LDAP-Authentifizierung

Zur vereinfachten Einrichtung der Authentifizierung mittels LDAP steht ein Wizard¹⁾ zur Verfügung. Sie erreichen ihn durch Klick auf das blaue „+Hinzufügen“-Symbol rechts neben der Anzeige „LDAP-Authentifizierung.“

Serverangaben

Sie sollten zur Einrichtung folgende notwendige Angaben bereithalten:

Titel: Name des LDAP-Moduls. Geben Sie einen aussagekräftigen Namen ein, da mehrere LDAP-Module möglich sind;
Server: IP-Adresse oder auflösbarer Hostname;
Bind DN: Userangabe zur Anbindung an den AD, und natürlich dessen

Optional sind ggf. diese Angaben vorteilhaft:

Suchbasis: Zur (Last-)Eingrenzung der Abfragen;
Home-Fallback: Für den Fall, dass das Userhome nicht anderweitig ermittelt werden kann.

Passwort.

Die Schaltfläche „Attribute anpassen“ liefert Ihnen die Möglichkeit, die Standardwerte für bestimmte Attribute und deren Werte überschreiben, wenn ihr LDAP-Schema nicht dem üblichen Unix-Schema entspricht.

uid: Wenn beispielsweise cn oder userPrincipalName o.ä. zum Login verwendet werden soll;
uidnumber;
uncHomePath: Für den Fall, da0 der Pfad zum zur Einbindung gewünschten Netzlaufwerk nicht im Attribut homeDirectory zu finden ist;
homeDirectory;
posixAccount;

Zusätzlich stehen Ihnen weitere ja/nein-Optionen zur Verfügung:

uid-Nummern generieren: Der Satellitenserver generiert selbst numerische IDs für Nutzer, anstatt diese aus dem LDAP zu extrahieren.
SSL: SSL-gesicherte Verbindung zwischen Satellitenserver (Proxy). Die Verbindung zwischen Client und Proxy wird in jedem Fall mit SSL abgewickelt.

Anmerkung: Die Option „Numerischen Account-Namen muss ein 's' vorangestellt werden“ entfällt ab der neuen Version v3.10-Sommersemester 2021, da diese Angabe nun bei Notwendigkeit transparent im Hintergrund behandelt wird.

Eventuell zur Validierung zusätzlich erforderliche (Intermediate-)Zertifikate können Sie einfach in das untenstehende gleichbenannte Textfeld einkopieren.

Verbindungsprüfung

Nach Klick auf „Weiter“ wird versucht, eine Verbindung zum Server aufzubauen und eine LDAP-Testabfrage ausgeführt. Es wird versucht, einige zufällige Usereintrage aufzufinden. Überprüfen Sie die Suchbasis, wenn keine Einträge gefunden werden sollten.

Weitere Angaben

Abschließend können eingige weitere Einstellungen konfiguriert werden:

Startskript-Credentials

„Zugangsdaten des Nutzers an Startskript der Veranstaltung übergeben“: Wenn aktiviert, wird Username und Passwort des angemeldeten Users an das Startskript der userseitig gewählten Veranstaltung übergeben (Anwendung siehe hier). Dies ermöglicht die geskriptete, automatisierte Nutzung weiterer Dienste ohne erneute Eingabe der Credentials.

Die Nutzung dieser Option kann nur empfohlen werden, wenn Sie der Personengruppe, die Veranstaltungen bearbeiten kann, Vertrauen entgegenbringen!

Einbindung Homeverzeichnis

Diese Einstellungen legen fest, wie Netzwerklaufwerke inkl. des UserHomeverzeichnisses an bzw. in Virtuelle Maschinen durchgereicht werden. In älteren bwLehrpool-Versionen wurde dazu die Funktionalität der VMWare-„shared folders“ eingesetzt; dies führte jedoch bei einigen Dateiservern zu Problemen. Der empfohlene „Native Modus“ funktioniert deutlich besser, benötigt jedoch für Windows-VMs smb/cifs als Netzwerkdateisystem und die Einbindung der openslx.exe womöglich im Autostart sowie unter Linux die Verwendung der Linux-Dienstskripte. In den bwLehrpool-Vorlagen sind in der Regel openslx.exe bzw. die Linuxskripte vorinstalliert und eingebunden.

Domänenname

Der im Normalfall automatisch ermittelte Domänenname läßt sich hier überschreiben.

Laufwerksbuchstabe

… gibt den in Windows-VMs verwendeten Laufwerksbuchstaben wieder, unter dem das Home-Netzwerkverzeichnis eingebunden wird (Vorgabe: H). Sollte der angegebene Laufwerksbuchstabe innerhalb der VM nicht verfügbar sein, wird auf einen anderen ausgewichen.

Mount-Optionen

Folgende Einstellungen kommen nur bei Linuxsystemen sowohl im MiniLinux als auch in VMs zum Tragen:

LDAP-Attribut für Mount-Optionen: Geben Sie hier ein eventuelles Nutzerattribut Ihres LDAP/AD an, das die passenden Mountoptionen enthält. Bei keiner Angabe bzw. leerer Rückgabe werden untenstehende fest vorgegebene Optionen zum Mounten verwendet; bei Vorhandensein wird das hier ermittelte Attribut vorrangig behandelt.

Fest vorgegebene Mount-Optionen: Geben Sie in diesem Fall hier die Optionen ein.

Wenn beide Felder leer sind werden verschiedene Optionen automatisch durchprobiert.

Kein Homeverzeichnis eingebunden

Die standardmäßig erfolgende Warnmeldung an Nutzende, wenn kein Netzwerkhomeverzeichnis innerhalb der VM erfolgen konnte, kann hier deaktiviert werden.

Folder Redirection

Experimentelle Funktion, biegt nach Start der VM die hier ausgewählten Verzeichnisse auf das Netzwerkhome des angemeldeten Nutzers um. Da hierbei undokumentierte Windowseinstellungen zur Laufzeit umgebogen werden, kann zukünftiges Funktionieren unter neuen Windowsversionen bzw. nach Updates nicht garantiert werden. Wir empfehlen, falls nötig diese Verzeichnisse auf den oben vorgegebenen Home-Laufwerksbuchstaben zu konfigurieren.

Endbestätigung

Et voilà.

Abschließend sollten Sie eine Bestätigung über den Start des LDAP-Proxies und die Erzeugung des LDAP-Moduls erhalten.

(zurück zur Systemkonfiguration)

¹⁾

Wizard: Einrichtungshilfe zur geführten Einrichtung, hier einer Konfiguration.