Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- fh-complete:ldap [2015/07/23 11:05]
oesi
+++ — (aktuell)
@@ Zeile 1: / Zeile 1: @@
-====== LDAP ======
-FH-Complete unterstützt die Authentifizierung gegen Openldap und Active Directory.
-Um eine Verbindung mit dem LDAP Server herstellen zu können muss das [[https://github.com/FH-Complete/FHC-AddOn-LDAP|LDAP Addon]] installiert sein.
-===== Einstellungen =====
-Falls eine Verschlüsselte Verbindung zum LDAP Server möglich ist, muss in der Datei
-/etc/ldap/ldap.conf das entsprechende Zertifikat eingetragen werden wenn dieses selbst signiert ist oder nicht öffentlich bekannt.
-<code>
-TLS_CACERT /etc/ssl/certs/meincazertifikat.crt
-TLS_REQCERT demand
-</code>
-Zu Testzwecken und zur Fehlersuche kann es sinnvoll sein, die Zertifikatsprüfung zu deaktivieren:
-<code>
-TLS_REQCERT never
-</code>
-Dies betrifft jedoch nur die PHP ldap Funktionen und die Commandline Funktionen (zB ldap_search)
-Die Änderungen in der ldap.conf sind für die Commandline Tools sofort wirksam. Damit diese Konfiuration von Apache auch übernommen wird, muss der Apache neu gestartet werden.
-Die Authentifizierung über .htaccess prüft das Zertifikat weiterhin. Um diese Prüfung zu deaktivieren wird in der Datei /etc/apache2/mods-enabled/ldap.conf foglendes gesetzt:
-<code>
-LDAPVerifyServerCert off
-</code>
-===== Troubleshooting =====
-==== ldap_search_ext_s() for user failed][Operations error] ====
-<code>
-auth_ldap authenticate: user foo authentication failed; URI /secret [ldap_search_ext_s() for user failed][Operations error]
-</code>
-Falls dieser Fehler Auftritt muss folgender Eintrag in der Datei /etc/ldap/ldap.conf hinzugefügt werden:
-<code>
-REFERRALS off
-</code>
-Wird auf einen Active Directory zugegriffen muss in diesem Fall in der .htaccess Datei in der AuthLDAPURL der Port 3268 angegeben werden:
-<code>
-AuthLDAPURL ldap://ad.example.com:3268/dc=academic,dc=local?sAMAccountName?sub
-</code>
-==== Testen des LDAP Zugriffs auf der Commandline ====
-Sollte der Login im FH-Complete nicht funktionieren, kann der Zugriff auf den LDAP Server von der Commandline geprüft werden.
-Dazu werden die LDAP-Utils benötigt:
-<code>
-apt-get install ldap-utils
-</code>
-Danach kann der Zugriff auf den LDAP Server und der Login geprüft werden:
-Zugriff ohne Verschlüsselung:
-<code>
-ldapsearch -LLL -x -H ldap://ldap.example.com:389 "samaccountname=testuser"
-</code>
-Zugriff mit STARTTLS Verschlüsselung
-<code>
-ldapsearch -LLL -x -ZZ -H ldap://ldap.example.com:389 "samaccountname=testuser"
-</code>
-Zugriff mit SSL Verschlüsselung
-<code>
-ldapsearch -LLL -x -H ldaps://ldap.example.com:636 "samaccountname=testuser"
-</code>
-Sollte der LDAP Server einen Bind User benötigen kann folgender Befehl verwendet werden:
-<code>
-ldapsearch -LLL -x -D "cn=administrator,dc=academic,dc=local" -W -H ldap://ldap.example.com:389 "samaccountname=testuser"
-</code>
-==== Samba 4 - Cheatsheet ====
-Gruppen anlegen auf der Commandline
-<code>
-samba-tool group add teacher
-</code>
-User anlegen auf der Commandline
-<code>
-samba-tool user add fhcomplete
-</code>
-User zu Gruppen hinzufügen
-<code>
-samba-tool group addmembers teacher fhcomplete
-</code>
-Passworteinstellungen prüfen
-<code>
-samba-tool domain passwordsettings show
-</code>
-Standardmäßig darf das Passwort nur alle 24 Stunden geändert werden. Diese Einschränkung lässt sich deaktivieren:
-<code>
-samba-tool domain passwordsettings set --min-pwd-age=0
-</code>
-Passworthistorie deaktivieren
-<code>
-samba-tool domain passwordsettings set --history-length=0
-</code>
-Weitere Funktionen
-[[https://www.samba.org/samba/docs/man/manpages/samba-tool.8.html]]

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Unterschiede

Seiten-Werkzeuge