Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
anwenderwiki:nextcloud:nextcloud-ldap [2018/02/07 18:14] – [Nur Lehrer zulassen] martin.res | anwenderwiki:nextcloud:nextcloud-ldap [2019/03/03 23:44] (aktuell) – [Lehrer, Schüler, aber keine Computeraccounts zulassen] Tobias | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | {{tag> nextcloud ldap ldaps}} | ||
+ | |||
+ | ====== Nextcloud mit LDAP oder LDAPS ====== | ||
+ | |||
+ | Doku direkt bei nextcloud -> [[https:// | ||
+ | |||
+ | **Szenario: | ||
+ | |||
+ | Zuerst an der Weboberfläche als NextCloud-Administrator anmelden und das LDAP-Modul | ||
+ | **'' | ||
+ | ===== LDAP einrichten ===== | ||
+ | |||
+ | Am linuxmuster.net-Server muss der anonyme LDAP-Zugriff von der IP des vorliegenden Ubuntu-Servers (hier z.B. 10.16.1.9) zugelassen werden. | ||
+ | Am linuxmuster.net-Server in der Datei **''/ | ||
+ | < | ||
+ | ... | ||
+ | #Limits Access: | ||
+ | access to .......... | ||
+ | | ||
+ | by anonymous peername.ip=10.16.1.9 auth | ||
+ | ... | ||
+ | </ | ||
+ | Dann am linuxmuster.net-Server den ldap-Dienst neu starten: | ||
+ | # service slapd restart | ||
+ | |||
+ | Im Web-Browser als NextCloud-Administrator das LDAP-Modul aufrufen unter:\\ | ||
+ | **'' | ||
+ | |||
+ | Die ersten vier Konfigurations-Reiter mit dem Button „Fortsetzen“ bis zum Reiter „Gruppen“ durcharbeiten, | ||
+ | |||
+ | * Host: **server** | ||
+ | * Port: **389** | ||
+ | * Benutzer-DN und Passwort leer lassen | ||
+ | * Basis DN: **dc=linuxmuster-net, | ||
+ | * Benutzer → Objektklasse: | ||
+ | * Gruppen → Objektklasse: | ||
+ | Abmelden und als ein Lehrer oder ein Schüler an der NextCloud anmelden. | ||
+ | |||
+ | < | ||
+ | ===== LDAPS einrichten ===== | ||
+ | |||
+ | Zunächst das Server-Zertifikat in den Nextcloud-Server kopieren. Trotz abschaltbarer Zertifikatsprüfung war das notwendig.\\ | ||
+ | Dazu am Ubuntu-Server, | ||
+ | # scp 10.16.1.1:/ | ||
+ | Im Web-Browser als NextCloud-Administrator das LDAP-Modul aufrufen unter:\\ | ||
+ | **'' | ||
+ | |||
+ | Ggf. eine alte Konfiguration __löschen__ und eine neue anlegen. Die Konfigurations-Reiter mit dem Button „Fortsetzen“ bis zum Reiter „Gruppen“ durcharbeiten, | ||
+ | < | ||
+ | * Fortgeschritten: | ||
+ | * **Konfiguration aktiv** | ||
+ | * **Schalte die SSL-Zertifikatsprüfung aus** | ||
+ | |||
+ | |||
+ | * Host: **%%ldaps:// | ||
+ | * Port: **636** | ||
+ | * Benutzer-DN und Passwort leer lassen | ||
+ | * Basis DN: **dc=linuxmuster-net, | ||
+ | * Benutzer → Objektklasse: | ||
+ | * Gruppen → Objektklasse: | ||
+ | | ||
+ | |||
+ | Ein Eintrag des NextCloud-Server in der **'' | ||
+ | „by anonymous ssf=56 auth“ | ||
+ | jede Anfrage per LDAPS zugelassen (ssf=Security-Strength-Factor mit Keylänge 56). | ||
+ | |||
+ | Abmelden und als ein Lehrer oder ein Schüler an der NextCloud anmelden. | ||
+ | |||
+ | ===== Nur Lehrer zulassen ===== | ||
+ | |||
+ | Der bisherige LDAP-Dienst von linuxmuster.net unterstützt leider nicht die Option " | ||
+ | |||
+ | Im Web-Browser als NextCloud-Administrator das LDAP-Modul aufrufen unter:\\ | ||
+ | **'' | ||
+ | und dann die manuelle Eingabe aktivieren: | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Nun bei den Anmelde-Attributen den Filter/ | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | |||
+ | Weiterklicken bis zum Reiter Gruppen. Nun testen, ob sich nur Lehrer anmelden können. Beim Anmelden eines Schülers erscheint die Fehlermeldung: | ||
+ | |||
+ | ==== Lehrer, Schüler, aber keine Computeraccounts zulassen ==== | ||
+ | |||
+ | Wie im letzten Abschnitt, aber man muss beim Reiter " | ||
+ | < | ||
+ | (& | ||
+ | </ | ||
+ | Ebenso im Reiter " | ||
+ | < | ||
+ | (& | ||
+ | </ | ||
+ | |||
+ | was so viel bedeutet wie: ist die Objektklasse ein Posixaccount UND ist die uid=%uid UND ist WEDER der cn=Computer noch der cn=ExamAccount. | ||
+ | |||
+ | Es geht aber noch einfacher. Zumindest bis zur 6.x funktioniert folgender Trick: Alle Administratoren, | ||
+ | < | ||
+ | (& | ||
+ | </ | ||
+ | und dementsprechend: | ||
+ | < | ||
+ | (& | ||
+ | </ | ||
+ | |||
+ | |||
+ | ==== Nur sinnvolle Gruppen anzeigen lassen (whitelist) ==== | ||
+ | Dafür muss man im Reiter " | ||
+ | < | ||
+ | (& | ||
+ | </ | ||
+ | was so viel bedeutet wie: die Objektklasse ist eine posixGruppe UND der cn beginnt ENTWEDER mit p_* ODER ist gleich " | ||
+ | Bei uns gibt es eben Klassen mit 5-11 und k1 und k2 als Gruppen. | ||
+ | |||
+ | Es gibt da immernoch Gruppen, die man eventuell nicht drin haben will, wie z.B. " | ||