{{WebUntis> }}

====== WebUntis mit LDAP an Linuxmuster anbinden ======

====== Benutzerverwaltung ======
In WebUntis müssen alle Benutzer angelegt werden, die diesen Dienst nutzen wollen. Die Lehrer sind in der Regel schon enthalten. Schüler müssen angelegt werden, dafür gibt es ein praktisches Importverfahren bei WebUntis. Die Importdatei wird aus LML heraus mit sophomorix-print erzeugt und liegt im Verzeichnis /var/lib/sophomorix/print-data . (Eine Verknüpfung mit den unids wäre sinnvoll, so sind allein die uids enthalten)

Bei der Anmeldung bei WebUntis mittels LDAP werden die WebUntis-Benutzer-Daten mit den Linuxmuster-Daten verglichen und eine Verknüpfung angelegt. Hier führen Umlaute, etc. zu Problemen, d.h. der Benutzer kann sich anmelden, aber erhält keine passenden Daten. Daher ist das Anlegen der Schüler mit den sophomoris-Daten sinnvoll! Lehrer können vom Web-Untis-Admin einzeln verknüpft werden.

====== LDAP-Anbindung ======

(aus [[version3:ldap]] übertragen und  LDAP Einstellungen aktualisiert )

WebUntis verlangt bei der Abfrage per ldaps ein signiertes Zertifikat. Das grundsätzliche Vorgehen um ein solches Zertifikat zu erhalten wird unter [[version3:signiertes_ssl-zertifikat_fuer_den_apache|Zertifikate für den Webserver Apache]] beschrieben. Zusätzlich muss dem LDAP-Server dieses Zertifikat bekannt gemacht werden. Dazu wird der Ort des neuen Zertifikats in der Datei /etc/ldap/slapd.conf eingetragen. Dort ersetzt man in den folgenden Zeilen /etc/ssl/private/server.pem durch den Ort des neuen Zertifikats:
<code>
#######################################################################
# TLS:
#TLSCipherSuite HIGH:MEDIUM:+SSLv2
TLSCACertificateFile /etc/ssl/private/server.pem
TLSCertificateFile /etc/ssl/private/server.pem
TLSCertificateKeyFile /etc/ssl/private/server.pem
</code>
Danach startet man den ldap neu:
<code>
/etc/init.d/slapd restart
</code>

Unter WebUntis funktioniert dann die Authentifizierung gegen den Schulserver mit folgenden Einstellungen:
^Feld^Eintrag^
|aktiv|ausgewählt|
|LDAP Server URL|<nowiki>ldaps://[IP oder Hostname des Servers]:636</nowiki>|
|LDAP Benutzer| |
|LDAP Passwort| |
|Referral|Standard|
|MusterDn für Benutzersuche|uid={0},ou=accounts,dc=clg-laupheim,dc=local|
|Userfilter| (&(objectClass=posixAccount)(!(cn=ExamAccount))) |
|BaseDn für Benutzersuche| |
|LDAP Mail Attribut|mail oder leer falls die Adressen in LDAP nicht funktional sind|
|Unbekannten Benutzer nach erfolgreicher Anmeldung anlegen|ausgewählt|
|Rollenidentifzierung|Teil des Attributs|
|LDAP Personenrolle Attribut|homeDirectory|

unter Lehrer
^Feld ^Eintrag^
|Personenrolle|teachers|
|Personenidentifzierung|Attribut für Familienname und Vorname|
|LDAP ID Attribute|sn givenName|
|Elementdaten ID Feld| |
|Numerischer Vergleich|nicht ausgewählt|
|Groß-/Kleinschreibung ignorieren|ausgewählt|
|Standard-Benutzergruppe|Lehrer|

unter Student
^Feld ^Eintrag^
|Personenrolle|students|
|Personenidentifzierung|Einzelattribut|
|LDAP ID Attribute|uid|
|Elementdaten ID Feld|name |
|Numerischer Vergleich|nicht ausgewählt|
|Groß-/Kleinschreibung ignorieren|ausgewählt|
|Standard-Benutzergruppe|Schueler|

Die Zuordnung der Lehreraccounts aus dem LDAP zu den Kürzeln in Untis muss in der Regel händisch erfolgen. 

===== verfügbare LDAP-Daten =====
Um die aktuell verfügbaren LDAP-Daten abzufragen kann man einen LDAP-Browser wie z.B. ldap.jar (Download: ???), nachdem die Serveradresse, Port 389 und die Basis-DN (ou=linuxmuster, dc=local) angegeben wurden kann ein anonymer Bind zur paedML (z.B. aus dem grünen Netz oder über OpenVPN) aufgebaut werden - der LDAP-Browser zeigt die abrufbaren Daten an (z.B. steht in der guidNumber die Gruppennummer anhand derer man herausfinden kann, ob es sich um einen Lehrer handelt).