Moodle ldaps LMLv6.2

Hallo Leute,

ich scheine irgendwo einen denkfehler zu haben und hoffe ihr Könnt mir weiterhelfen.

Habe in der DMZ einen Moodle Server installiert. Dieser ist von außen über eine dyndns adresse aufrufbar und mittels certbot https verschlüsselt.
über den befehl telnet 10.16.1.1 636 sehe ich auch das der moodle Server die LML erreichen kann.

Über diese Anleitung habe ich die ldap authentifizierung eingerichtet.

https://wiki.linuxmuster.net/community/anwenderwiki:webapps:moodle:moodle_extern_gegenldap62:start

Bei Host URL steht bei mir ldaps://10.16.1.1:636

wenn ich das speichere und die Einstellungen überprüfen will kriege ich folgende Fehlermeldung:
"Das LDAP-Modul kann keine Serververbindung herstellen: Server: ‚ldaps://10.16.1.1:636‘, Connection: ‚Resource id #556‘, Bind result =: "

weiß jemand was ich hier falsch habe?
grüße
Michael

Hallo Michael,

ob es falsch ist, weiß ich nicht, aber bei mir steht der Port gar nicht da.
VG
Christian

Hi Christian,
danke für den tipp aber das wars leider nicht.
Selber fehler wie vorher auch

grüße
Michael

Was sagt die Firewall – ist der Zugriff von der DMZ → grün auf diesem Port erlaubt?

Laut telnet problemlos möglich, habe testweise auch einfach mal alles aufgemacht aber der Fehler bleibt trotzdem.

Habs auch eben nochmal über extern versucht.
Telnet sagt „jo geht“ und Moodle Server sagt „nein“.
Gibts denn im Moodle Server eine einstellung die falsch sein könnte?
So richtig will mir gerade keine einfallen.

Zwei Punkte noch, die du prüfen könntest:

  • Hast du einen Bind User in Moodle angegeben? Sollte für Lmn 6.2 leer sein.
  • Muss für LDAP nicht auch die IP explizit auf dem Server in slapd.conf erlaubt werden? Dann würde telnet evtl. trotzdem gehen und die ldap-Anfrage nicht.

VG
Christian

Hi Christian,

Anmeldename und Kennwort sind leer.
das mit der slapd.conf hatte tatsächlich noch gefehlt aber auch das bringt leider nicht das gewünschte ergebnis, fehler ist immernoch der selbe…ich bin genervt :smiley:

grüße
Michael

Hallo Michael,

sicherheitshalber: hast du den Dienst slapd mit „service slapd restart“ neu gestartet?
Dann würde ich das loglevel „hochsetzen“, was in diesem Fall glaube ich -1 statt 0 heißt. Vielleicht gibt es dann eine ausführlichere Fehlermeldung zu sehen.
VG
Christian

hab direkt den Server neugestartet.
kann mir auch über ldapsearch -x -H ldaps://10.16.1.1 den inhalt ausgeben.
Ich hatte diesen Fehler früher lustigerweise früher schonmal

leider ist es diesmal nicht dieser Fehler :smiley:

Hallo Michael,

das kann so nicht funktionieren: Du kontaktierst den Server über 10.16.1.1, der zeigt dann aber ein Zertifikat für deine Domäne vor.

Du musst also die URL ldaps://server.deine-domain.de verwenden. Eventuell musst Du dazu auf dem Moodle-Rechner in der Datei /etc/hosts den Eintrag:

10.16.1.1 server.deine-domain.de

setzen.

In der Datei /etc/ldap/slapd.conf muss die IP bei ldaps nicht eingetragen werden, nur bei ldap ohne s. Auch bei ldap mit starttls über den normalen Port nicht. Verschlüsselte Anfragen sind aus der ganzen Welt erlaubt.

Beste Grüße

Jörg

Hi Jörg,
habe ich angepasst, ist über die domain auch erreichbar und ich habe auch den moodle neu gestartet, leider immernoch der selbe Fehler :frowning:

Außerdem: wieso funktioniert dieswe weg dann unter der LMLv7?
da Habe ich auch moodle mit letsancrypt laufen und habe als ldapserver ldaps://10.16.1.1 verwendet.

Grüße
Michael

Hallo Michael,

hast du am moodleserver in die /etc/ldap/ldap.conf

TLS_REQCERT never

reingeschrieben?

Gib doch auch mal einen binduser an (mit Passwort).
Ich hatte da mal eine Weile meinen Lehreraccount als binuser drin …

LG

Holger

Ach Holger wenn ich dich manchmal nich hätte :smiley:
TLS_REQCERT never auf dem Moodle hat gefehlt…eingetragen und schon ging es

Danke fürs mit mitdenken leute :slight_smile:

Grüße
Michael

Hallo Michael,

ich hab deinen Beitrag als Lösung markiert.
Für alle zum mitdenken: dein ldap ist mit einem selbstsignierten Zertifikat gesichert: das wird vom php-ldap auf dem moodleserver abgelehnt, weil „nicht vertrauenswürdig“ (und das stimmt ja auch).
deswegen der Eintrag in die /etc/ldap/ldap.conf auf dem moodleserver.
Das sagt dem php-ldap „schnauze halten… weiter machen…“ :slight_smile:
LG

Holger

1 Like

Hallo Michael,

es lag also doch am Zertifikat. Durch den Eintrag gemäß Holgers Tipp hast Du die Prüfung des Zertifikats abgeschaltet, was in Ordnung ist, wenn Du mit keinem Mann in der Mitte rechnen musst. Nun wird das „falsche“ Zertifikat akzeptiert. Alternativ wäre es auch über die Domain gegangen, da gab es eventuell noch weiter Ecken und Kanten. Aber wenn es für Dich passt - wunderbar.

Beste Grüße

Jörg