Nobreakspace
Ausstattung
Dienste
Chaotikum
Benutzer-Werkzeuge
Seitenleiste
infrastruktur:container:ldap
Dies ist eine alte Version des Dokuments!
Inhaltsverzeichnis
LDAP
| Verantwortung | Malte |
| Container | ldap |
| W. Ports | ldaps (tcp/636) |
| OS | Debian 10.11 |
| Server | gallifrey |
| Zustand | Produktiv |
Services
| Serviceübersicht | Version |
|---|---|
| slapd | 2.4.47+dfsg-3+deb10u6 |
LDAP
ldap.chaotikum.net
Passwort ändern
Das eigene Passwort kann von einem System mit IPv6-Internet, LDAP-Utils und CAcert-CA mit den folgenden Befehl geändert werden.
Für Mitglieder:
export LDAPTLS_CACERTDIR=/etc/ssl/certs/ ldappasswd -SWH ldaps://ldap.chaotikum.net -D uid=$USERNAME,ou=users,ou=internal,dc=chaotikum,dc=org
Für externe Benutzer (Nicht-Mitglieder):
export LDAPTLS_CACERTDIR=/etc/ssl/certs/ ldappasswd -SWH ldaps://ldap.chaotikum.net -D uid=$USERNAME,ou=users,ou=external,dc=chaotikum,dc=org
Zugang
- Domain: ldaps://ldap.chaotikum.net
- Zertifikat: CAcert
- Base-DN: dc=chaotikum,dc=org bzw. ou=internal,dc=chaotikum,dc=org
- Mitglieder: ou=users,ou=internal,dc=chaotikum,dc=org
- Nicht-Mitglieder: ou=users,ou=external,dc=chaotikum,dc=org
- Gruppen: ou=groups,ou=internal,dc=chaotikum,dc=org
Auch Gruppenzugehörigkeiten für Nicht-Mitglieder sind unter ou=groups,ou=internal zu finden, sodass entweder dc=chaotikum,dc=org oder ou=internal,dc=chaotikum,dc=org als Base-DN konfiguriert werden kann.
Lesender Zugriff
- Ohne Login aus 2a01:4f8:160:3067::/64, 2a01:4f8:172:1ba6:1::/64
- Mit Login eines der LDAP-User
Verwaltung
- Admin: cn=admin,dc=chaotikum,dc=org
- UIDs & GIDs jeweils ab 2000
- User können Passwort & loginShell selbst ändern
- Primäre Gruppe aller User ist cn=ldapusers,ou=groups,ou=internal,dc=chaotikum,dc=org (GID 2000)
- Passwort hat der Vorstand
Konfiguration
- Base-DN: cn=config
- Admin: cn=admin,cn=config
- Gleiches Passwort wie cn=admin,dc=chaotikum,dc=org
Systeme am LDAP
| 28.10.2025 12:08 | Grigori Goronzy | |
| 12.07.2025 15:20 | Malte | |
| 10.06.2023 10:05 | Lukas Ruge | |
| 18.09.2022 17:34 | Malte Schmitz | |
| 25.08.2022 18:34 | Lukas Ruge | |
| 01.08.2021 13:42 | Malte Schmitz | |
| 15.01.2021 01:05 | Paul | |
| 03.01.2021 07:47 | Lukas Ruge | |
| 03.01.2021 07:13 | Lukas Ruge | |
| 03.01.2021 04:37 | Paul | |
| 27.09.2020 10:28 | Lukas Ruge | |
| 27.09.2020 09:18 | Lukas Ruge | |
| 25.09.2020 21:02 | Lukas Ruge | |
| 18.05.2019 18:30 | Lukas Ruge | |
| 21.01.2017 11:01 | Nils Schneider | |
| 09.05.2015 15:29 | Matthias |
Nur für Mitglieder des Chaotikums
Systeme mit SingleSignOn über me.chaotikum.org
| 12.07.2025 15:20 | Malte | |
| 18.09.2022 17:34 | Malte Schmitz | |
| 29.07.2022 14:04 | Malte Schmitz | |
| 03.01.2021 04:37 | Paul | |
| 25.09.2020 21:02 | Lukas Ruge |
Freischalten neuer Accounts
LDAP Konten anlegen mit ApaceDirectStudio
LDAP Konten können grafisch mit ApacheDirectStudio angelegt und gepflegt werden.
* https://directory.apache.org/studio/downloads.html
Mit diesem Tool kann jede Person auch ihren Namen, Display-Name, Email und Passwort pflegen.
Einrichten
- Installieren, Starten
- Im Menü LDAP → Neue verbindung
- Der Hostname ist der LDAP Server ohne das „ldaps://“, Port ist 636, verschlüsselung SSL
- Weiter
- …
Einrichten für admins
- Installieren, Starten
- Im Menü LDAP → Neue verbindung
- Der Hostname ist der LDAP Server ohne das „ldaps://“, Port ist 636, verschlüsselung SSL
- Weiter
- Der Benutzer ist der gesammte String: cn=admin,dc=chaotikum,dc=org
- Passwort im Safe
- Weiter
- Basis-DNs-Abrufen
- Weiter
- Fertigstellen
Neuen User anlegen
- Zuersteinmal gehe man durch alle user INTERn UND EXTERN und suche die höchste uid
- Man finde einen User, der kein Admin ist. das geht so
- Rechtsklick auf den User → Neu → „Neuer Eintrag…“
- Ändere alle Daten entsprechend (Name, homeverzeichniss, email…)
- Vergebe die nächst höhere uid
- Lasse den User ein Passwort eingeben
Fertig.
Zertifikate
Wir benutzen certbot, um SSL-Zertifikate bei Let's Encrypt zu erneuern.
Die Zertifikate liegen unter
/etc/letsencrypt/live/ldap.chaotikum.net
Es ist wichtig, dass slapd die Zertifikate auch lesen kann. Deswegen muss das eXecute Bit bei folgenden Ordnern gesetzt sein:
/etc/letsencrypt/live /etc/letsencrypt/archive
Das kann man testen mit
sudo -u openldap cat /etc/letsencrypt/live/ldap.chaotikum.net/cert.pem
Damit der Certbot das LDAP neustartet, wenn ein Zertifikat erneuert wurde, muss die Zeile
deploy-hook = systemctl restart slapd
in der Datei /etc/letsencrypt/cli.ini ergänzt werden.
certbot erneuert das Zertifikat automatisch. Man kann das aber auch manuell anstoßen:
certbot renew
Wartung
In das Textfeld einfach das Datum der Wartung eintragen, am besten in der Form yyyy-mm-dd.
Du besitzt nicht die Benutzerrechte um Seiten hinzuzufügen.| Wartung LDAP | Wartung LDAP Wann 01.06.2024 15:00 Warum Update System ldap Ansprechperson Malte wartungsfenster ldap done |
| Wartung LDAP | Wartung LDAP Wann 09.05.2024 18:16 Warum Update System ldap Ansprechperson schmitz wartungsfenster ldap done |
| Wartung LDAP | Wartung LDAP Wann 07.11.2021 11:29 Warum Systemupdate System ldap Ansprechperson Malte wartungsfenster ldap done |
| ldap Wartung (15.01.2021) | ldap Wartung (15.01.2021) Wann 15.01.2021 00:01 bis 02:00 Warum Umzug nach magrathea System ldap Ansprechperson Paul wartungsfenster done ldap |
infrastruktur/container/ldap.1658314824.txt.gz · Zuletzt geändert: von Lukas Ruge