Benutzer-Werkzeuge

Webseiten-Werkzeuge


infrastruktur:container:ldap

LDAP

Verantwortung Malte
Container ldap
W. Ports ldaps (tcp/636)
OS Debian 10.11
Server gallifrey
Zustand Produktiv

Services

ServiceübersichtVersion
slapd 2.4.47+dfsg-3+deb10u6

LDAP

ldap.chaotikum.net

Passwort ändern

Es gibt komplizierte Prozesse, das über LDAP und Konsole zu tun (siehe unten). Das ist aber komplett unnötig. Wie es einfach geht, steht in diesem Artikel.

Wer aber darauf besteht: Hier ist komplizierte Lösung: Das eigene Passwort kann von einem System mit IPv6-Internet, LDAP-Utils und CAcert-CA mit den folgenden Befehl geändert werden.

Für Mitglieder:

export LDAPTLS_CACERTDIR=/etc/ssl/certs/
ldappasswd -SWH ldaps://ldap.chaotikum.net -D uid=$USERNAME,ou=users,ou=internal,dc=chaotikum,dc=org

Für externe Benutzer (Nicht-Mitglieder):

export LDAPTLS_CACERTDIR=/etc/ssl/certs/
ldappasswd -SWH ldaps://ldap.chaotikum.net -D uid=$USERNAME,ou=users,ou=external,dc=chaotikum,dc=org

Zugang

  • Domain: ldaps://ldap.chaotikum.net
  • Zertifikat: CAcert
  • Base-DN: dc=chaotikum,dc=org bzw. ou=internal,dc=chaotikum,dc=org
  • Mitglieder: ou=users,ou=internal,dc=chaotikum,dc=org
  • Nicht-Mitglieder: ou=users,ou=external,dc=chaotikum,dc=org
  • Gruppen: ou=groups,ou=internal,dc=chaotikum,dc=org

Auch Gruppenzugehörigkeiten für Nicht-Mitglieder sind unter ou=groups,ou=internal zu finden, sodass entweder dc=chaotikum,dc=org oder ou=internal,dc=chaotikum,dc=org als Base-DN konfiguriert werden kann.

Lesender Zugriff

  • Ohne Login aus 2a01:4f8:160:3067::/64, 2a01:4f8:172:1ba6:1::/64
  • Mit Login eines der LDAP-User

Verwaltung

  • Admin: cn=admin,dc=chaotikum,dc=org
  • UIDs & GIDs jeweils ab 2000
  • User können Passwort & loginShell selbst ändern
  • Primäre Gruppe aller User ist cn=ldapusers,ou=groups,ou=internal,dc=chaotikum,dc=org (GID 2000)
  • Passwort hat der Vorstand

Konfiguration

  • Base-DN: cn=config
  • Admin: cn=admin,cn=config
  • Gleiches Passwort wie cn=admin,dc=chaotikum,dc=org

Systeme am LDAP

Bei diesen Systemen kannst du dich mit dem Chaotikum Account einloggen. Meist ist ein seperater login nötig, außer bei Systemen, die unten unter Systeme mit SingleSignOn über me.chaotikum.org aufgelistet sind.

01.08.2021 13:42 Malte Schmitz
28.07.2021 15:53 Lukas Ruge
15.01.2021 01:05 Paul
03.01.2021 07:47 Lukas Ruge
03.01.2021 07:13 Lukas Ruge
03.01.2021 04:37 Paul
27.09.2020 10:28 Lukas Ruge
27.09.2020 09:18 Lukas Ruge
25.09.2020 21:02 Lukas Ruge
20.09.2020 22:03 Malte Schmitz
19.10.2019 11:09 Malte Schmitz
18.05.2019 18:30 Lukas Ruge
21.01.2017 11:01 Nils Schneider
09.05.2015 15:29 Matthias

Nur für Mitglieder des Chaotikums

17.06.2022 15:27 Kai Bojens
04.01.2021 18:25 Lukas Ruge
27.09.2020 10:15 Lukas Ruge
24.07.2018 12:27 Lukas Ruge
21.01.2017 11:49 Nils Schneider
10.05.2015 19:17 Matthias Schiffer

Systeme mit SingleSignOn über me.chaotikum.org

03.01.2021 04:37 Paul
25.09.2020 21:02 Lukas Ruge

Freischalten neuer Accounts

LDAP Konten anlegen mit ApaceDirectStudio

LDAP Konten können grafisch mit ApacheDirectStudio angelegt und gepflegt werden.

* https://directory.apache.org/studio/downloads.html

Mit diesem Tool kann jede Person auch ihren Namen, Display-Name, Email und Passwort pflegen.

Einrichten
  • Installieren, Starten
  • Im Menü LDAP → Neue verbindung
  • Der Hostname ist der LDAP Server ohne das „ldaps://“, Port ist 636, verschlüsselung SSL
  • Weiter
Einrichten für admins
  • Installieren, Starten
  • Im Menü LDAP → Neue verbindung
  • Der Hostname ist der LDAP Server ohne das „ldaps://“, Port ist 636, verschlüsselung SSL
  • Weiter
  • Der Benutzer ist der gesammte String: cn=admin,dc=chaotikum,dc=org
  • Passwort im Safe
  • Weiter
  • Basis-DNs-Abrufen
  • Weiter
  • Fertigstellen
Neuen User anlegen
  • Zuersteinmal gehe man durch alle user INTERn UND EXTERN und suche die höchste uid
  • Man finde einen User, der kein Admin ist. das geht so
    • Rechtsklick auf den User → Neu → „Neuer Eintrag…“
    • Ändere alle Daten entsprechend (Name, homeverzeichniss, email…)
    • Vergebe die nächst höhere uid
    • Lasse den User ein Passwort eingeben

Fertig.

Zertifikate

Wir benutzen certbot, um SSL-Zertifikate bei Let's Encrypt zu erneuern.

Die Zertifikate liegen unter

/etc/letsencrypt/live/ldap.chaotikum.net

Es ist wichtig, dass slapd die Zertifikate auch lesen kann. Deswegen muss das eXecute Bit bei folgenden Ordnern gesetzt sein:

/etc/letsencrypt/live
/etc/letsencrypt/archive

Das kann man testen mit

sudo -u openldap cat /etc/letsencrypt/live/ldap.chaotikum.net/cert.pem

Damit der Certbot das LDAP neustartet, wenn ein Zertifikat erneuert wurde, muss die Zeile

deploy-hook = systemctl restart slapd

in der Datei /etc/letsencrypt/cli.ini ergänzt werden.

certbot erneuert das Zertifikat automatisch. Man kann das aber auch manuell anstoßen:

certbot renew

Wartung

In das Textfeld einfach das Datum der Wartung eintragen, am besten in der Form yyyy-mm-dd.

Du besitzt nicht die Benutzerrechte um Seiten hinzuzufügen.
Wartung LDAP Wartung LDAP Wann 07.11.2021 11:29 Warum Systemupdate System ldap Ansprechperson Malte wartungsfenster ldap done
ldap Wartung (15.01.2021) ldap Wartung (15.01.2021) Wann 15.01.2021 00:01 bis 02:00 Warum Umzug nach magrathea System ldap Ansprechperson Paul wartungsfenster done ldap
infrastruktur/container/ldap.txt · Zuletzt geändert: 20.07.2022 11:25 von Lukas Ruge