In WebUntis müssen alle Benutzer angelegt werden, die diesen Dienst nutzen wollen. Die Lehrer sind in der Regel schon enthalten. Schüler müssen angelegt werden, dafür gibt es ein praktisches Importverfahren bei WebUntis. Die Importdatei wird aus LML heraus mit sophomorix-print erzeugt und liegt im Verzeichnis /var/lib/sophomorix/print-data . (Eine Verknüpfung mit den unids wäre sinnvoll, so sind allein die uids enthalten)
Bei der Anmeldung bei WebUntis mittels LDAP werden die WebUntis-Benutzer-Daten mit den Linuxmuster-Daten verglichen und eine Verknüpfung angelegt. Hier führen Umlaute, etc. zu Problemen, d.h. der Benutzer kann sich anmelden, aber erhält keine passenden Daten. Daher ist das Anlegen der Schüler mit den sophomoris-Daten sinnvoll! Lehrer können vom Web-Untis-Admin einzeln verknüpft werden.
(aus ldap übertragen und LDAP Einstellungen aktualisiert )
WebUntis verlangt bei der Abfrage per ldaps ein signiertes Zertifikat. Das grundsätzliche Vorgehen um ein solches Zertifikat zu erhalten wird unter Zertifikate für den Webserver Apache beschrieben. Zusätzlich muss dem LDAP-Server dieses Zertifikat bekannt gemacht werden. Dazu wird der Ort des neuen Zertifikats in der Datei /etc/ldap/slapd.conf eingetragen. Dort ersetzt man in den folgenden Zeilen /etc/ssl/private/server.pem durch den Ort des neuen Zertifikats:
####################################################################### # TLS: #TLSCipherSuite HIGH:MEDIUM:+SSLv2 TLSCACertificateFile /etc/ssl/private/server.pem TLSCertificateFile /etc/ssl/private/server.pem TLSCertificateKeyFile /etc/ssl/private/server.pem
Danach startet man den ldap neu:
/etc/init.d/slapd restart
Unter WebUntis funktioniert dann die Authentifizierung gegen den Schulserver mit folgenden Einstellungen:
Feld | Eintrag |
---|---|
aktiv | ausgewählt |
LDAP Server URL | ldaps://[IP oder Hostname des Servers]:636 |
LDAP Benutzer | |
LDAP Passwort | |
Referral | Standard |
MusterDn für Benutzersuche | uid={0},ou=accounts,dc=clg-laupheim,dc=local |
Userfilter | (&(objectClass=posixAccount)(!(cn=ExamAccount))) |
BaseDn für Benutzersuche | |
LDAP Mail Attribut | mail oder leer falls die Adressen in LDAP nicht funktional sind |
Unbekannten Benutzer nach erfolgreicher Anmeldung anlegen | ausgewählt |
Rollenidentifzierung | Teil des Attributs |
LDAP Personenrolle Attribut | homeDirectory |
unter Lehrer
Feld | Eintrag |
---|---|
Personenrolle | teachers |
Personenidentifzierung | Attribut für Familienname und Vorname |
LDAP ID Attribute | sn givenName |
Elementdaten ID Feld | |
Numerischer Vergleich | nicht ausgewählt |
Groß-/Kleinschreibung ignorieren | ausgewählt |
Standard-Benutzergruppe | Lehrer |
unter Student
Feld | Eintrag |
---|---|
Personenrolle | students |
Personenidentifzierung | Einzelattribut |
LDAP ID Attribute | uid |
Elementdaten ID Feld | name |
Numerischer Vergleich | nicht ausgewählt |
Groß-/Kleinschreibung ignorieren | ausgewählt |
Standard-Benutzergruppe | Schueler |
Die Zuordnung der Lehreraccounts aus dem LDAP zu den Kürzeln in Untis muss in der Regel händisch erfolgen.
Um die aktuell verfügbaren LDAP-Daten abzufragen kann man einen LDAP-Browser wie z.B. ldap.jar (Download: ???), nachdem die Serveradresse, Port 389 und die Basis-DN (ou=linuxmuster, dc=local) angegeben wurden kann ein anonymer Bind zur paedML (z.B. aus dem grünen Netz oder über OpenVPN) aufgebaut werden - der LDAP-Browser zeigt die abrufbaren Daten an (z.B. steht in der guidNumber die Gruppennummer anhand derer man herausfinden kann, ob es sich um einen Lehrer handelt).