LDAP(S) Anbindung von außen

Ähnliche Dokumente
1. Einstellungen im eigenen Netzwerk

Nutzerverwaltung für Moodle über LDAP

Installation KVV Webservices

1. Einrichtung der -Adresse über Confixx

Moodle Authentifizierung mit LDAPS

ZPN Zentrale Projektgruppe Netze am Ministerium für Kultus, Jugend und Sport Baden-Württemberg

Freigeben des Posteingangs oder des Kalenders in Outlook

Moodle-Authentifizierung mit LDAPS

Anleitung zum Verbinden an das WLAN-Netzwerk bei der FHDW Hannover unter Windows 7

Handbuch. Smart Card Login (SuisseID) Version Juni QuoVadis Trustlink Schweiz AG Seite [0]

JobServer Installationsanleitung

Vorab: Anlegen eines Users mit Hilfe der Empfängerbetreuung

LDAP-Server. Jederzeit und überall auf Adressen von CAS genesisworld zugreifen

Manuelle Installation des SQL Servers:

HorstBox (DVA-G3342SD)

-Weiterleitung einrichten

Der CTI-Client Pro von Placetel. Hinweise zur Einrichtung

1.Wozu Datenquellen? Berechtigungen einstellen...3

GEORG.NET Anbindung an Ihr ACTIVE-DIRECTORY

ZPN Zentrale Projektgruppe Netze am Ministerium für Kultus, Jugend und Sport Baden-Württemberg

Clientkonfiguration für Hosted Exchange 2010

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

EINRICHTUNG ZUGANG WERBESPEZI/ITSPEZI SERVER

Outlook 2010 Konfiguration

Einrichtung des NVS Calender-Google-Sync-Servers. Installation des NVS Calender-Google-Sync Servers (Bei Neuinstallation)

Import des persönlichen Zertifikats in Outlook Express

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Manuelle Installation des SQL Servers:

HOSTED SHAREPOINT. Skyfillers Kundenhandbuch. Generell Online Zugang SharePoint Seite... 2 Benutzerpasswort ändern... 2

mysoftfolio360 Handbuch

26. November EFS Übung. Ziele. Zwei Administrator Benutzer erstellen (adm_bill, adm_peter) 2. Mit adm_bill eine Text Datei verschlüsseln

Step by Step Active Directory mit Novell Directory Service unter Windows Server von Christian Bartl

AplusixAdmin : Administration von Aplusix 3 Benutzerhandbuch

Einrichtung Mac OS X Mail IMAP

Konfiguration eduroam

Liebe Teilnehmerinnen und Teilnehmer, lieber Praxisanleiterinnen und Praxisanleiter,

Dokumentation Active Directory Services mit Vertrauensstellungen

Wie erreiche ich was?

Installationsanleitung. Novaline Bautec.One incl. MS SQL Server 2012 Express. mit Demodaten

estos XMPP Proxy

Switching. Übung 9 EAP 802.1x. 9.1 Szenario

Windows 2003 Server paedml Windows 2.1 für schulische Netzwerke

Anleitung zum Einrichten der Berliner Schulmail unter. Mozilla Thunderbird

Die Zertifikatdienste auswählen und mit weiter fortfahren. Den Hinweis mit JA bestätigen.

-Verschlüsselung mit Geschäftspartnern

Net at Work Mail Gateway 9.2 Anbindung an digiseal server 2.0. enqsig enqsig CS Large File Transfer

Installation des Zertifikats

Port-Weiterleitung einrichten

Wireless & Management

AVM FRITZ!Box Readme für Mac OS X

Installation des Zertifikats am Beispiel eines WWW-Servers unter Windows2003. Voraussetzungen

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

Installations- & Konfigurationsanleitung

1 Änderungen bei Windows Server 2008 R2

MySQL Community Server 5.6 Installationsbeispiel (Ab )

Installationsanleitung. Novaline Datenarchivierung / GDPdU

Wie richte ich mein Webhosting auf dem Admin Panel ein?

Microsoft Outlook 2010

Konfigurationsanleitung Konfiguration unter Outlook XP

Einführung... 3 MS Exchange Server MS Exchange Server 2007 Jounraling für Mailboxdatabase... 6 MS Exchange Server 2007 Journaling für

Anleitung zur Druckerinstallation unter Mac OS X

Schrittweise Anleitung zur Installation von Zertifikaten der Bayerischen Versorgungskammer im Mozilla Firefox ab Version 2.0

X-RiteColor Master Web Edition

Handy-Synchronisation Inhalt

Windows Server 2008 R2 und Windows 7 Stand-Alone Arbeitsplatz per VPN mit L2TP/IPSec und Zertifikaten verbinden.

Shellfire L2TP-IPSec Setup Windows 7

Sharepoint Server 2010 Installation & Konfiguration Teil 1

KINDERLEICHT INSTALLIERT

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure)

EXPOSÉ Software für Immobilienprofis!

Informatives zur CAS genesisworld-administration

F-Secure Antivirus 2011

Anleitungen zum Publizieren Ihrer Homepage

Druckertreiber auf Windows oder Win-Server installieren

Scalera Mailplattform Dokumentation für den Domänenadministrator

STRATO Mail Einrichtung Windows Live Mail

Installationsanleitung. Novaline Kostenrechnung trifft SAP

/7.15. GMSTHostService. Bedienungsanleitung

Um mit dem Dialogpost-Manager effektiv arbeiten zu können, sollte Ihr PC folgende Mindestvoraussetzungen erfüllen:

How to install freesshd

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12)

Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-500N/1000N (FW 1.04Bxx).

Anleitung zur Fleet & Servicemanagement Evatic Schnittstelle

Installation Microsoft Windows Small Business Server 2011 (NICHT ÜBERARBEITETE VERSION!)

SCOoffice Address Book. Installationshandbuch

ID VisitControl. Dokumentation Administration Equitania Software GmbH cmc Gruppe Seite 1

-Konto einrichten

Anleitung zur Installation und Konfiguration des Notes-Client 8.5.2

Vitalograph Spiroctrac V Hinweise zur Mehrplatz-/Serverinstallation

Anleitung. Kontenverwaltung auf mail.tbits.net

Windows Home Server. Einrichten, Optimieren, Fehler beheben THOMAS JOOS

Wie registriere ich Drivve Image manuell auf einem Toshiba-Gerät? (Toshiba-Edition)

Anleitung - Assistent Lanfex 2011

Installationsanleitung Microsoft Windows SBS MSDS Praxis + 2.1

S. 15 "TopAccess Administratormodus aufrufen" Das Untermenü "Sichern" wird aufgerufen.

Update auf DataNAUT 5.x

In den folgenden Kapiteln wird die Registrierung eines neuen K-Accounts und die Verwaltung eines bestehenden K-Accounts beschrieben.

SecurityGateway. Installationsanleitung

Warenwirtschaft Handbuch - Administration

Transkript:

LDAP(S) Anbindung von außen Windows Musterlösung Daniel Wiesler, Stefan Kink 30.05.2017 CC BY-SA 4.0 1. Einführung Das Lightweight Directory Access Protocol bietet vielfältige Kommunikationsmöglichkeiten für die aktuellen Bedürfnisse von schulischen Netzwerkumgebungen. So ist es möglich, die AD-Benutzer des pädagogischen Schulnetzwerks zur Authentifizierung in Moodle oder WebUntis zu nutzen um ein deutlich schlankeres Benutzermanagement pflegen zu können. Die vorliegende Dokumentation basiert auf einer früheren Version zur paedml 2.x von Johannes Kühn. 2. LDAP Konfiguration Zur Einrichtung eines Zugriffs von außen per LDAP(S), sind in der paedml3.x mehrere Schritte erforderlich: 1. Octogate Portweiterleitung einrichten 2. LDAP-Benutzer zur Kommunikation mit externem Service (z.b. Moodle) anlegen 3. Konfiguration des externen Dienstes (z.b. Moodle): LDAP Authentifizierung aktivieren und als Standard definieren 4. LDAPS: Rollenkonfiguration und Zertifikatsimport auf DC01. 2.1. Octogate konfigurieren Die für LDAP(S) benötigten Ports 389 bzw. 636 müssen der Octogate Firewall zur Kommunikation nach außen bekannt gemacht werden. Dazu eignet sich insbesondere eine Portweiterleitung. Durch das Weiterleiten des Standard-LDAP-Ports auf abweichende, nicht standardisierte Werte ist die Öffnung des Systems nach außen mit einem geringeren Sicherheitsrisiko verbunden 1. Dies soll im Folgenden angewandt werden (weiterführende Informationen finden siehe auch in den Fortbildungsunterlagen zu Portweiterleitungen in der paedml3.x, auf eine bebilderte Anleitung wird daher an dieser Stelle verzichtet). 1 Damit ein Zugriff von außen erfolgen kann, muss der nach außen weitergeleitete Port im externen Hardwarerouter (z.b. von BelWü) freigeschaltet sein. Dazu müssen Sie u.u. Kontakt mit BelWü selbst aufnehmen (anschluss@belwue.de). 1

2.1.1. Weboberfläche aufrufen 1. Starten Sie die Weboberfläche der Octogate Firewall. 2. Melden Sie sich als Administrator an. 3. Wechseln Sie links im Menü zu dem Punkt: Firewall Portweiterleitungen. 2.1.2. Portweiterleitung einrichten 1. Fügen Sie nun eine neue Weiterleitungsregel hinzu und benennen Sie sie nach ihrer Funktion: LDAP 2. Richten Sie so eine Weiterleitung des intern lauschenden Ports 389 auf DC01 (mit der IP 10.1.1.1) auf die externe IP (d.h. der IP der Schule) mit einem beliebigen anderen Port ein. Hier bieten sich hohe Zahlbereiche an, die nicht bereits reserviert sind, z.b. 45001. 3. Speichern Sie die Regel und aktualisieren (oben rechts) die Octogate Firewall, erst nach diesem Schritt wird die Weiterleitung auch funktionieren. 2.1.3. Übung: LDAPS-Weiterleitung einrichten Führen Sie die obigen Schritte erneut durch, um eine Weiterleitung für das LDAPS Protokoll (Port 636) auf einen anderen, beliebigen Port nach außen freizuschalten. 2.2. LDAP-Benutzer einrichten Als nächstes soll ein Service-Benutzer auf DC01 eingerichtet werden, der den alleinigen Zweck der Kommunikation einer externen Quelle über das LDAP Protokoll mit dem AD hat. 1. Starten Sie zu diesem Zweck die AD-Verwaltung auf dem Server DC01. 2. Gehen Sie in die OU _ServiceAccounts. 3. Kopieren Sie den existenten Benutzer ldapbinduser und geben ihm einen eindeutigen Namen, z.b. ldapbinduser_sbg. Dieser ServiceAccount hat den einzigen Zweck: die Kommunikation mit einem extern gehosteten Dienst. 2

4. Der Benutzer hat keine besondere Eigenschaften, er muss lediglich Mitglied der Domäne sein. 2.3. Konfiguration des externen Dienstes Für einen Zugriff von außen über das LDAP Protokoll soll am typischen Einsatzbeispiel Moodle besprochen werden, wie der externe Dienst konfiguriert werden muss, um auf die AD-Struktur der Domänenbenutzer zugreifen zu können. Diese Sektion ist damit stark auf diesen einen Spezialfall 3

zugeschnitten. Die Anbindung anderer Dienste kann sich mitunter deutlich von der hier gezeigten Lösung unterscheiden, auch wenn die logischen Schritte die gleichen sind. 2.3.1. LDAP Plugin aktivieren Falls noch nicht geschehen, müssen Sie Moodle installieren. 1. Loggen Sie sich als Administrator in Moodle ein. 2. Gehen Sie zum Plugin-Bereich. 3. Aktivieren Sie das LDAP-Plugin ( z.b. durch einen Klick auf das Auge.) Das Bild zeigt die Einstellung in Moodle 2.x. 2.3.2. LDAP-Zugriff konfigurieren Damit der Dienst, im vorliegenden Fall Moodle, erkennt, welche Benutzer in welcher Struktur des Verzeichnisses angelegt sind und auf diese zugreifen kann, müssen umfangreiche und detaillierte Einstellungen angegeben werden. Diese sind in untenstehender Tabelle angegeben. 4

LDAP Servereinstellungen Host URL IP:389 oder ldap://<ip>:389 (IP ist die externe IP des der Octogate oder der DYNDNS-Eintrag, 389 der Port, der evtl. dem der Weiterleitung entspricht) alternativ: ldaps://ip:636 (bzw. der Port, der bei der Weiterleitung eingerichtet wurde) Version 3 LDAP Codierung utf-8 Einträge pro Seite Bind-Einstellungen Kennwörter verbergen nein Anmeldename Kennwort (Kennwort des ldapusers) Nutzersuche (user lookup) Nutzertyp MS ActiveDirectory cn=ldapbinduser_sbg,ou=_serviceaccounts,dc=mustersc hule,dc=schule,dc=paedml (alles ohne Leerzeichen!) Kontexte ou=benutzer,dc=musterschule,dc=schule,dc=paedml Subkontexte ja Alias berücksichtigen Nein Nutzermerkmal samaccountname Mitgliedsmerkmal member Mitgliedsattribut nutzt dn (leer) Kennwort Kennwortänderung verlangen Kennwortänderung verlangen Standardseite zur Kennwortänderung nutzen nein nein Kennwortformat Reiner Text URL zur Kennwortänderung (leer) Gültigkeitsablauf von Kennwörtern Gültigkeitsende no 5

Warnung zum Gültigkeitsende Merkmal für Gültigkeitsende 10 (leer) GraceLogins nein Merkmal für GraceLogin (leer) Nutzereinstellung aktivieren Nutzer extern anlegen nein Kontext für neue Nutzer (leer) Kursersteller/in Kursverwalter/innen Cron-Synchronisierungsskript Entfernte externe Nutzer NTLM SS Aktivieren nein Subnet (leer) MS IE fast path? nein Authentifikationsart Entfernter Nutzerdatenformat Datenzuordnung ou=lehrer,ou=benutzer,dc=musterschule,dc=schule,dc =paedml (oder eben eine andere Gruppe, die Kurserstellerrechte erhalten soll) nur intern zugänglich NTLM (leer) Vorname givenname lokal aktualisieren beim Anlegen extern aktualisieren nie Feld sperren Nachname sn lokal aktualisieren beim Anlegen extern aktualisieren nie bearbeitbar (Hinweis: hier kann man auch "Gesperrt" angeben, dann können die Nutzer ihren Namen im Profil nicht ändern, was durchaus Sinn machen kann) Feld sperren bearbeitbar (Hinweis siehe Vorname) ID-Nummer distinguishedname (braucht man nur, wenn man AD- Gruppen automatisch Kursen zuweisen möchte) 6

2.3.3. Hinweise Für die Authentifizierungsmethode müssen Sie nun eine Wahl treffen. War die Authentifizierungsmethode vorher "Manuelle Zugänge" läuft erst einmal alles weiter wie bisher, da die Authentifizierungs-Plugins von oben nach unten abgearbeitet werden. Verlief die Authentifizierung vorher emailbasiert, dann muss man sich entscheiden, in welcher Reihenfolge man die Authentifizierungsmethoden in der Übergangsphase bis zur kompletten Umstellung anordnen möchte. Bei jedem Anmelden eines Benutzers fragt der Moodleserver beim paedml-server die Richtigkeit der Benutzerkennung ab. Das Kennwort wird nicht in der Moodledatenbank gespeichert. Beim ersten Anmelden werden Name und Vorname aus der Active Directory übernommen und zusammen mit den eingegebenen Profildaten in der Moodledatenbank gespeichert. Sind die Profildaten unvollständig, das heißt, fehlen Pflichtdaten wie z.b. die Mailadresse, erscheint das untenstehende Fenster, um die Daten zu ergänzen. Die Änderung der Daten muss durch eine Bestätigungsmail, die von Moodle automatisch verschickt wird, bestätigt werden. Erst danach ist ein Arbeiten in Moodle möglich. 2.4. LDAPS-Anbindung Um den verschlüsselten Austausch von LDAP-Informationen zu ermöglichen, wird das LDAPS Protokoll auf dem TCP Port 636 benötigt. Um dieses in der paedml3.x zu ermöglichen, bedarf es aber einiger Erweiterungen bzw. Änderungen am System über die bereits Beschriebenen hinaus. Im Einzelnen sind dies: 1. Rollenerweiterung von DC01 2. Zertifikatsimport 2.4.1. Rollenerweiterung von DC01 Um die Funktionalität von LDAPS zu aktivieren, muss dem Domänencontroller die SSL gesicherte Funktionalität zur Verfügung gestellt werden. Dazu muss dem das ActiveDirectory verwaltenden Windows Server 2012 DC01 die Rolle der AD-Zertifizierungsstelle hinzugefügt werden. 7

Dazu gehen Sie im Server Manager auf Rollen und Features hinzufügen. Wählen Sie den ersten Radiobutton zur Rollenbasierten oder featurebasierten Installation aus. Wählen Sie den Domänencontroller DC01 als Server für die AD-Zertifikatsdienste aus. 8

Bestätigen Sie die Auswahl durch ein Klick auf Features hinzufügen. Drücken Sie abschließend auf Installieren. Die Installation erfolgt nun im Hintergrund, sie können das Fenster schließen. Ein erneutes Aufrufen des Server Managers bestätigt Ihnen nach kurzer Zeit den 9

erfolgreichen Abschluss. 2.4.2. Zertifikatsimport Das von Octogate 2 zur Verfügung gestellte Zertifikat musterschule_ldaps.pfx wird im Folgenden im System hinterlegt und als Grundlage für die verschlüsselten LDAP Verbindungen verwendet. Dazu geht man wie folgt vor: zunächst wird die Datei auf dem Domänencontroller DC01 zwischengespeichert. 2 Das Zertifikat musterschule_ldaps.pfx erhalten Sie auf Nachfrage von der Octogate Hotline. 10

Als nächstes muss das Zertifikat in einer Verwaltungsumgebung importiert werden. Dazu eignet sich die Microsoft Management Console (mmc), die Sie über die Windows Taste und anschließender Eingabe von mmc erreichen. Nach Öffnen der Selbigen muss das Zertifikat Snap-In hinzugefügt werden. 11

Als Snap-In wählen Sie Zertifikate aus und klicken auf OK. Wichtig ist das Hinzufügen als Dienstkonto, damit die Zertifikatverwaltung Benutzerunahängig funktioniert. 12

Wählen Sie die Active Directory-Domänendienste als Dienstkonto aus und schließen Sie das Hinzufügen des Snap-Ins ab. Im nächsten Schritt importieren Sie im neuen Reiter Zertifikate der MMC das Octogatezertifikat 13

Als Quelle wählen Sie die oben abgelegte Datei mit dem entsprechenden Speicherort. Der private Schlüssel für die Musterschule ist ein leeres Passwort, der zweite Reiter sollte aktiviert werden. 14

Abschließend legen Sie den Zertifikatsspeicher fest. Damit ist das Importieren des Zertifikats und die interne Einrichtung von LDAPS abgeschlossen. Nun lässt sich nach Erstellen einer entsprechenden Portweiterleitung wie bereits oben beschrieben durch eine gesicherte Verbindung zwischen dem externen Dienst (z.b. Moodle) und dem lokalen Domänencontroller der Schule aufbauen. 15

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback