Moodle-Anbindung an den LDAP der paedML Linux

Hallo Thomas,

ich habe mir das jetzt doch nochmal genau angeschaut, obwohl ich sicher bin, dass einfach der Zugriff auf den LDAP der pädML Linux selbst nicht funktioniert - nur um sicher zu gehen, dass der Fehler nicht doch bei mir liegt, bevor ich weiter den Dienstleister beschuldige.

So sieht das derzeit in Moodle aus (Host URL für den Screenshot gefaked):

Beim Versuch, sich als LDAP-User an Moodle anzumelden, rödelt Moodle ewig (Warte auf …).
Am Ende kommt folgende Meldung:

Das LDAP-Modul kann keine Serververbindung herstellen: Server: ‘ldaps://unsere-paedml-domain,de’, Connection: ‘Resource id #13’, Bind result: ‘’

Das Googeln der Fehlermeldung hat keine nennenswerten Treffer erzeugt.

Wenn ich dich richtig verstehe, müsste ich noch bei Bind-Einstellungen unter Anmeldlename “ldapsuche” eintragen (bei LMN 6.2 bleibt das ja einfach leer).
Aber wie lautet das Passwort? Wird das bei der pädML-Installation individuell vergeben?

Viele Grüße
Steffen

Hallo Steffen,

das kann so nicht klappen.
1.) Damit das funktioniert solltest in der Host URL ldap://server.meine-doma.in:389 (exemplarisch) eintragen. Sonst scheitert die Verbindung vermutlich schon an der Zertifikatsprüfung für ldaps. Es sei denn jemand hat da ein gültiges Zertifikat an entsprechnder Stelle (z.B. auf der Firewall) hinterlegt und macht dort SSL-Offloading für die LDAP-Anfrage. ldaps geht nur dann, wenns ein entsprechendes Serverzertifikat gibt, welches von einer vertrauenswürdingen Zertifizierungsstelle generiert wurde.
Auf der pfSense muss es zusätzlich noch eine NAT-Regel geben, welche die Anfragen vom Moodle-Server eingehend 389 auf den OpenLDAP-Port 7389 leitet. Damit wäre die Anfragen vom Moodle Server an die pfSense und letztlich zum Server unverschlüsselt.
Wenn jemand tatsächlich ein gültiges Zertifikat auf der pfSense eingspielt hat und da SSL-Offloading betreibt, wäre die URL ldaps://server.meine-doma.in:636 und die pfSense müsste von eingehend Moodle 636 ebenfalls auf OpenLDAP-Port 7389 leiten. Warum? Weil auf der server.paedml-linux.lokal kein gültiges Zertifikat durch eine öffentliche CA hat…daher übertragen wir den internen Traffic zwischen pfSense und Server unverschlüsselt, aber zwischen Moodle und pfSense über SSL verschlüsselt.
2.) Es fehlt unter Bind-Einstellungen der Bind-User (z.B. ldap_ro_moodle, den könnte man extra dafür anlegen) der berechtigt ist, die Baumstruktur auszulesen. Der Kontext wäre cn=ldap_ro_moodle,ou=users,dc=paedml-linux,dc=lokal und das entsprechende Kennwort.
Und wie gesagt, man müsste diesem Benutzer noch die Leserechte für das AD geben.

Viele Grüße
Thomas

Noch ein Nachtrag: der Benutzer “ldapsuche” ist vorgefertigt. Keine Ahnung was der für ein Kennwort hat und ob man das einfach ändern kann. Der kommt ja vorgefertigt daher. Wenn man den verwenden wollte, würde ich mal beim LMZ nachfragen, wie das Kennwort wäre (so auf Anhieb hab ichs in der Anleitung nicht gefunden).
Ich hab mir in diesen Fällen immer einen eigenen neuen Benutzer für diesen Zweck angelegt. Dann weiß ich das Kennwort und kann mehr oder weniger sicher sein, dass dieser Benutzer nicht für andere Zwecke durch wen auch immer umgefriemelt wird.

Viele Grüße
Thomas

Hallo Steffen,

der Filter für den Nutzernamen unter “ObjectClass” passt auch nicht. Du hast im Microsoft AD normalerweise keine POSIX-Accounts.

Viele Grüße
Thomas

Hallo Thomas,

das Grundproblem der ganzen Sache ist halt, dass ich keinerlei Zugriff auf die pädagogische Netzwerk-Umgebung sowie den Internetrouter (mehr) habe, seit der SL die Umstellung auf pädML durchgedrückt hat :wink:

Imho muss man den Port nicht angeben - hatte ich früher bei der Anbindung an die LMN über ldaps (also Port 636) auch nicht.

Eigentlich klar. Ich hatte mit dem Dienstleister, der die pädML betreut vereinbart, dass der Zugriff über ldaps (also Port 636) erfolgen soll, damit es verschlüsselt ist.
Man sollte eigentlich annehmen, dass ein Dienstleister, der verspricht, eine solche Netwerkumgebung mit pädML betreuen zu können, auch solche Dinge weiß und lösen kann - zumindest nach Nachfrage beim LMZ :wink:

Bei der LMN brauchte man da nichts eintragen, aber ich schrieb ja schon, dass das vermutlich noch fehlt. Der Dienstleister, dem ich das auch schon schrieb, hat darauf aber bislang nicht reagiert. Vermutlich kann er mit dem Begriff Bind-User nichts anfangen :smiley:

Ich werde dem Dienstleister nun wohl noch einmal eine E-Mail schreiben, was er überprüfen und ggf. einrichten / ändern muss - nur, damit mir der SL am Ende nicht vorwerfen kann, ich hätte für meine AZ nichts getan :smiley:

Viele Grüße
Steffen

Hallo Thomas,

bleibt das dann leer, oder was muss ich da stattdessen eintragen?

Die einzige “Info”, die ich vom Dienstleister (ich kenne die pädML Linux ja kein bisschen) erhalten habe, war eine Anleitung zur Anbindung eines DokuWikis an die pädML Linux (allerdings die 6), die er sich im Internet ergoogelt hat :wink:
Anbindung eines DokuWikis via LDAP an die paedML Linux 6 - rete-mirabile.net.pdf (188 KB)

Da hatte ich versucht, mich etwas zu orientieren, und da taucht auch das “objectClass=posixAccount” auf :wink:
Vermutlich hat sich da zwischen pädML Linux 6 und 7 einiges massiv geändert…

Viele Grüße
Steffen