Inhaltsverzeichnis

WebUntis mit LDAP an Linuxmuster anbinden

Benutzerverwaltung

In WebUntis müssen alle Benutzer angelegt werden, die diesen Dienst nutzen wollen. Die Lehrer sind in der Regel schon enthalten. Schüler müssen angelegt werden, dafür gibt es ein praktisches Importverfahren bei WebUntis. Die Importdatei wird aus LML heraus mit sophomorix-print erzeugt und liegt im Verzeichnis /var/lib/sophomorix/print-data . (Eine Verknüpfung mit den unids wäre sinnvoll, so sind allein die uids enthalten)

Bei der Anmeldung bei WebUntis mittels LDAP werden die WebUntis-Benutzer-Daten mit den Linuxmuster-Daten verglichen und eine Verknüpfung angelegt. Hier führen Umlaute, etc. zu Problemen, d.h. der Benutzer kann sich anmelden, aber erhält keine passenden Daten. Daher ist das Anlegen der Schüler mit den sophomoris-Daten sinnvoll! Lehrer können vom Web-Untis-Admin einzeln verknüpft werden.

LDAP-Anbindung

(aus ldap übertragen und LDAP Einstellungen aktualisiert )

WebUntis verlangt bei der Abfrage per ldaps ein signiertes Zertifikat. Das grundsätzliche Vorgehen um ein solches Zertifikat zu erhalten wird unter Zertifikate für den Webserver Apache beschrieben. Zusätzlich muss dem LDAP-Server dieses Zertifikat bekannt gemacht werden. Dazu wird der Ort des neuen Zertifikats in der Datei /etc/ldap/slapd.conf eingetragen. Dort ersetzt man in den folgenden Zeilen /etc/ssl/private/server.pem durch den Ort des neuen Zertifikats:

#######################################################################
# TLS:
#TLSCipherSuite HIGH:MEDIUM:+SSLv2
TLSCACertificateFile /etc/ssl/private/server.pem
TLSCertificateFile /etc/ssl/private/server.pem
TLSCertificateKeyFile /etc/ssl/private/server.pem

Danach startet man den ldap neu:

/etc/init.d/slapd restart

Unter WebUntis funktioniert dann die Authentifizierung gegen den Schulserver mit folgenden Einstellungen:

FeldEintrag
aktivausgewählt
LDAP Server URLldaps://[IP oder Hostname des Servers]:636
LDAP Benutzer
LDAP Passwort
ReferralStandard
MusterDn für Benutzersucheuid={0},ou=accounts,dc=clg-laupheim,dc=local
Userfilter (&(objectClass=posixAccount)(!(cn=ExamAccount)))
BaseDn für Benutzersuche
LDAP Mail Attributmail oder leer falls die Adressen in LDAP nicht funktional sind
Unbekannten Benutzer nach erfolgreicher Anmeldung anlegenausgewählt
RollenidentifzierungTeil des Attributs
LDAP Personenrolle AttributhomeDirectory

unter Lehrer

Feld Eintrag
Personenrolleteachers
PersonenidentifzierungAttribut für Familienname und Vorname
LDAP ID Attributesn givenName
Elementdaten ID Feld
Numerischer Vergleichnicht ausgewählt
Groß-/Kleinschreibung ignorierenausgewählt
Standard-BenutzergruppeLehrer

unter Student

Feld Eintrag
Personenrollestudents
PersonenidentifzierungEinzelattribut
LDAP ID Attributeuid
Elementdaten ID Feldname
Numerischer Vergleichnicht ausgewählt
Groß-/Kleinschreibung ignorierenausgewählt
Standard-BenutzergruppeSchueler

Die Zuordnung der Lehreraccounts aus dem LDAP zu den Kürzeln in Untis muss in der Regel händisch erfolgen.

verfügbare LDAP-Daten

Um die aktuell verfügbaren LDAP-Daten abzufragen kann man einen LDAP-Browser wie z.B. ldap.jar (Download: ???), nachdem die Serveradresse, Port 389 und die Basis-DN (ou=linuxmuster, dc=local) angegeben wurden kann ein anonymer Bind zur paedML (z.B. aus dem grünen Netz oder über OpenVPN) aufgebaut werden - der LDAP-Browser zeigt die abrufbaren Daten an (z.B. steht in der guidNumber die Gruppennummer anhand derer man herausfinden kann, ob es sich um einen Lehrer handelt).