Hallo,
bei uns (… räusper …) laufen alle (lesenden) LDAP-Abfragen ohne Authentifizierung.
Ich habe rumgesucht, finde aber nicht heraus, wie ich ein bind-Passwort hinterlege. Hat mir jemand einen Tipp?
Viele Grüße,
Helge
Hallo,
bei uns (… räusper …) laufen alle (lesenden) LDAP-Abfragen ohne Authentifizierung.
Ich habe rumgesucht, finde aber nicht heraus, wie ich ein bind-Passwort hinterlege. Hat mir jemand einen Tipp?
Viele Grüße,
Helge
Hallo Helge,
da kannst Du irgendeinen User nehmen, wir verwenden einen Extraschüler.
Wenn Du deaktivieren möchtest, dass man ohne Passwort den LDAP auslesen kann, dann musst Du in der Datei /etc/ldap/slapd.conf
die access-Statements entsprechend anpassen. Aber Vorsicht, lieber gründlich testen, ob dann alles noch so läuft wie gewünscht.
Beste Grüße
Jörg
Hallo,
Wenn Du deaktivieren möchtest, dass man ohne Passwort den LDAP auslesen
kann, dann musst Du in der Datei |/etc/ldap/slapd.conf| die
access-Statements entsprechend anpassen.
… un dden slapd neustarten: sonst wirken die Änderungen in
derslapd.conf nciht
/etc/init.d/slapd restart
LG
Holger
Hallo Jörg,
hast eventuell so eine Access-Statement als Vorlage?
Viele Grüße,
Helge
Hallo Helge,
leider nein!
Ich würde mal das „access to * by * read“ rausnehmen und sehen, ob das
schon reicht. Und dann wie gesagt testen, ob die Schulkonsole, Anmelden
etc. noch geht …
Beste Grüße
Jörg
Einen schönen guten Abend miteinander,
da ich nun schon seit einigen Stunden am Suchen und Ausprobieren bin, wollte ich hier auch noch nachfragen, ob es eine Lösung des Problemes gibt.
Bei unserer LML 6.2 kann man sich aktuell auch noch anonym anmelden und alle Daten auslesen, was ich natürlich ändern möchte.
Ein Auskommentieren der Zeile
access to *
by * read
führt leider dazu, dass ich gar nichts mehr sehen kann.
Irgendwie fehlt mir noch die Einstellung, dass man nur durch Benutzername und Passwort die Daten auslesen kann.
Wäre super, wenn noch jemand einen Tipp hätte.
Vielen Dank und liebe Grüße,
Wolfgang
Hallo Wolfgang,
das ist hier ganz gut dokumentiert:
https://www.openldap.org/doc/admin24/access-control.html
Zum Beispiel könntest Du das so abändern:
access to *
by users read
Nun kann man den LDAP nur noch mit einem Passwort auslesen.
Zu testen wäre allerdings, ob Sophomorix noch funktioniert, ob man als User noch sein Passwort ändern kann und ob es irgendwelche unvorhergesehenen Implikationen gibt. Bei den ersten beiden Punkten bin ich optimistisch.
Beste Grüße
Jörg
Hallo Jörg,
vielen Dank für deine schnelle Antwort!
Tatsächlich hat es mit dieser Einstellung funktioniert (war mir eigentlich sicher, sie vorher schon getestet zu haben. Naja…).
Als letztes musste ich nur noch auf die richtige Syntax beim Login achten:
"uid=administrator,ou=accounts,dc=linuxmuster-net,dc=lokal"
Einfach nur, falls noch jemand anderes nach dem Problem sucht.
Liebe Grüße,
Wolfgang
Hallo nochmal,
was ich jetzt leider beobachte ist, dass ich mich über VPN nicht mehr an der Schulkonsole anmelden kann. Alle anderen Dienste wie Moodle, Nextcloud, BigBlueButton gehen übers LDAP.
Kann leider auch nicht prüfen, ob das ein Problem allein aus dem VPN ist oder ob man das vor Ort auch nicht mehr kann.
Habe meine VPN-IP auch mal in die slapd.conf eingetragen und versucht aus dem IPFire schlau zu werden, aber ohne Erfolg.
Grüße,
Wolfgang
Hallo Wolfgang,
nun habe ich es mal bei uns ausprobiert: Nicht nur die Schulkonsole,
auch diverse andere Dienste funktionieren dann nicht mehr. Da ist halt
nirgends ein Bind-User vorgesehen.
Wir machen das deshalb so, das wir den Zugriff auf den LDAP aus dem
Internet nur von denjenigen Servern zulassen, bei denen wir
entsprechende Dienste laufen haben - zum Beispiel die Moodle-Server von
Belwü. Das wird durch eine entsprechende Regel im IPFire umgesetzt.
Beste Grüße
Jörg