Kurz zum allgemeinen Setup: Eine VM mit Ubuntu 18.04 LTS werkelt intern auf einem Virtualisierungshost, der mit seinen Netzwerkkarten in den jeweils f\u00fcr ihn wichtigen VLANs h\u00e4ngt. Auf diesem bridgen die VMs direkt in die VLANs rein. In Richtung Internet steht vor diesem VM-Host eine PFSense als Firewall in den jeweils relevanten Netzen.<\/p>\r\n\r\n\r\n\r\n
Die VM f\u00fcr nextCloud etc. hat zwei virtuelle Netzwerkkarten: Eine zeigt via grauem VLAN in Richtung PFSense (damit in Richtung Internet) und tr\u00e4gt die \u00f6ffentliche IP des Servers. Die andere Netzwerkkarte h\u00e4ngt als Bridge im gr\u00fcnen VLAN und wird vom LD-Server direkt versorgt. \u00dcber diese zweite („gr\u00fcne“) Netzwerkkarte hole ich mir per LDAPs die Benutzerdatenbank und f\u00fchre den SMB\/CIFS-Mount der Homeverzeichnisse aus.<\/p>\r\n
Netzwerkdiagramm<\/a><\/p>\r\n\r\n\r\n\r\n Das Paket php-ldap<\/em> muss an Bord und konfiguriert sein.<\/p>\r\n Hinweis:<\/strong> Den Zertifikatscheck kann man im nC LDAP Modul ausschalten f\u00fcr die ersten Tests – oder direkt auf der VM in \/etc\/ldap\/ldap.conf<\/em> durch den Eintrag TLS_REQCERT allow<\/em>. Nicht sch\u00f6n, aber zum Testen eine Fehlerquelle weniger.<\/p>\r\n\r\n\r\n\r\n\r\n\r\n Die Server-IP mit vorangestelltem ldaps:\/\/<\/em> und im Feld Port 636<\/em> eintragen. Die zwei folgenden Felder k\u00f6nnen f\u00fcr LD-Server leer gelassen werden.<\/p>\r\n Da das automatische Auslesen der Base DN bei mir nicht funktioniert hat, musste ich diese von Hand angeben. In meinem Fall: ou=users,dc=kvfg-schule,dc=de<\/em><\/p>\r\n Beim LD-Server liegen die User in ldUserAccount<\/em>.<\/p>\r\n Die Loginattribute w\u00e4hlt das von mir hier verwendete nC 15 dann von selbst richtig aus.<\/p>\r\n DIe passende Objektklasse ist posixGroup<\/em>.<\/p>\r\n Das w\u00fcrde nun reichen, um die Benutzer in nC rein zu lassen und auch, um das Tauschverzeichnis automatisch einzubinden, aber nicht, um die Homeverzeichnisse der User automatisch zu mounten. Das liegt daran, dass nC aus dem LDAP die UUID<\/em> nimmt, um die nC-Benutzernamen zu erstellen. Wir brauchen aber f\u00fcr den Automount der Homes unserer Benutzer deren uid<\/em> (das ist dann gleichzeitig der Benutzername des Users). Es gilt demnach, nC zu \u00fcberreden, die UUID<\/em> zu ignorieren und stattdessen die uid<\/em> der LDAP-Benutzer zu verwenden.<\/p>\r\n Auf der Registerkarte Expert<\/em> finden wir diese M\u00f6glichkeit. Bei Internal Username Attribute<\/em> muss uid<\/em> eingetragen werden.<\/p>\r\n Hinweis<\/strong>: Im Reiter Advanced<\/em> gibt es die M\u00f6glichkeit, die von nC lokal erstellten Benutzerverzeichnisse (im Datenverzeichnis von nC) mit %uid<\/em> benamen zu lassen, statt mit der UUID<\/em>. Das geschieht durch die Einstellungen oben nun automatisch so. Man darf die Angabe auf keinen Fall doppelt machen (also im Reiter Advanced<\/em> und<\/strong> im Reiter Expert<\/em>). Die Fehlermeldungen, die man nach einem Doppeleintrag erh\u00e4lt, beziehen sich auf Homeverzeichnispfade, die nicht aus dem LDAP gelesen werden k\u00f6nnen. Nicht wirklich hilfreich.<\/p>\r\n Das Debugging ist wenig witzig. Was hilft, ist hier<\/a> schon ausf\u00fchrlich beschrieben worden, weswegen ich mir diese Ausf\u00fchrungen heute sparen will. Was hier und heute dazu kommt: Es lohnt der regelm\u00e4\u00dfige Blick in die Datenbank von nC (z.B. \u00fcber phpmyadmin). Da d\u00fcrfen bei den Benutzern keine UUIDs<\/em> auftauchen (das sind kryptische Kombinationen aus Zahlen und Buchstaben), sondern ausschlie\u00dflich deren uids<\/em> (also deren Benutzernamen). Hat das nicht geklappt, darf man von Vorne beginnen. Es empfiehlt sich deswegen, zuerst eine Basiskonfiguration anzulegen und diese zu sichern, die dann wieder eingespielt werden kann, wenn man sich in eine bl\u00f6de Ecke konfiguriert hat. Das ebenfalls sehr nervige LDAP-Caching von nC l\u00e4sst sich mit einem beherzten Restart des Apachen beeinflussen.<\/p>\r\n Die Pakete libsmbclient php-smbclient php-smb<\/em> und auch die cifs-utils<\/em> m\u00fcssen installiert und konfiguriert sein. Letzteres nicht nur zum Testen, ob der SMB-Mount \u00fcberhaupt funktioniert, sondern auch, weil die anderen Pakete ohne die cifs-utils<\/em> nicht rund laufen werden.<\/p>\r\nLDAPs Anbindung<\/h2>\r\n
![\"\"](\"https:\/\/www.bdjl.de\/localhost\/wp-content\/uploads\/2018\/12\/serverg-ldap1-1024x421.png\")
<\/a><\/figure>\r\n![\"\"](\"https:\/\/www.bdjl.de\/localhost\/wp-content\/uploads\/2018\/12\/serverg-ldap2-640x263.png\")
<\/a><\/p>\r\n![\"\"](\"https:\/\/www.bdjl.de\/localhost\/wp-content\/uploads\/2018\/12\/serverg-ldap3-640x263.png\")
<\/a><\/p>\r\n![\"\"](\"https:\/\/www.bdjl.de\/localhost\/wp-content\/uploads\/2018\/12\/serverg-ldap4-640x263.png\")
<\/a><\/p>\r\n![\"\"](\"https:\/\/www.bdjl.de\/localhost\/wp-content\/uploads\/2018\/12\/serverg-ldap-5-640x263.png\")
<\/a><\/p>\r\nSMB\/CIFS Mount<\/h2>\r\n
![\"\"](\"https:\/\/www.bdjl.de\/localhost\/wp-content\/uploads\/2018\/12\/ksnip_20190917-080117-640x350.png\")
<\/a><\/p>\r\n