{"id":4284,"date":"2014-09-23T09:35:02","date_gmt":"2014-09-23T07:35:02","guid":{"rendered":"https:\/\/www.bdjl.de\/localhost\/?p=4284"},"modified":"2014-12-21T10:19:52","modified_gmt":"2014-12-21T09:19:52","slug":"ldaps-von-dokuwiki-auf-ld-server","status":"publish","type":"post","link":"https:\/\/www.bdjl.de\/localhost\/?p=4284","title":{"rendered":"LDAPs von DokuWiki auf LD-Server"},"content":{"rendered":"<div class=\"entry-content\">\n<p>In unser Portfolio sollen nur die Kolleg\/innen reinkommen und nicht die Sch\u00fcler\/innen. Also authentifizierte dieses zun\u00e4chst nur gegen\u00fcber dem Lehrermoodle \u2013 seit ein paar Tagen jedoch auch gegen\u00fcber dem hausinternen LDAP-Server \u00fcber eine verschl\u00fcsselte Verbindung.<\/p>\n<p>DokuWiki, die Basis f\u00fcr das Portfoliosystem, erlaubt hierbei jegliche Mischung aus Authentifizierungsverfahren, sofern man das Plugin <a href=\"https:\/\/www.dokuwiki.org\/plugin:authchained\" target=\"_blank\">AuthChained<\/a> installiert hat. In unserem Fall lege ich die Administratoren und Redakteure h\u00e4ndisch in der DokuWiki eigenen Datenbank an \u2013 die nur lesenden Benutzer\/innen d\u00fcrfen \u00fcber LDAPs kommen. Sie sollen in der Default-Gruppe <em>visitor<\/em> landen, die im Backend von Dokuwiki so eingerichtet wurde, dass sie nur lesenden Zugriff auf die Portfolio-Seiten erhalten.<\/p>\n<p>Dann wurde die <em>dokuwiki\/config\/local.php<\/em> umgestaltet. Hier die Variablen, die am Ende des Config-Marathons endlich die intendierte Wirkung hatten:<\/p>\n<pre class=\"lang:default decode:true \">$conf['authtype'] = \u2018authchained';\r\n$conf['defaultgroup'] = \u2018visitor';\r\n$conf['disableactions'] = \u2018register';\r\n$conf['plugin']['authldap']['server'] = \u2018ldaps:\/\/ip.des.servers.tld:636?;\r\n$conf['plugin']['authldap']['port'] = 636;\r\n$conf['plugin']['authldap']['usertree'] = \u2018dc=schule,dc=ort,dc=schule-bw,dc=de';\r\n$conf['plugin']['authldap']['userfilter'] = \u2018(&amp;(uid=%{user})(objectClass=ldUserAccount)(ldRole=teacher))';\r\n$conf['plugin']['authldap']['version'] = 3;\r\n$conf['plugin']['authchained']['authtypes'] = \u2018authldap:authplain';\r\n$conf['plugin']['authchained']['usermanager_authtype'] = \u2018authplain';\r\n$conf['auth']['chained']['authtypes'] = \u2018ldap,plain';\r\n$conf['auth']['chained']['usermanager_authtype'] = \u2018plain';\r\n$conf['auth']['chained']['find_auth_by_password'] = \u2018false';\r\n$conf['auth']['ldap']['version'] = \u20183\u2019;<\/pre>\n<p>ldUserAccount und ldRole sind spezifisch f\u00fcr MySHN bzw. LogoDidact Systeme. Andere Schulserver-L\u00f6sungen haben sicherlich andere Bezeichnungen. Die Eintr\u00e4ge in den LDAP von LMN sind in deren Wiki hervorragend dokumentiert und lieferten auch f\u00fcr obige LD-L\u00f6sung viele Ideen:<\/p>\n<p><a href=\"http:\/\/www.linuxmuster.net\/wiki\/anwenderwiki:webapps:portfolio#anpassen_der_grundkonfiguration_des_osp\" target=\"_blank\">http:\/\/www.linuxmuster.net\/wiki\/anwenderwiki:webapps:portfolio#anpassen_der_grundkonfiguration_des_osp<\/a><\/p>\n<p>Anmeldeversuche von SuS werden nun mit der Fehlermeldung \u201cBenutzername und \/ oder Passwort unbekannt\u201d abgewiesen. Dokuwiki sucht schlie\u00dflich nicht im LDAP-Baum nach allen Menschen auf ServerG, sondern nur noch nach LuL. Vermutlich ist das overkill, denn im Userfilter steht ja ebenfalls drin, dass nur LuL reind\u00fcrfen. Aber es funktioniert und scheint mir sicherer zu sein.<\/p>\n<p>Da der schulische LD-Server f\u00fcr LDAPs nur ein self-signed Zertifikat ausliefert kommt noch ein Eintrag in die <em>\/etc\/ldap\/ldap.conf<\/em> auf dem Dokuwiki-Server<\/p>\n<pre class=\"lang:default decode:true\">TLS_REQCERT allow<\/pre>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>In unser Portfolio sollen nur die Kolleg\/innen reinkommen und nicht die Sch\u00fcler\/innen. Also authentifizierte dieses zun\u00e4chst nur gegen\u00fcber dem Lehrermoodle \u2013 seit ein paar Tagen jedoch auch gegen\u00fcber dem hausinternen LDAP-Server \u00fcber eine verschl\u00fcsselte Verbindung. DokuWiki, die Basis f\u00fcr das Portfoliosystem, erlaubt hierbei jegliche Mischung aus Authentifizierungsverfahren, sofern man das Plugin AuthChained installiert hat. In [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[15,5,10],"tags":[469,468,489,470],"class_list":["post-4284","post","type-post","status-publish","format-standard","hentry","category-dokuwiki","category-linux","category-schule","tag-auth","tag-ldap","tag-logodidact","tag-myshn"],"_links":{"self":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts\/4284","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4284"}],"version-history":[{"count":6,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts\/4284\/revisions"}],"predecessor-version":[{"id":4414,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts\/4284\/revisions\/4414"}],"wp:attachment":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4284"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4284"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4284"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}