Hallo Daniel,

Zur Erinnerung: Wir nutzen Moodle Version 3.1.13 (gehostet bei Belwü)
und LMN 6.2.

ich vergleiche jetzt mal mit meinen Einstellungen in meinem BelWü moodle.

Die Plugins zur |manuellen Einschreibung| und |Einschreibung globaler
Gruppen> sind aktiviert. Danach habe ich unter |Website-Administration →
Plugins → Authentifizierung → Übersicht| den |LDAP-Server| aktiviert.

ou=accounts,dc=linuxmuster-net,dc=lokal objectClass: organizationalUnit
ou: accounts # groups, linuxmuster-net.lokal dn:
ou=groups,dc=linuxmuster-net,dc=lokal objectClass: organizationalUnit
ou: groups # machines, linuxmuster-net.lokal dn:
ou=machines,dc=linuxmuster-net,dc=lokal objectClass: organizationalUnit
ou: machines |

Wenn ich das richtig sehe, muss bei mir also nicht wie im Tutorial

dc=linuxmuster,dc=lokal|, sondern |dc=linuxmuster-net,dc=lokal| heißen.

ja.

Gleichzeitig habe im Zusammenhang mit Nextcloud und LDAP im Wiki
gelesen, dass man in der LDAP-Konfiguration auf dem LMN-Server noch die
Verbindung zum anderen Server (hier dann nicht Nextcloud sondern Moodle)
zulassen muss. Also habe ich in |/etc/ldap/slapd.conf| im folgenden
Abschnitt die IP des Moodle-Server ergänzt:

Limits Access access to

attrs=sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaPwdMustChange,sambaAcctFlags,userPassword
by anonymous peername.ip=10.16.1.254 auth by anonymous
peername.ip=10.16.1.1 auth by anonymous peername.ip=127.0.0.1 auth by
anonymous peername.ip=<öffentliche IP unseres Moodles bei Belwü> auth by
anonymous ssf=56 auth by self peername.ip=127.0.0.1 write by self ssf=56
write by * none |

das hatte ich früher auch so machen müssen: inzwischen läuft es auch
ohne diese Zeile in der slapd.conf.
Das kann aber daran liegen, dass ich einen Bindnutzer verwende: also den
ldap nicht mehr annonym abfrage.

LDAP-Authentifizierung

Zur Konfiguration der LDAP-Authentifizerung unter

Website-Administration → Plugins → Authentifizierung → LDAP-Server|
habe ich (außer dem Link oben) nichts mehr gefunden. Folgende
Einstellungen habe ich vorgenommen:

LDAP-Server-Einstellungen

• Host URL: |ldaps://<öffentliche IP des Routers unserer EDV>/|
• Version: |3|
• TLS benutzen: |Nein|
• LDAP-Codierung: |utf-8|

hab ich auch so.

Hier die erste Frage: Muss ich wirklich nur diese Einstellungen
vornehmen? Ich habe auch irgendwo gelesen, dass ich unter /Nutzersuche
→ Kontexte/ etwas (|ou=accounts,dc=lokal,dc=linuxmuster-net,dc=de|?)
ergänzen muss.

ja. Bei mir steht unter Benutzersuche:
Nutzertyp: posixAccount(rfc2307)
Kontexte: ou=accounts, dc=linuxmuster-net, dc=lokal
Subkontext: ja
Alias: nein
Nutzermerkmal: uid
Ausblendemerkmal: leer
Mitgliedsmerkmal: member
Mitgliedsmerkmal nutzt dn: leer
ObjectClass: (&(objectClass=posixAccount)(!(cn=ExamAccount)))

Datenzuordnung

• Vorname: |givenName|, |Bei jedem Login|, |Nie|, |Bearbeitbar|

Bearbeitbar(wenn leer)
sonst heißt mal jemand Darth Vader… (hatte ich schon)

• Nachname: |sn|, |Bei jedem Login|, |Nie|, |Bearbeitbar|

… wenn leer…

• E-Mail-Adresse: |mail|, |Beim Anlegen|, |Nie|, |Bearbeitbar|

das ist bei mir leer: jeder soll da selbst eine email eintragen.

• ID-Nummer: |uid|, |Bei jedem Login|, |Nie|, |Gesperrt|
  hab ich auch so.

OpenLML-Einschreibung

Dann habe ich das OpenLML-Plugin unter |Website-Administration → Plugins
→ Einschreibung → Open LML Einschreibung| konfiguriert.

Allgemeine LDAP-Einstellungen

• Kontexte: |ou=groups,dc=linuxmuster-net,dc=lokal|
• Object Class: |posixGroup|
• Gruppenattribut: |cn|
• Mitgliedsattribut: |memberuid|

hab ich genauso.

Ich habe dann einfach mal ganz naiv versucht, mich als Lehrer
einzuloggen – das klappte nicht.

… das muss zuerst klappen: erst dann kannst du weiter schauen.

Hast du den slapd neugestartet nach Ändern der slapd.conf?
Ich würde mal einen loginversuch machen und dann schauen, ob die Anfrage
wirklich am Server an kommt (in den Logdateien).

Zuerst einmal ist mir das Zusammespiel zwischen dem Plugin der
LDAP-Authentifizierung und dem OpenLML-Plugin nicht ganz klar und ich
habe hierzu auch nicht so viel gefunden. Mir scheint es so, als wäre
letzteres hauptsächlich dazu da, dass die Benutzer in die korrekten
Gruppen eingeteilt werden, wobei die LDAP-Authentifizierung die
grundsätzliche Erstellung der Accounts vornimmt. Stimmt das?

nicht ganz.
Das LDAP Modul ist dazu da, dass der ldap beim login gefragt wird.
Das openLML Enrol macht noch viel mehr: es fragt selber den LDAP ab und
legt noch nicht vorhandene Nutzer an udn löscht verschwundene: das ist
das wictigste und überaus geniale Feature von openLML Enrol.

Also: erst mal LDAP Anbindung „debuggen“

Viele Grüße

Holger

Lieber Holger,

vielen, vielen Dank für deine Hilfe!

Genau das war der springende Punkt – hier haben die Einträge bei mir gefehlt. Jetzt klappt alles ganz wunderbar!

Stehen diese Werte irgendwo im Wiki? Wenn nein wäre es sicherlich sinnvoll, sie zu ergänzen. Dabei kann ich gerne behilflich sein.

So langsam habe ich dann auch das Zusammenspiel zwischen LDAP und openLML verstanden. Richtig tolles Stück Software! Das erspart einem ja wirklich viel Zeit …

Liebe Grüße

Daniel

Moin!

Gibt es aktuellere Anleitungen als die im Wiki für die Moodle-Anbindung von lmn 6.2 & 7? Auf docs gibt es leider gar nix dazu.
Frage aus aktuellem Anlass für einen Freund, der das gerne auf seinen Seiten verlinken würde.

VG, Thomas

Aktuell gehen bei mir die Anfragen zu Cloud/Moodle etc. aufgrund der Schulschließungen durch die Decke. Im Viertelstundentakt kommen neue Mails rein …

Wir betreiben aktuell noch LMN 6.2 und Moodle läuft mit der Anbindung nach wie vor astrein. Wenn Fehler geschehen, dann nur aufgrund fehlerhafter Kurserstellung seitens der Lehrer.

Ich habe noch nie eine Anleitung/Wiki hier geschrieben, kann aber gerne die kommenden Tage daran partizipieren, wenn sich die Lage an der Schule etwas gelegt hat. Vielleicht kann mir jemand etwas erfahreneres dabei helfen?

Dein Freund kann sich in dringenden Fällen natürlich auch hier melden. Wobei ich gestehen muss, dass ich mittlerweile komplett vergessen habe, was ich damals alles gemacht habe …

https://wiki.linuxmuster.net/community/anwenderwiki:moodle:moodle2_automatische_einschreibung

Hier ist ne Anleitung. Bei mir funktioniert enrol aber nur halb (Nutzer da, Klassenzugehörigkeit nicht, auch Zuordnung zu Klassen mit Kursname:idKlasse geht nicht)
LG
Max

Hallo Thomas,

Anleitung für die 7er ist in diesem Tread:

enrol geht in der 7er noch nicht.

LG

Holger

Hallo,

ich hab mal aufgeschrieben wies bei meiner 6.2 tut:

https://wiki.linuxmuster.net/community/anwenderwiki:webapps:moodle:moodle_extern_gegenldap62:start

VG

Frank

Moin!

Habe für lmn7 eine Anleitung verfasst:

VG, Thomas

Hallo Thomas,

ich habe deine Anleitung durchgeschaut.
Folgende Unterschiede zu meiner config bestehen (nur als Hinweis,
vielleicht ist ja meine Einstellung falsch).

Name der Einst: bei dir bei mir

LDAP Kodierung: UTF8 cp1252
Nutzermerkmal: - sAMACcountname

Kennwortformat: Nein Unformatierter Text

Bei mir funktioniert: der Name wird korrekt aus dem LDAP gelesen (Vor
und Nachname), die Gruppenzugehörigkeit zu teachers wird erkannt: alle
teacher sind Kursersteller.

LG

Holger

Hallo Holger,

AFAIK ist das AD in UTF-8 kodiert, oder @jeffbeck ?

Passt schon, wenn leer wird cn genommen, das genau den identischen Wert wie sAMAccountName enthält.

Ist eh Standard.

VG, Thomas

Hallo Frank,
bei mir kommt nach der Eingabe (wie in deiner Anleitung) folgende Meldung bei der Überprüfung:

Die Gruppe cn=teachers,ou=groups für die Rolle Kursersteller/in existiert nicht oder kann nicht vom Bind-DN gelesen werden.

Viele Grüße
Matthias

Ich habe in meiner Anleitung die automatisierte Rollenzuweisung aus dem LDAP mit Absicht weggelassen, das kann man wirklich schneller als Admin im Moodle passend zusammenklicken, als da rumzuprobieren.

hi,
also lieber dann händisch die leute zu kurserstellern machen.

Wenn ich es leer lasse sind alle erst mal nur user die sich nur in Kurse einschreiben können?

Hallo,

also lieber dann händisch die leute zu kurserstellern machen.

Wenn ich es leer lasse sind alle erst mal nur user die sich nur in Kurse
einschreiben können?

ja und nein.
Ich verwalte das seit Jahren im Seminar so: niemand ist Kursersteller,
außer mir und 4 weiteren.
Alle anderen beantragen ihre Kurse einfach über den Beantragen knopf
(unter „Kurse“ ganz unten).
Dann bekomm ich eine automatische Mail und schalte den Kurs frei.

Aber jetzt, wo die Hütte brennt und viele Kurse schnell erstellt werden
sollen und ich auch sonst genügend zu arbeiten hab, würde ich auch zu
„jeder Lehrer darf anlegen“ tendieren …
Hab ich in dem neuen moodle an meiner Schule auch so gemacht am Montag.

LG

Holger

Es gibt ja durchaus auch Plugins für diesen Zweck:
Auto-Enrol zB.
https://moodle.org/plugins/enrol_autoenrol

Hallo,
das mit der automatischen „Kursersteller Einstellung“ klappt ja noch nicht.
Dann hätte ich noch eine Frage zu der Beantragung.

Ich hab die Beantragung aktiviert, finde diese aber als „lehrer“ im moodle leider nicht

Viele Grüße
Matthias

Hallo Matthias,

das mit der automatischen „Kursersteller Einstellung“ klappt ja noch nicht.
Dann hätte ich noch eine Frage zu der Beantragung.

Ich hab die Beantragung aktiviert, finde diese aber als „lehrer“ im
moodle leider nicht

oben links auf „Kurse“ klicken: in der Mitte erscheint die
Kursübersicht: dann ganz nach unten scrollen: voila → da ist der Knopf

LG

Holger

Hallo Holger,
oben links kann ich die linke Seite ein und ausschalten.
Eingeschaltet erscheint: Dashboard, Startseite, Kalender, Meine Daten
In der Mitte und sonst finde ich da leider nix.

VG Matthias

Hallo Matthias,

oben links kann ich die linke Seite ein und ausschalten.
Eingeschaltet erscheint: Dashboard, Startseite, Kalender, Meine Daten
In der Mitte und sonst finde ich da leider nix.

du mußt den Link „Alle Kurse“ einschalten.
Geh mal auf Webseiten Administration und tipp in das Suchfeld darunter
„alle Kurse“ ein: dann findest du die Einstellung.

LG

Holger

Hallo Holger,
sorry aber … Ich hab was in der Richtung gefunden, aber das bewirkt gar nichts.
LG
Was soll ich denn genau einschalten?
Vielleicht stimmt ja was mit der Nutzerrolle nicht.

PS:
Hab eben eingestellt, dass sich Nutzer, wenn sie sich zum ersten Mal anmelden auch selbst ihre Email Adresse eingeben können. Leider können Sie sich dann auch einen anderen Namen geben.
Vorher war das so, dass ein Fehler erschien. Und das wars dann. Dann musste ich als admin dem user erst mal eine e-mail eintragen.