Benutzer-Werkzeuge

Webseiten-Werkzeuge


infrastruktur:container:ldap

LDAP

Verantwortung Malte, TVLuke
Container ldap
W. Ports ldaps (tcp/636)
OS Debian 12.5
Server gallifrey
Zustand Produktiv

Services

Serviceübersicht Version
slapd 2.5.13+dfsg-5

LDAP

ldap.chaotikum.net

Passwort ändern

Es gibt komplizierte Prozesse, das über LDAP und Konsole zu tun (siehe unten). Das ist aber komplett unnötig. Wie es einfach geht, steht in diesem Artikel.

Wer aber darauf besteht: Hier ist komplizierte Lösung: Das eigene Passwort kann von einem System mit IPv6-Internet, LDAP-Utils und CAcert-CA mit den folgenden Befehl geändert werden.

Für Mitglieder:

export LDAPTLS_CACERTDIR=/etc/ssl/certs/
ldappasswd -SWH ldaps://ldap.chaotikum.net -D uid=$USERNAME,ou=users,ou=internal,dc=chaotikum,dc=org

Für externe Benutzer (Nicht-Mitglieder):

export LDAPTLS_CACERTDIR=/etc/ssl/certs/
ldappasswd -SWH ldaps://ldap.chaotikum.net -D uid=$USERNAME,ou=users,ou=external,dc=chaotikum,dc=org

Zugang

  • Domain: ldaps://ldap.chaotikum.net
  • Zertifikat: CAcert
  • Base-DN: dc=chaotikum,dc=org bzw. ou=internal,dc=chaotikum,dc=org
  • Mitglieder: ou=users,ou=internal,dc=chaotikum,dc=org
  • Nicht-Mitglieder: ou=users,ou=external,dc=chaotikum,dc=org
  • Gruppen: ou=groups,ou=internal,dc=chaotikum,dc=org

Auch Gruppenzugehörigkeiten für Nicht-Mitglieder sind unter ou=groups,ou=internal zu finden, sodass entweder dc=chaotikum,dc=org oder ou=internal,dc=chaotikum,dc=org als Base-DN konfiguriert werden kann.

Lesender Zugriff

  • Ohne Login aus 2a01:4f8:160:3067::/64, 2a01:4f8:172:1ba6:1::/64
  • Mit Login eines der LDAP-User

Verwaltung

  • Admin: cn=admin,dc=chaotikum,dc=org
  • UIDs & GIDs jeweils ab 2000
  • User können Passwort & loginShell selbst ändern
  • Primäre Gruppe aller User ist cn=ldapusers,ou=groups,ou=internal,dc=chaotikum,dc=org (GID 2000)
  • Passwort hat der Vorstand

Konfiguration

  • Base-DN: cn=config
  • Admin: cn=admin,cn=config
  • Gleiches Passwort wie cn=admin,dc=chaotikum,dc=org

Systeme am LDAP

Bei diesen Systemen kannst du dich mit dem Chaotikum Account einloggen. Meist ist ein seperater login nötig, außer bei Systemen, die unten unter Systeme mit SingleSignOn über me.chaotikum.org aufgelistet sind.

10.06.2023 10:05Lukas Ruge
18.09.2022 17:34Malte Schmitz
25.08.2022 18:34Lukas Ruge
01.08.2021 13:42Malte Schmitz
15.01.2021 01:05Paul
03.01.2021 07:47Lukas Ruge
03.01.2021 07:13Lukas Ruge
03.01.2021 04:37Paul
27.09.2020 10:28Lukas Ruge
27.09.2020 09:18Lukas Ruge
25.09.2020 21:02Lukas Ruge
18.05.2019 18:30Lukas Ruge
21.01.2017 11:01Nils Schneider
09.05.2015 15:29Matthias

Nur für Mitglieder des Chaotikums

14.07.2023 08:47Lukas Ruge
17.06.2022 15:27Kai Bojens
04.01.2021 18:25Lukas Ruge
27.09.2020 10:15Lukas Ruge
24.07.2018 12:27Lukas Ruge
10.05.2015 19:17Matthias Schiffer

Systeme mit SingleSignOn über me.chaotikum.org

18.09.2022 17:34Malte Schmitz
29.07.2022 14:04Malte Schmitz
03.01.2021 04:37Paul
25.09.2020 21:02Lukas Ruge

Freischalten neuer Accounts

LDAP Konten anlegen mit ApaceDirectStudio

LDAP Konten können grafisch mit ApacheDirectStudio angelegt und gepflegt werden.

* https://directory.apache.org/studio/downloads.html

Mit diesem Tool kann jede Person auch ihren Namen, Display-Name, Email und Passwort pflegen.

Einrichten
  • Installieren, Starten
  • Im Menü LDAP → Neue verbindung
  • Der Hostname ist der LDAP Server ohne das „ldaps://“, Port ist 636, verschlüsselung SSL
  • Weiter
Einrichten für admins
  • Installieren, Starten
  • Im Menü LDAP → Neue verbindung
  • Der Hostname ist der LDAP Server ohne das „ldaps://“, Port ist 636, verschlüsselung SSL
  • Weiter
  • Der Benutzer ist der gesammte String: cn=admin,dc=chaotikum,dc=org
  • Passwort im Safe
  • Weiter
  • Basis-DNs-Abrufen
  • Weiter
  • Fertigstellen
Neuen User anlegen
  • Zuersteinmal gehe man durch alle user INTERn UND EXTERN und suche die höchste uid
  • Man finde einen User, der kein Admin ist. das geht so
    • Rechtsklick auf den User → Neu → „Neuer Eintrag…“
    • Ändere alle Daten entsprechend (Name, homeverzeichniss, email…)
    • Vergebe die nächst höhere uid
    • Lasse den User ein Passwort eingeben

Fertig.

Zertifikate

Wir benutzen certbot, um SSL-Zertifikate bei Let's Encrypt zu erneuern.

Die Zertifikate liegen unter

/etc/letsencrypt/live/ldap.chaotikum.net

Es ist wichtig, dass slapd die Zertifikate auch lesen kann. Deswegen muss das eXecute Bit bei folgenden Ordnern gesetzt sein:

/etc/letsencrypt/live
/etc/letsencrypt/archive

Das kann man testen mit

sudo -u openldap cat /etc/letsencrypt/live/ldap.chaotikum.net/cert.pem

Damit der Certbot das LDAP neustartet, wenn ein Zertifikat erneuert wurde, steht in der Datei

/etc/letsencrypt/renewal/ldap.chaotikum.net.conf

die Zeile

renew_hook = systemctl restart slapd

certbot erneuert das Zertifikat automatisch. Man kann das aber auch manuell anstoßen:

certbot renew

Wartung

Wartung LDAPWartung LDAP Wann 01.06.2024 15:00 Warum Update System ldap Ansprechperson Malte wartungsfenster ldap done
Wartung LDAPWartung LDAP Wann 09.05.2024 18:16 Warum Update System ldap Ansprechperson schmitz wartungsfenster ldap done
Wartung LDAPWartung LDAP Wann 07.11.2021 11:29 Warum Systemupdate System ldap Ansprechperson Malte wartungsfenster ldap done
ldap Wartung (15.01.2021)ldap Wartung (15.01.2021) Wann 15.01.2021 00:01 bis 02:00 Warum Umzug nach magrathea System ldap Ansprechperson Paul wartungsfenster done ldap
infrastruktur/container/ldap.txt · Zuletzt geändert: 15.11.2024 07:46 von Lukas Ruge