard bei MS: so ziemlich
jeder Webdienst unterstützt die authentifizierung gegen einen AD.
Deswegen gehe ich davon aus, dass das gehen wird.
LG
Holger
Hallo Sascha,
Jab geht, haben schon einige Moodle und Gästeportale angebunden - Funktioniert gut!
Achja, natürlich alles über LDAPS verschlüsselt. Gib Bescheid, wenn du Hilfe brauchst.
Hallo,
ich häng mich gerade mal an diesen alten Thread, weil da keine Lösung steht, sondern nur ein „das geht“.
Die LDAP-Anbindungen von Moodle und Nextcloud sind ja in den docs beschrieben, aber Webuntis fehlt da und ich habe auch sonst nix dazu gefunden.
Ich habe den Port 636 in der opnSense freigegeben (auch für Moodle und Nextcloud, die ja laufen), ein letsencrypt-Zertifikat installiert, den binduser samt Passwort scheint er auch zu akzeptieren, aber beim Test meldet mir Webuntis:
ldap connection is ok: CN=global-binduser,OU=Management,OU=GLOBAL,DC=linuxmuster,DC=lan
error: Ungültige Anmeldedaten
Die Daten passen aber. Verschiedene User probiert. Folgende Einstellungen habe ich vorgenommen:
Referral: Standard
MusterDN: OU=default-school,OU=schools,DC=lss-rt,DC=lan
Userfilter: leer
BaseDN: leer (hab ich auch schon mal mit MusterDN getauscht, kein Effekt)
LDAP Mail: leer
LDAP Benutzergruppe: leer
Rollenidentifizierung: Teil des Attributs
LDAP Personenrolle: sophomorixRole
Personenrolle: teacher
Personenident: Attribut für Fam und Vorname
LDAP ID: sn givenName
GroßKlein ign: ja
Standard: Lehrkräfte
Personenrolle: student
Personenident: Attribut für Fam und Vorname
LDAP ID: sn givenName
GroßKlein ign: ja
Standard: Schüler*innen
Mach ich da bei den Einstellungen was falsch?
Grüße,
Stefan
Hallo nochmal,
ich sehe gerade: Mein Problem ist noch grundsätzlicherer Natur:
Meine AD-Domäne ist schulname.lan
Dafür bekomme ich natürlich kein letsencrypt-Zertifikat.
Also bin ich - wie in der lmn6.2 auch - hergegangen und habe unter der URL ldap.schulname.de eine Weiterleitung auf die externe IP des opnSense eingerichtet.
Mit dieser URL habe ich dann erfolgreich ein Zertifikat beantragt und in die smb.conf eingetragen.
Erstmal schien alles zu funktionieren (naja, bis auf Webuntis halt), aber jetzt sehe ich in der „Allgemeinen Protokolldatei“ von opnSense solche Meldungen:
|2020-09-10T11:13:24|opnsense[12566]: user xyz could not authenticate for squid. [using OPNsense\Auth\Services\Squid + OPNsense\Auth\LDAP]|
| — | — |
|2020-09-10T11:13:24|opnsense[12566]: LDAP bind error [TLS: hostname does not match CN in peer certificate,Can’t contact LDAP server]|
|2020-09-10T11:13:24|(basic_pam_auth)[55510]: in openpam_dispatch(): all modules were unsuccessful for pam_sm_authenticate()|
Klar, er meckert, weil der Domänenname nicht mit der URL im Zertifikat zusammenpasst.
OK, das mach ich wohl besser rückgängig. Nur wie bekomme ich ein Zertifikat, mit dem Webuntis zufrieden ist, die akzeptieren ja offenbar keine selbstsignierten Zertifikate…:
unable to find valid certification path to requested target
Hat jemand eine Idee zu einem möglichen Vorgehen? Bitte ohne Neuinstallation vom linuxmuster-Server mit anderer Domäne…
Grüße,
Stefan