Wie kann man BBB ohne Moodle mit Greenlight nutzen (und an die LMN anbinden)

Leider klappt das auch nicht.

Ich poste hier mal meine greenlight/.env-Einstellungen.

Vielleicht fällt ja dem einen oder anderen auf was ich falsch mache.

LDAP_SERVER=141.10.xx.xx

LDAP_PORT=389

LDAP_METHOD=""

LDAP_UID=uid

LDAP_BASE=141.10.xx.xx

LDAP_BIND_DN=""

LDAP_PASSWORD=""

LDAP_ROLE_FIELD=gidNumber

Es könnte natürlich sein, dass wir für den ldap-Server einen anderen Port eingestellt haben. Das müsste ich dann noch in der Schule Gegenchecken.

Ansonsten trägt der BBB-Server fleißig an (das sieht man an einer kleinen Wartezeit) und stellt dann doch noch Fehler 500 ein.

Herzliche Grüße
Marcus

Hallo Marcus,

deine LDAP_BASE ist falsch. Da muss so etwas wie DC=meine-domäne,DC=de stehen. Je nachdem, wie deine Domäne lautet.

Viele Grüße
Christoph

Hallo Christoph,
leider hat dies auch nicht funktioniert.

Ich habe in greenlight/.env nochmals die LDAP-Sektion verändert indem ich folgende Daten eingetragen habe:

LDAP_SERVER=ldap://141.10.79.34

LDAP_PORT=389

LDAP_METHOD=""

LDAP_UID=uid

LDAP_BASE=DC=schule,DC=lokal

LDAP_BIND_DN=cn=admin,dc=schule,dc=lokal

LDAP_PASSWORD=gEheimesPassw0rt

LDAP_ROLE_FIELD=gidNumber 

Die _Bind-Angaben waren die aus der slapd.conf unseres Schulservers.
Ich bin nun am Ende mit meinem Latein und vor allem meinen Nerven. Vielleicht gibt es ja noch nächste Woche eine Erleuchtung. Für heut mach ich aber Schluss.

Herzliche Grüße
Marcus

Hallo Marcus,

mit diesen Daten funktioniert es bei uns gut: /greenlight/.env (XX.XX.XX.XX ist unsere IP-Adresse in der Schule nach draußen):

LDAP_SERVER=XX.XX.XX.XX
LDAP_PORT=389
LDAP_METHOD=plain
LDAP_UID=uid
LDAP_BASE=ou=accounts,dc=XXX,dc=XXX
LDAP_BIND_DN=""
LDAP_PASSWORD=""
LDAP_ROLE_FIELD=gidNumber

Nach dem ändern der Datei habe ich den Server einfach komplett neu gestartet.

Auf dem Linuxmuster 6.2 Server in /etc/ldap/slapd.conf (XX.XX.XX.XX ist die IP-Adresse des BBB-Servers):

#Limits Access:
access to attrs=sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaPwdMustChange,sambaAcctFlags,userPassword
       by anonymous peername.ip=XX.XX.X.XXX auth                                                                       
       by self peername.ip=127.0.0.1 write
       by self ssf=56 write
       by * none

Nach dem ändern der slapd.conf starte ich den ladp immer neu:
sudo service slapd restart

Die Firewall-Regel sieht so aus:

IPFire BBB LDAP1282×1184 194 KB

viele Grüße
Manuel

Hier muss man auf jeden Fall zwischen LMN 6.2 und LMN 7 unterscheiden. In der 6er erfolgt der auth ohne binduser, während in der 7 der global-binduser angegeben werden muss.

Hallo Manuel,

hat leider auch nicht geklappt. Ich schreib heut noch alles zurück und
dann werd ich mal Dienstag schauen, was mit der Firewall-Regel ist.

Herzliche Grüße und vielen Dank an alle, die mich in dem Problem so
klasse untersützen.

Marcus

Hallo zusammen,

ob man vom BBB-Server zum LDAP kommt, kann man ja einfach testen:

telnet <ip/fqdn> 389

Wenn es nicht geht -> Firewallregeln. Ich würde da nicht einfach immer weiter ausprobieren - das führt meist zu nichts (außer ab und zu einem Glückstreffer).

Unsere Einstellungen zum LDAP sehen minimal anders aus (6.2) - ich habe bei der LDAP_BASE nie das ou mit drin stehen:

LDAP_SERVER=<fqdn>
LDAP_PORT=389
LDAP_METHOD=plain
LDAP_UID=uid
LDAP_BASE=dc=linuxmuster,dc=local
LDAP_BIND_DN=""
LDAP_PASSWORD=""
LDAP_ROLE_FIELD=gidNumber

Vielleicht hilft es ja. Neu starten ist nicht nötig - wie in der Anleitung steht:

cd  ~/greenlight
docker-compose down
docker-compose up -d

Wenn das nicht reicht, stimmt was viel grundlegenderes nicht.

Noch ein Hinweis: viele Einstellungen kann man „Update-fest“ machen, in dem man nicht direkt die Dateien verändert, sondern ein Skript unter /etc/bigbluebutton/bbb-conf/apply-config.sh erstellt. Das wird beim Neustart des Dienstes berücksichtigt, was das Testen und Bearbeiten der Einstellungen etwas bequemer macht. Unseres sieht z.B. so aus:

#!/bin/bash -e

# This is a set of commands that will be run when vvv is restarted or the ip is set
# use this as local changes will be overwritten

echo "  - Prevent viewers from sharing webcams"
sed -i 's/lockSettingsDisableCam=.*/lockSettingsDisableCam=true/g' /usr/share/bbb-web/WEB-INF/classes/bigbluebutton.properties

echo "  - Set welcome messages"
sed -i 's/defaultWelcomeMessage=.*/defaultWelcomeMessage=Willkommen bei <b>%%CONFNAME%%<\/b>!<br><br>Folgende <a href="event:http:\/\/www.bigbluebutton.org\/html5"><u>Videos<\/u><\/a> geben eine kurze Einf\&uuml\;hrung in BigBlueButton.<br><br>Achtung: es werden nur Firefox und Chrome unterst\&uuml\;tzt! Um der Audiokonferenz teilzunehmen, bitte das Telefonsymbol dr\&uuml\;cken. Um st\&ouml\;rende Hinterger\&auml\;usche zu vermeiden, idealerweise ein Headset nutzen./g' /usr/share/bbb-web/WEB-INF/classes/bigbluebutton.properties

echo "  - Set welcome messages (footer)"
sed -i 's/defaultWelcomeMessageFooter=.*/defaultWelcomeMessageFooter=Dieser Server l\&auml\;uft mit <a href="http:\/\/docs.bigbluebutton.org\/" target="_blank"><u>BigBlueButton<\/u><\/a>. BBB ist ein internes Kommunikationswerkzeug am Corvinianum Northeim. Nicht autorisierte Aufnahmen, Streaming und\/oder Weiterverbreitung von Konferenzinhalten werden ggf. strafrechtlich verfolgt./g' /usr/share/bbb-web/WEB-INF/classes/bigbluebutton.properties

echo "  - Set default presentation"
sed -i 's/beans.presentationService.defaultUploadedPresentation=.*/beans.presentationService.defaultUploadedPresentation=${bigbluebutton.web.serverURL}\/corvi.pdf/g' /usr/share/bbb-web/WEB-INF/classes/bigbluebutton.properties

echo "  - Mute on start"
sed -i 's/muteOnStart=.*/muteOnStart=true/g' /usr/share/bbb-web/WEB-INF/classes/bigbluebutton.properties

Die echo-Ausgabe (und eventuelle Fehler) wird beim Neustart über bbb-config --restart mit ausgegeben. Dann weiß man gleich, dass er das gemacht hat.

Viele Grüße
Thomas

Moin Moin
Ich habe den BBB Server aufgesetzt und er funktioniert. Mit lokaler Anmeldung.
LDAPS an die V7 funktioniert nicht.

Was muss ich in der OpenSense einstellen, damit es klappt?
Firewall: NAT: Port Forward
habe ich auf 636 auf 10.0.0.1
Was sonst noch?

Grüßle
Ralf

Ergänzung:

Es reicht der Link für den Raum, auch Schüler müssen sich eigentlich nicht einloggen.

Viele Grüße

Wilfried

Ich antworte mal selbst:
Das Passwort für den global-binduser war falsch.
Kaum trägt man es richtig ein, dann klappts auch.

Und Danke @Tobias
auch für das wiki!

Grüßle
Ralf

Liebe BBB ler,

wenn sich ein neuer Lehrer anmeldet, dann muss ich ihn als Admin immer freischalten.

Wie kann das ohne mein Zutun gehen?
Grüßle
Ralf

Hallo Ralf,

• als Administrator anmelden,
• zu Organisationseinstellungen,
• unter Seiteneinstellungen die Registrierungsmethode auf offene Registrierung stellen.

Das ist alternativ auch in der Datei .env auf dem Server möglich.

Viele Grüße
Christoph

Hallo Christoph,

das hatte ich mal drin, war aber wieder auf Genehmigen/Verweigern,

Herzlichen Dank
Grüßle
Ralf

Hallo @thoschi,

Das habe ich gemacht, und die Daten stimmen. Ich kann auf mein BBB-Server in die Konsole sogar ein ldapsearch zur Ldap-Server ausgeführt, und ich erhalte die Liste aller Lehrer problemlos : damit ist es kein FW Problem.

Trotzdem schaffe ich kein Einloggen per Ldap in Greenlight : muss man sich mit der Email oder per uid einloggen ?
In ~/greenlight/log/production.log sehe ich leider keine Fehlermeldung.
Sonst noch eine Idee woran es liegen könnte ?

Danke und Gruß

Arnaud

Hallo Arnaud,

bei meinen LDAP-Einträge sind die ersten drei Zeilen anders, da es bei mir mit ldaps läuft:

LDAP_SERVER=richtige IP
LDAP_PORT=636
LDAP_METHOD=ssl

Ich kann nur betonen, dass bei mir der Befehl für Ruby (Zertifkat ignorieren) letztendlich entscheidend war:

cd greenlight
docker exec -it greenlight-v2 sed -i „s/‚simple_tls‘/{ :method => :simple_tls, :tls_options => { :verify_mode => OpenSSL::SSL::VERIFY_NONE } }/“ app/controllers/sessions_controller.rb
docker-compose restart

Ich habe ihn nach

docker-compose down
abgesetzt und nach
docker-compose up -d
nochmals, und dann hat es geklappt.

Viele Grüße

Wilfried

Hallo Wilfried,

Danke für deine Antwort. Das mit dem VERIFY_NONE hatte schon gemacht. Mit Port 636 klappt es jetzt, perfekt.

Gruß

Arnaud

Hallo zusammen.
Lest noch mal im Wiki nach.
Dort habe ich jetzt geschrieben, wie man das nach dem Absetzen des „sed“ Befehls zur Zertifikats-Nicht-Prüfung das docker image „commit“ en kann, damit das auch für reboots und docker-compose -d down/up Befehle persistent ist.
Vg, Tobias

Hallo Holger,

du hast an anderer Stelle bzgl. des Echo-Tests geschrieben:

„Dann hab ich mal den folding@home Prozess auf „wenig“ gestellt statt
„mittel“, dann ging es viel schneller.“

Wo finde ich denn diese Einstellmöglichkeit?

Viele Grüße

Wilfried

Hallo Wilfried,

du hast an anderer Stelle bzgl. des Echo-Tests geschrieben:

„Dann hab ich mal den folding@home Prozess auf „wenig“ gestellt statt
„mittel“, dann ging es viel schneller.“

Wo finde ich denn diese Einstellmöglichkeit?

das bezieht sich auf meinen eigenen Rechner. Da geht das im FAHcontrol.
Einfach den Schieberegler bemühen.

noch schneller solle es aber mit Chromium gehen.

LG

Holger

Hallo Wilfried,

ich komme so langsam weg von ldap. Die Kolleginnen und Kollegen, die BBB nutzen möchten, akzeptieren die Anmeldepflicht und ich habe ein wenig mehr Kontrolle drüber.

Was mich nur wundert sind Zertifikatsfehler, die mir bei Session-URLs angezeigt werden, je nachdem wie ich den Zugang weitergebe. Unsere URL für BBB ist https://mgg-bbb.work. Wenn ich nun Räume aufmache, und die URL abschreibe, dann darf ich kein https://www.mgg-bbb.work/b/Raumnummer nehmen, sondern ich muss https://mgg-bbb.work/b/Raumnummer verwenden. So wie ich das sehe, muss ich hier in die nginx-conf noch weitere URL-Ziele reinschreiben, dass Let’s Encrypt ein Zertifikat für alle möglichen Variationen der URL ausspuckt. Wie seht ihr das?

Viele Grüße
Marcus