LDAP Konfiguration
Einleitung
Ab Relution Version 5.18.0 ist es möglich, LDAP Provider für den User-, Gruppen- und Klassenimport direkt über das Relution Portal zu konfigurieren. Hier sind die üblichen Konfigurationsparameter enthalten und lassen sich bequem durch diverse Funktionstests überprüfen. Ein Neustart des Relution-Dienstes ist mit der Konfiguration über das Portal nicht mehr notwendig und erleichtert Änderungen und Neukonfigurationen, da der Betriebsablauf nicht mehr unterbrochen werden muss. Wir empfehlen für die Konfiguration der LDAP-Synchronisierung, Kenntnisse im Thema sowie die Nutzung eines LDAP-Browsers, der Attribute korrekt anzeigen kann. Für Windows hat sich der “Softerra LDAP Browser” und für Linux oder MacOS das “Apache Directory Studio” bewährt. Beide Tools sind kostenlos.
Grundlagen
Um LDAP zu konfigurieren, wechseln Sie in die Einstellungen > LDAP-Synchronisierung.
Hier können mehrere LDAP-Provider pro Organisation eingerichtet werden. Beachten Sie, dass die Mailadressen der User in Relution eindeutig sein müssen. Eine Missachtung kann zu Fehlern führen, sodass einige Benutzerkonten nicht angelegt werden können.
Um einen neuen LDAP-Provider anzulegen, klicken Sie auf Hinzufügen
.
Basiskonfiguration
Die Maske für die Konfiguration ist in mehrere Ebenen aufgeteilt. Hier sind eventuell nicht immer alle Parameter für Ihren Fall notwendig. In einigen Feldern sind bereits Beispiele hinterlegt, die die Syntax vorschlagen.
LDAP-Synchronisierung
Vergeben Sie hier einen Namen für Ihren LDAP-Provider. Wählen Sie hier eine kurze und aussagekräftige Bezeichnung.
Servereinstellungen
- LDAP-Server-URLs: Tragen Sie hier die URL des LDAP Servers ein und bestätigen sie mit Enter.
Verwenden Sie LDAPs und der Server hat kein vertrauenswürdiges Zertifikat, kann hier das Zertifikat hinterlegt werden, um es für Relution als vertrauenswürdig einzustufen.
Alternativ können Sie auch allen Zertifikaten vertrauen.
Prüfen Sie Ihre Konfiguration mit einem Klick auf Netzwerkverbindung testen
. Der Verbindungsversuch sollte erfolgreich sein, bevor Sie fortfahren.
Authentifizierung
- Bind DN oder Benutzername: Benutzername mit lesenden Berechtigungen im LDAP. Idealerweise wird hier den Distinguished Name (DN) verwendet.
- Bind Passwort: Das entsprechende Passwort zum User.
Prüfen Sie auch hier die Eingaben mit dem entsprechenden Button.
Base-DN
Hat die Authentifizierung funktioniert, wird automatisch die Base-DN des Servers ermittelt. Sie kann direkt mit einem Klick auf Ermittelte Basis-DN als Basis-DN verwenden
in das entsprechende Feld eingetragen werden. Eventuell notwendige Änderungen sind jederzeit möglich.
Benutzer
Suchkriterien für Benutzer
- Suchbasis für Benutzer:innen (OU): Tragen Sie hier die Suchbasis für die Benutzer:innen ein. Diese ist relativ zur Basis-DN.
Also zum Beispiel:OU=users
- Suchfilter für Benutzer:innen: Hier kommen konventionelle LDAP-Suchfilter zum Einsatz. Beachten Sie, dass Relution für Usereingaben immer den Platzhalter
%v
verwendet. Ein einfacher Suchfilter für Benutzer:innen könnte zum Beispiel:(&(cn=%v)(objectClass=person))
sein. - Suchbereich für Benutzer:innen: Hier lässt sich konfigurieren, wie tief im Pfad nach Benutzerkonten mit dem entsprechenden Suchfilter gesucht werden soll. Beachten Sie, dass es bei der Auswahl von
Unterebene
eventuell zu sehr vielen Treffern kommen kann.
Manuelles Mapping für Benutzer
Relution prüft nach dem Verbindungsaufbau, um welches LDAP es sich handelt. Beispielsweise openLDAP oder ein Active Directory. Daraufhin werden die entsprechenden Felder über ein Auto-Mapping vorkonfiguriert. Diese Funktion lässt sich teilweise oder ganz übersteuern indem ein manuelles Mapping aktiviert wird.
Empfehlenswert ist zum Beispiel das Setzen eines Fremdschlüssels. Dies kann sinnvoll sein, wenn Benutzer:innen ihren Namen ändern. Das Benutzerkonto kann so weiter identifiziert werden und der Name und die Mailadresse werden lediglich aktualisiert, ohne ein neues Konto in Relution anzulegen.
Benutzer-Synchronisation
Prüfen Sie, ob die Benutzer:innen importiert werden können und die Filter die richtigen Ergebnisse zurück liefern, indem Sie auf den entsprechenden Button klicken.
Sie haben zudem die Möglichkeit, den
Periodischen Benutzerimport
zu aktivieren. Dies ist eine automatische Synchronisierung, die zum gewählten Zeitpunkt alle 24 Stunden automatisch ausgeführt.Ein manueller LDAP-Sync lässt sich jederzeit über das Relution Portal starten.
Synthetische Gruppe: hierbei handelt es sich um eine Gruppe, die durch den LDAP-Sync automatisch angelegt wird. Hier werden alle User, die aus dem entsprechenden LDAP Provider kommen, hinterlegt.
Wenn ein synchronisierter Benutzer:in im LDAP entfernt wurde, stehen drei Reaktionsmöglichkeiten für Relution zur Verfügung:
- Nichts tun: Der Benutzer:in bleibt in Relution enthalten. Er kann aber nicht mehr zum Login benutzt werden, da der LDAP Provider die Authentifizierung ablehnt.
- Benutzer:innen in Relution deaktivieren: Dies ist die empfohlene Einstellung, da Benutzerkonten mit Geräten verknüpft bleiben und es nicht zu einem Datenverlust kommt, wenn die Konten versehentlich nicht mehr gefunden werden. Zum Beispiel durch eine Umbenennung einer Gruppe im LDAP, die nun durch einen Filter nicht mehr gefunden werden kann.
- Benutzer:innen aus Relution löschen: Hier ist Vorsicht geboten. Benutzer:innen, die durch den Importer nicht mehr gefunden werden, werden direkt aus der Datenbank entfernt; unabhängig von eventuellen Verknüpfungen zu Geräten, Gruppen oder Klassen.
Gruppen
Suchkriterien für Gruppen
- Suchbasis für Gruppen (OU): Tragen Sie hier die Suchbasis für die Gruppen ein. Diese ist relativ zur Basis-DN.
Also zum Beispiel:OU=groups
- Suchfilter für Benutzer:innen: Hier kommen konventionelle LDAP-Suchfilter zum Einsatz. Beachten Sie, dass Relution für Usereingaben immer den Platzhalter
%v
verwendet. Ein einfacher Suchfilter für Gruppen könnte zum Beispiel:(&(cn=%v)(objectClass=groupOfNames))
sein. - Suchbereich für Gruppen: Hier lässt sich konfigurieren, wie tief im Pfad nach Gruppen mit dem entsprechenden Suchfilter gesucht werden soll. Beachten Sie, dass es bei der Auswahl von
Unterebene
eventuell zu sehr vielen Treffern kommen kann.
Manuelles Mapping für Gruppen
Das manuelle Mapping verhält sich bei den Gruppen, wie bei den Benutzer:innen.
Häufig sind für die Fremdschlüssel (UID)
das Feld entryUUID
und für Mitglied
das Feld member
in Verwendung. Prüfen Sie die Attribute mit einem der oben empfohlenen LDAP-Tools oder über die Konsole mit ldapsearch
.
Gruppen-Synchronisation
Hier lässt sich der Synchronisierungszeitpunkt festlegen, zu dem Gruppen aktualisiert werden sollen. Dieser Task läuft alle 24 Stunden und lässt sich jederzeit über das Relution Portal manuell starten.
Bildung
Über die LDAP-Synchronisierung lassen sich auch Klassen erstellen, die im Bereich Bildung
im Menu angezeigt werden und für die Relution Teacher Console oder in Apple Classroom genutzt werden können.
Klassen, die in Relution angelegt werden sollen, sind im LDAP Gruppenobjekte. In ihnen müssen sowohl Lehrer:innen als auch Schüler:innen enthalten sein.
Suchkriterien für Klassen
Die Konfiguration sieht hier ähnlich aus wie bei Usern und Gruppen. Definieren Sie eine Suchbasis, in der die Klassen enthalten sind und einen entsprechenden Suchfilter dazu. Ebenso wird der Suchbereich wie gewohnt über das entsprechende Dropdown-Menü konfiguriert.
Testen Sie Ihre Konfiguration über den entsprechende Button und beachten Sie, dass Klassen später nur angelegt werden, wenn sich sowohl Lehrer:innen als auch Schüler:innen in ihnen befinden.
Suchkriterien für Lehrkräfte und Schüler:innen
Hier besteht die Konfiguration ebenfalls aus der Suchbasis und einem entsprechenden Filter. Häufig werden die einzelnen Nutzertypen über Gruppenzugehörigkeiten definiert. Suchfilter können beispielsweise so aussehen:
- Lehrer:innen:
(&(memberOf=CN=alle-lehrer,OU=groups,DC=schule,DC=local)(objectClass=person))
- Schüler:innen:
(&(memberOf=CN=alle-schueler,OU=groups,DC=schule,DC=local)(objectClass=person))
Prüfen Sie Ihre Filter immer auf Funktionalität.
Synchronisierung der Bildungsdaten
Konfigurieren Sie hier wieder den entsprechenden automatischen Import der Daten.
Global Organisation Mapping
In der Global Organisation ist es möglich, globale LDAP Provider zu konfigurieren und mit einzelnen Mappings User, Gruppen und Klassen in Organisationen synchronisieren zu lassen. Seit Relution Server 5.21 werden dort nur noch Inhalte synchronisiert, die auch in einem Mapping hinterlegt und durch die entsprechenden Filter gefunden werden.