Hallo Daniel,
Zur Erinnerung: Wir nutzen Moodle Version 3.1.13 (gehostet bei Belwü)
und LMN 6.2.
ich vergleiche jetzt mal mit meinen Einstellungen in meinem BelWü moodle.
Die Plugins zur |manuellen Einschreibung| und |Einschreibung globaler
Gruppen> sind aktiviert. Danach habe ich unter |Website-Administration →
Plugins → Authentifizierung → Übersicht| den |LDAP-Server| aktiviert.ou=accounts,dc=linuxmuster-net,dc=lokal objectClass: organizationalUnit
ou: accounts # groups, linuxmuster-net.lokal dn:
ou=groups,dc=linuxmuster-net,dc=lokal objectClass: organizationalUnit
ou: groups # machines, linuxmuster-net.lokal dn:
ou=machines,dc=linuxmuster-net,dc=lokal objectClass: organizationalUnit
ou: machines |Wenn ich das richtig sehe, muss bei mir also nicht wie im Tutorial
dc=linuxmuster,dc=lokal|, sondern |dc=linuxmuster-net,dc=lokal| heißen.
ja.
Gleichzeitig habe im Zusammenhang mit Nextcloud und LDAP im Wiki
gelesen, dass man in der LDAP-Konfiguration auf dem LMN-Server noch die
Verbindung zum anderen Server (hier dann nicht Nextcloud sondern Moodle)
zulassen muss. Also habe ich in |/etc/ldap/slapd.conf| im folgenden
Abschnitt die IP des Moodle-Server ergänzt:Limits Access access to
attrs=sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaPwdMustChange,sambaAcctFlags,userPassword
by anonymous peername.ip=10.16.1.254 auth by anonymous
peername.ip=10.16.1.1 auth by anonymous peername.ip=127.0.0.1 auth by
anonymous peername.ip=<öffentliche IP unseres Moodles bei Belwü> auth by
anonymous ssf=56 auth by self peername.ip=127.0.0.1 write by self ssf=56
write by * none |
das hatte ich früher auch so machen müssen: inzwischen läuft es auch
ohne diese Zeile in der slapd.conf.
Das kann aber daran liegen, dass ich einen Bindnutzer verwende: also den
ldap nicht mehr annonym abfrage.
LDAP-Authentifizierung
Zur Konfiguration der LDAP-Authentifizerung unter
Website-Administration → Plugins → Authentifizierung → LDAP-Server|
habe ich (außer dem Link oben) nichts mehr gefunden. Folgende
Einstellungen habe ich vorgenommen:LDAP-Server-Einstellungen
- Host URL: |ldaps://<öffentliche IP des Routers unserer EDV>/|
- Version: |3|
- TLS benutzen: |Nein|
- LDAP-Codierung: |utf-8|
hab ich auch so.
Hier die erste Frage: Muss ich wirklich nur diese Einstellungen
vornehmen? Ich habe auch irgendwo gelesen, dass ich unter /Nutzersuche
→ Kontexte/ etwas (|ou=accounts,dc=lokal,dc=linuxmuster-net,dc=de|?)
ergänzen muss.
ja. Bei mir steht unter Benutzersuche:
Nutzertyp: posixAccount(rfc2307)
Kontexte: ou=accounts, dc=linuxmuster-net, dc=lokal
Subkontext: ja
Alias: nein
Nutzermerkmal: uid
Ausblendemerkmal: leer
Mitgliedsmerkmal: member
Mitgliedsmerkmal nutzt dn: leer
ObjectClass: (&(objectClass=posixAccount)(!(cn=ExamAccount)))
Datenzuordnung
- Vorname: |givenName|, |Bei jedem Login|, |Nie|, |Bearbeitbar|
Bearbeitbar(wenn leer)
sonst heißt mal jemand Darth Vader… (hatte ich schon)
- Nachname: |sn|, |Bei jedem Login|, |Nie|, |Bearbeitbar|
… wenn leer…
- E-Mail-Adresse: |mail|, |Beim Anlegen|, |Nie|, |Bearbeitbar|
das ist bei mir leer: jeder soll da selbst eine email eintragen.
- ID-Nummer: |uid|, |Bei jedem Login|, |Nie|, |Gesperrt|
hab ich auch so.
OpenLML-Einschreibung
Dann habe ich das OpenLML-Plugin unter |Website-Administration → Plugins
→ Einschreibung → Open LML Einschreibung| konfiguriert.Allgemeine LDAP-Einstellungen
- Kontexte: |ou=groups,dc=linuxmuster-net,dc=lokal|
- Object Class: |posixGroup|
- Gruppenattribut: |cn|
- Mitgliedsattribut: |memberuid|
hab ich genauso.
Ich habe dann einfach mal ganz naiv versucht, mich als Lehrer
einzuloggen – das klappte nicht.
… das muss zuerst klappen: erst dann kannst du weiter schauen.
Hast du den slapd neugestartet nach Ändern der slapd.conf?
Ich würde mal einen loginversuch machen und dann schauen, ob die Anfrage
wirklich am Server an kommt (in den Logdateien).
Zuerst einmal ist mir das Zusammespiel zwischen dem Plugin der
LDAP-Authentifizierung und dem OpenLML-Plugin nicht ganz klar und ich
habe hierzu auch nicht so viel gefunden. Mir scheint es so, als wäre
letzteres hauptsächlich dazu da, dass die Benutzer in die korrekten
Gruppen eingeteilt werden, wobei die LDAP-Authentifizierung die
grundsätzliche Erstellung der Accounts vornimmt. Stimmt das?
nicht ganz.
Das LDAP Modul ist dazu da, dass der ldap beim login gefragt wird.
Das openLML Enrol macht noch viel mehr: es fragt selber den LDAP ab und
legt noch nicht vorhandene Nutzer an udn löscht verschwundene: das ist
das wictigste und überaus geniale Feature von openLML Enrol.
Also: erst mal LDAP Anbindung „debuggen“
Viele Grüße
Holger