{"id":4403,"date":"2014-12-20T11:40:41","date_gmt":"2014-12-20T10:40:41","guid":{"rendered":"https:\/\/www.bdjl.de\/localhost\/?p=4403"},"modified":"2014-12-21T10:16:35","modified_gmt":"2014-12-21T09:16:35","slug":"ldaps-von-owncloud-auf-ld-server","status":"publish","type":"post","link":"https:\/\/www.bdjl.de\/localhost\/?p=4403","title":{"rendered":"LDAPs von ownCloud auf LD-Server"},"content":{"rendered":"

Nicht nur die Anbindung des LD-Servers an eine externe DokuWiki Installation<\/a>, sondern auch an ein externes ownCloud funktioniert \u00fcber LDAPs und l\u00e4sst sich wie folgt einrichten:<\/p>\n

Der erste Schritt ist vom OC-Administrator vorzunehmen, der im Backend die LDAP App einschalten muss. Weiter muss auf dem ownCloud-Server auch php5-ldap installiert sein und in der folgenden Datei die Pr\u00fcfung auf Zertifikate abgeschaltet werden, wenn man intern auf dem LD-Server f\u00fcr den eigenen LDAP nur selbst-signierte Zertifikate einsetzt (was in den meisten F\u00e4llen zutreffen d\u00fcrfte – leider):<\/p>\n

# \/etc\/ldap\/ldap.conf\r\n\r\nTLS_REQCERT allow<\/pre>\n
Als OC-Administrator l\u00e4sst sich dann unter dem Men\u00fc-Eintrag \/Administration die restliche Konfiguration vornehmen.<\/p>\n
\"ocldap-server\"<\/a><\/p>\n
In der Server-Registerkarte ist die URL (besser: IP) f\u00fcr den LD-Server zu hinterlegen. Danach klickt man einmal in Benutzer-DN, tr\u00e4gt aber nix ein, klickt einmal in Passwort, tr\u00e4gt aber nix ein und schreibt dann die DN Angaben in das letzte Feld. Bei BelW\u00fc-Kunden d\u00fcrfte es sich hierbei um einen Eintrag in der folgenden Form handeln:<\/p>\n
dc=schulkuerzel,dc=stadt,dc=schule-bw,dc=de<\/pre>\n
Dann klickt man auf Fortsetzen – wie auch bei allen anderen folgenden Registerkarten.<\/p>\n
\"ocldap-userfilter\"<\/a><\/p>\n
In der Nutzer-Filter-Registerkarte sollte inetOrgPerson vorausgew\u00e4hlt sein und ownCloud auch gleich alle internen Benutzer (und Workstations etc.) finden. Im Bild oben sind dies 1008 Benutzer. Das sind etwas viele, die sich anmelden d\u00fcrften, weswegen man Beschr\u00e4nkungen vornehmen sollte. Im Folgenden beschr\u00e4nke ich die Nutzung f\u00fcr die Gruppe der Lehrer\/innen.<\/p>\n
\"ocldap-loginfilter\"<\/a><\/p>\n
Die Beschr\u00e4nkung erfolgt schon bei der Anmeldung: Nur Mitglieder der Gruppe teacher werden akzeptiert. Die entscheidende Funktion wird durch vorausw\u00e4hlbare Eintr\u00e4ge nicht scharf schaltbar, weshalb man selbst den Original-Filter bearbeiten muss, so dass dieser am Ende wie folgt aussieht:<\/p>\n
(&(|(objectclass=inetOrgPerson))(|(ldRole=teacher))(|(uid=%uid)(|(mailPrimaryAddress=%uid)(mail=%uid))(|(cn=%uid))))<\/pre>\n
Hinzugef\u00fcgt wurde in die Voreinstellungen ein<\/p>\n
(|(ldRole=teacher))<\/pre>\n
\"ocldap-groupfilter\"<\/a><\/p>\n
Der Gruppen-Filter von ownCloud bezieht sich n\u00e4mlich nicht auf die Benutzerrechte im Anmeldekontext, sondern lediglich auf das Recht, innerhalb von ownCloud Gruppen bilden zu d\u00fcrfen.<\/p>\n
Was bei der Arbeit auf jeden Fall hilft, ist einmal auf dem LD-Server mit tshark zu gucken, ob \u00fcberhaupt LDAPs Anfragen ankommen.<\/p>\n
tshark -i extern port 636<\/pre>\n
Weiter macht es Sinn mit<\/p>\n
tail -f \/var\/www\/owncloud\/data\/owncloud.log<\/pre>\n
zu verfolgen, was alles bei den Anmeldeversuchen schief l\u00e4uft. Man braucht mindestens einen Lehreraccount und einen Sch\u00fcleraccount zum Testen – sonst wird man irre. Auch darf man damit rechnen, dass man mehrfach<\/p>\n
service apache2 restart<\/pre>\n
auf dem ownCloud Server ben\u00f6tigt, weil sich dieser an den Einstellungen verschluckt hat. Das kann man gut in der owncloud.log verfolgen: Sollte diese im Sekundenabstand mit Zeilen gef\u00fcllt werden, die ungef\u00e4hr diese Angaben enthalten, dann ist es mal wieder Zeit f\u00fcr einen Apache Restart und einen erneuten Versuch im OC-Backend:<\/p>\n
{\"app\":\"user_ldap\",\"message\":\"Configuration Error (prefix ): Not a single Base DN given.\",\"level\":2,\"time\":\"2014-12-19T16:50:15+00:00\"}\r\n{\"app\":\"user_ldap\",\"message\":\"Configuration Error (prefix ): login filter does not contain %uid place holder.\",\"level\":2,\"time\":\"2014-12-19T16:50:15+00:00\"}<\/pre>\n
Wer das alles f\u00fcr seine Linuxmuster.net<\/a> L\u00f6sung haben will, wird im Wiki<\/a> f\u00fcndig. Wie immer sind die freien Schulserver-L\u00f6sungen bei der Dokumentation von Sonderw\u00fcnschen und Erweiterungen vorbildlich.<\/p>\n","protected":false},"excerpt":{"rendered":"
Nicht nur die Anbindung des LD-Servers an eine externe DokuWiki Installation, sondern auch an ein externes ownCloud funktioniert \u00fcber LDAPs und l\u00e4sst sich wie folgt einrichten: Der erste Schritt ist vom OC-Administrator vorzunehmen, der im Backend die LDAP App einschalten muss. Weiter muss auf dem ownCloud-Server auch php5-ldap installiert sein und in der folgenden Datei […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,10],"tags":[469,468,489,470,279],"class_list":["post-4403","post","type-post","status-publish","format-standard","hentry","category-linux","category-schule","tag-auth","tag-ldap","tag-logodidact","tag-myshn","tag-owncloud"],"_links":{"self":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts\/4403","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4403"}],"version-history":[{"count":6,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts\/4403\/revisions"}],"predecessor-version":[{"id":4413,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts\/4403\/revisions\/4413"}],"wp:attachment":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4403"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4403"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4403"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}