Hallo Marcus,
deine LDAP_BASE ist falsch. Da muss so etwas wie DC=meine-domäne,DC=de stehen. Je nachdem, wie deine Domäne lautet.
Viele Grüße
Christoph
Hallo Marcus,
deine LDAP_BASE ist falsch. Da muss so etwas wie DC=meine-domäne,DC=de stehen. Je nachdem, wie deine Domäne lautet.
Viele Grüße
Christoph
Hallo Christoph,
leider hat dies auch nicht funktioniert.
Ich habe in greenlight/.env nochmals die LDAP-Sektion verändert indem ich folgende Daten eingetragen habe:
LDAP_SERVER=ldap://141.10.79.34
LDAP_PORT=389
LDAP_METHOD=""
LDAP_UID=uid
LDAP_BASE=DC=schule,DC=lokal
LDAP_BIND_DN=cn=admin,dc=schule,dc=lokal
LDAP_PASSWORD=gEheimesPassw0rt
LDAP_ROLE_FIELD=gidNumber
Die _Bind-Angaben waren die aus der slapd.conf unseres Schulservers.
Ich bin nun am Ende mit meinem Latein und vor allem meinen Nerven. Vielleicht gibt es ja noch nächste Woche eine Erleuchtung. Für heut mach ich aber Schluss.
Herzliche Grüße
Marcus
Hallo Marcus,
mit diesen Daten funktioniert es bei uns gut: /greenlight/.env (XX.XX.XX.XX ist unsere IP-Adresse in der Schule nach draußen):
LDAP_SERVER=XX.XX.XX.XX
LDAP_PORT=389
LDAP_METHOD=plain
LDAP_UID=uid
LDAP_BASE=ou=accounts,dc=XXX,dc=XXX
LDAP_BIND_DN=""
LDAP_PASSWORD=""
LDAP_ROLE_FIELD=gidNumber
Nach dem ändern der Datei habe ich den Server einfach komplett neu gestartet.
Auf dem Linuxmuster 6.2 Server in /etc/ldap/slapd.conf (XX.XX.XX.XX ist die IP-Adresse des BBB-Servers):
#Limits Access:
access to attrs=sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaPwdMustChange,sambaAcctFlags,userPassword
by anonymous peername.ip=XX.XX.X.XXX auth
by self peername.ip=127.0.0.1 write
by self ssf=56 write
by * none
Nach dem ändern der slapd.conf starte ich den ladp immer neu:
sudo service slapd restart
Die Firewall-Regel sieht so aus:
viele Grüße
Manuel
Hier muss man auf jeden Fall zwischen LMN 6.2 und LMN 7 unterscheiden. In der 6er erfolgt der auth ohne binduser, während in der 7 der global-binduser angegeben werden muss.
Hallo Manuel,
hat leider auch nicht geklappt. Ich schreib heut noch alles zurück und
dann werd ich mal Dienstag schauen, was mit der Firewall-Regel ist.
Herzliche Grüße und vielen Dank an alle, die mich in dem Problem so
klasse untersützen.
Marcus
Hallo zusammen,
ob man vom BBB-Server zum LDAP kommt, kann man ja einfach testen:
telnet <ip/fqdn> 389
Wenn es nicht geht -> Firewallregeln. Ich würde da nicht einfach immer weiter ausprobieren - das führt meist zu nichts (außer ab und zu einem Glückstreffer).
Unsere Einstellungen zum LDAP sehen minimal anders aus (6.2) - ich habe bei der LDAP_BASE nie das ou mit drin stehen:
LDAP_SERVER=<fqdn>
LDAP_PORT=389
LDAP_METHOD=plain
LDAP_UID=uid
LDAP_BASE=dc=linuxmuster,dc=local
LDAP_BIND_DN=""
LDAP_PASSWORD=""
LDAP_ROLE_FIELD=gidNumber
Vielleicht hilft es ja. Neu starten ist nicht nötig - wie in der Anleitung steht:
cd ~/greenlight
docker-compose down
docker-compose up -d
Wenn das nicht reicht, stimmt was viel grundlegenderes nicht.
Noch ein Hinweis: viele Einstellungen kann man „Update-fest“ machen, in dem man nicht direkt die Dateien verändert, sondern ein Skript unter /etc/bigbluebutton/bbb-conf/apply-config.sh
erstellt. Das wird beim Neustart des Dienstes berücksichtigt, was das Testen und Bearbeiten der Einstellungen etwas bequemer macht. Unseres sieht z.B. so aus:
#!/bin/bash -e
# This is a set of commands that will be run when vvv is restarted or the ip is set
# use this as local changes will be overwritten
echo " - Prevent viewers from sharing webcams"
sed -i 's/lockSettingsDisableCam=.*/lockSettingsDisableCam=true/g' /usr/share/bbb-web/WEB-INF/classes/bigbluebutton.properties
echo " - Set welcome messages"
sed -i 's/defaultWelcomeMessage=.*/defaultWelcomeMessage=Willkommen bei <b>%%CONFNAME%%<\/b>!<br><br>Folgende <a href="event:http:\/\/www.bigbluebutton.org\/html5"><u>Videos<\/u><\/a> geben eine kurze Einf\ü\;hrung in BigBlueButton.<br><br>Achtung: es werden nur Firefox und Chrome unterst\ü\;tzt! Um der Audiokonferenz teilzunehmen, bitte das Telefonsymbol dr\ü\;cken. Um st\ö\;rende Hinterger\ä\;usche zu vermeiden, idealerweise ein Headset nutzen./g' /usr/share/bbb-web/WEB-INF/classes/bigbluebutton.properties
echo " - Set welcome messages (footer)"
sed -i 's/defaultWelcomeMessageFooter=.*/defaultWelcomeMessageFooter=Dieser Server l\ä\;uft mit <a href="http:\/\/docs.bigbluebutton.org\/" target="_blank"><u>BigBlueButton<\/u><\/a>. BBB ist ein internes Kommunikationswerkzeug am Corvinianum Northeim. Nicht autorisierte Aufnahmen, Streaming und\/oder Weiterverbreitung von Konferenzinhalten werden ggf. strafrechtlich verfolgt./g' /usr/share/bbb-web/WEB-INF/classes/bigbluebutton.properties
echo " - Set default presentation"
sed -i 's/beans.presentationService.defaultUploadedPresentation=.*/beans.presentationService.defaultUploadedPresentation=${bigbluebutton.web.serverURL}\/corvi.pdf/g' /usr/share/bbb-web/WEB-INF/classes/bigbluebutton.properties
echo " - Mute on start"
sed -i 's/muteOnStart=.*/muteOnStart=true/g' /usr/share/bbb-web/WEB-INF/classes/bigbluebutton.properties
Die echo-Ausgabe (und eventuelle Fehler) wird beim Neustart über bbb-config --restart
mit ausgegeben. Dann weiß man gleich, dass er das gemacht hat.
Viele Grüße
Thomas
Moin Moin
Ich habe den BBB Server aufgesetzt und er funktioniert. Mit lokaler Anmeldung.
LDAPS an die V7 funktioniert nicht.
Was muss ich in der OpenSense einstellen, damit es klappt?
Firewall: NAT: Port Forward
habe ich auf 636 auf 10.0.0.1
Was sonst noch?
Grüßle
Ralf
Ergänzung:
Es reicht der Link für den Raum, auch Schüler müssen sich eigentlich nicht einloggen.
Viele Grüße
Wilfried
Ich antworte mal selbst:
Das Passwort für den global-binduser war falsch.
Kaum trägt man es richtig ein, dann klappts auch.
Und Danke @Tobias
auch für das wiki!
Grüßle
Ralf
Liebe BBB ler,
wenn sich ein neuer Lehrer anmeldet, dann muss ich ihn als Admin immer freischalten.
Wie kann das ohne mein Zutun gehen?
Grüßle
Ralf
Hallo Ralf,
Organisationseinstellungen
,Seiteneinstellungen
die Registrierungsmethode
auf offene Registrierung
stellen.Das ist alternativ auch in der Datei .env
auf dem Server möglich.
Viele Grüße
Christoph
Hallo Christoph,
das hatte ich mal drin, war aber wieder auf Genehmigen/Verweigern,
Herzlichen Dank
Grüßle
Ralf
Hallo @thoschi,
Das habe ich gemacht, und die Daten stimmen. Ich kann auf mein BBB-Server in die Konsole sogar ein ldapsearch zur Ldap-Server ausgeführt, und ich erhalte die Liste aller Lehrer problemlos : damit ist es kein FW Problem.
Trotzdem schaffe ich kein Einloggen per Ldap in Greenlight : muss man sich mit der Email oder per uid einloggen ?
In ~/greenlight/log/production.log
sehe ich leider keine Fehlermeldung.
Sonst noch eine Idee woran es liegen könnte ?
Danke und Gruß
Arnaud
Hallo Arnaud,
bei meinen LDAP-Einträge sind die ersten drei Zeilen anders, da es bei mir mit ldaps läuft:
LDAP_SERVER=richtige IP
LDAP_PORT=636
LDAP_METHOD=ssl
Ich kann nur betonen, dass bei mir der Befehl für Ruby (Zertifkat ignorieren) letztendlich entscheidend war:
cd greenlight
docker exec -it greenlight-v2 sed -i „s/‚simple_tls‘/{ :method => :simple_tls, :tls_options => { :verify_mode => OpenSSL::SSL::VERIFY_NONE } }/“ app/controllers/sessions_controller.rb
docker-compose restart
Ich habe ihn nach
docker-compose down
abgesetzt und nach
docker-compose up -d
nochmals, und dann hat es geklappt.
Viele Grüße
Wilfried
Hallo Wilfried,
Danke für deine Antwort. Das mit dem VERIFY_NONE hatte schon gemacht. Mit Port 636 klappt es jetzt, perfekt.
Gruß
Arnaud
Hallo zusammen.
Lest noch mal im Wiki nach.
Dort habe ich jetzt geschrieben, wie man das nach dem Absetzen des „sed“ Befehls zur Zertifikats-Nicht-Prüfung das docker image „commit“ en kann, damit das auch für reboots und docker-compose -d down/up Befehle persistent ist.
Vg, Tobias
Hallo Holger,
du hast an anderer Stelle bzgl. des Echo-Tests geschrieben:
„Dann hab ich mal den folding@home Prozess auf „wenig“ gestellt statt
„mittel“, dann ging es viel schneller.“
Wo finde ich denn diese Einstellmöglichkeit?
Viele Grüße
Wilfried
Hallo Wilfried,
du hast an anderer Stelle bzgl. des Echo-Tests geschrieben:
„Dann hab ich mal den folding@home Prozess auf „wenig“ gestellt statt
„mittel“, dann ging es viel schneller.“Wo finde ich denn diese Einstellmöglichkeit?
das bezieht sich auf meinen eigenen Rechner. Da geht das im FAHcontrol.
Einfach den Schieberegler bemühen.
noch schneller solle es aber mit Chromium gehen.
LG
Holger
Hallo Wilfried,
ich komme so langsam weg von ldap. Die Kolleginnen und Kollegen, die BBB nutzen möchten, akzeptieren die Anmeldepflicht und ich habe ein wenig mehr Kontrolle drüber.
Was mich nur wundert sind Zertifikatsfehler, die mir bei Session-URLs angezeigt werden, je nachdem wie ich den Zugang weitergebe. Unsere URL für BBB ist https://mgg-bbb.work. Wenn ich nun Räume aufmache, und die URL abschreibe, dann darf ich kein https://www.mgg-bbb.work/b/Raumnummer nehmen, sondern ich muss https://mgg-bbb.work/b/Raumnummer verwenden. So wie ich das sehe, muss ich hier in die nginx-conf noch weitere URL-Ziele reinschreiben, dass Let’s Encrypt ein Zertifikat für alle möglichen Variationen der URL ausspuckt. Wie seht ihr das?
Viele Grüße
Marcus
Hallo Marcus,
bis auf den „lokalen“ BBB-Admin habe ich keine Erfahrungen mit der Nutzung ohne LDAP. Bislang (ist ja erst kurz in Betrieb) funktioniert es aber mit LDAP. Ich finde es bequem, dass so die Nutzerrechte automatisch geregelt werden.
Viele Grüße
Wilfried