ich setze das Linuxmuster-System seit knapp 2 Jahren an unserer Schule ein und bin begeistert, scheitere aber gerade bei der Anbindung von WebUntis an unseren Server. Dieser hängt an einem Internet-Anschluss mit fester IP und Lets Encrypt - Zertifikat, so dass ich später eigentlich gerne ldaps verwenden würde. Aktuell schiebe ich über die ipFire aber stumpf zum Test den ldaps-Port auf den ldap-Port, so dass ich ldap verwenden könnte.
Leider scheitert die Authentifizierung gegen unseren Linuxmuster-Server - die ldap-Verbindung wird aber laut WebUntis-Oberfläche aufgebaut. Die Konfiguration habe ich mir aus Linuxmuster - Anleitung und WebUntis-Hilfe zusammen gebastelt, komme jetzt aber nicht weiter.
Sieht jemand meinen Fehler? Hier haben doch zahlreiche Schulen WebUnits in Betrieb …
ich gehe davon aus, dass die MusterDN bei dir vollständig ist. Ansonsten
habe ich folgende abweichende Einstellungen verwendet und komme damit
gut zurecht.
Personenrolle “/home/teachers/”
Personenidentifizierung “Attribut für Familiennahme und Vorname”
LDAP ID Attribute “sn givenName”
Und dann bei Standard Benutzergruppe Lehrer.
Ich habe oben als Benutzer und Passwort außerdem meinen eigenen Nutzer
reingeschrieben. Ob das von Bedeutung ist weiß ich aber gerade nicht.
Ich glaube man muss da nichts rein schreiben.
Zum einen ist der LDAP Benutzer nicht in ldap-Syntax angegeben, dieser bind user sollte ein benutzer im ldap sein, der genutzt werden muss wenn anonymer Zugriff zum LDAP verboten ist.
Aus der Hilfe zu Untis lese ich, dass für die Authentifizierung entweder die MusterDN oder die Kombination aus BaseDN und Filter genutzt werden können.
Im Falle der letzteren Option würde, wenn der User uid=abc,ou=Users,dc=example,dc=com authenzifiziert werden soll, die BaseDN z.B. ou=Users,dc=example,dc=com lauten.
Dann werden alle Elemente unter ou=Users gefiltert und es sollten Benutzer erkannt werden.
Um nachzuschauen wie der lang LDAP-Name der Benutzer ist kann man den output von slapcat als root auf dem LDAP-Server durchforsten, am besten allerdings mit grep filtern, da der Output sehr umfangreich ist.
Das komische ist, dass sobald ich den Eintrag zum LDAP-Benutzernamen und LDAP-Passwort lösche, diese nach dem Schließen und Neuaufrufen der “Integration”-Seite unter WebUntis wieder auf admin und ein maskiertes Passwort gesetzt sind?
Gemäß der Anleitung habe ich die IP vom WebUntis-Server in /etc/ldap/slapd.conf auf dem LinuxMuster-Server für die Authentifizierung eingetragen.
Die LDAP-Connection ist ja laut Ausgabe der WebUntis-Integrations-Seite “ok” - nur finde ich keinen Benutzer, der zum eingegebenen Linuxmuster-User “passt”. Muss ich irgendwo noch mehr anpassen?
By the way: Schulintern haben wir einen Moodle-Server stehen, der ebenfalls über ldap die Benutzer des Linuxmuster - Servers abgreift. Das funktioniert tadellos. Firewall-Regeln habe ich natürlich auch angelegt.
Außerdem bitte beachten:
Userfilter der alle LDAP-Accounts zulässt:
(&(objectClass=posixAccount)((uid={0})))
Dabei ist es wichtig, dass bei ’ MusterDn für Benutzersuche ’ NICHTS eingetragen ist, da sonst der Filter nicht mehr greift!
klingt so, als sollte ich besser gleich Richtung ldaps gehen als erst einen Work-Around für ldap zu basteln.
Daher meine nächsten Fragen:
ich nutze für unsere Domain ein Zertifikat von Let’S Encrypt. Gehen die mittlerweile? Ich hatte mal gelesen, dass die teils Probleme verursachen und nicht richtig laufen.
welche der von Let’s Encrypt erzeugten Dateien muss ich in /etc/ldap/slapd.conf eintragen?
hat jemand eine für dieses Szenario passende Einstellung für die Web-Untis-Maske parat? Wäre super
Erst wenn 1. funktioniert, Benutzer über LDAP finden von WebUntis aus prüfen.
Erst dann evtl. Einschränkungen im Userfilter vornehmen und weiter testen.
Erst wenn 2. funktioniert, umstellen auf LDAPS
Dafür habe ich mir den Certbot auf dem LMN-Server installieren lassen durch netzint.
Das funktioniert gut. Seit dem letzten WebUntis-Update war nur die Verwendung der URL statt der IP im Feld ‚LDAP Server URL‘ nötig. WebUntis Update - erneut ldap Probleme - #4 von schajor
habe es inzwischen ans Laufen bekommen. Die Konfiguration war soweit okay, hatte nur den hier schon beschriebenen Spaß, dass ich die falsche IP eingetragen hatte: nicht die IP der Webuntis-Seite sondern ein anderer Server fragt ja via LDAP nach.
Kann bei Bedarf um das Thema hier abzuschließen gerne meine Konfig einmal angeben - dann muss der nächste nicht alles zusammensuchen