Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
ldap-authentisierungsmodul [2017/11/15 09:00] – [Konfiguration] lwsystems | ldap-authentisierungsmodul [2021/10/13 12:58] (aktuell) – [groupmailattr] lwsystems | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== LDAP-Authentisierungsmodul ====== | ====== LDAP-Authentisierungsmodul ====== | ||
- | ===== Installation ===== | ||
- | Das LDAP-Authentisierungsmodul | + | Die Authentisierung gegen ein LDAP-Verzeichnis |
In der Datei [[Benno.conf|/ | In der Datei [[Benno.conf|/ | ||
Zeile 11: | Zeile 10: | ||
Das LDAP-Authentisierungsmodul wird per Symlink in das Verzeichnis des Authentisierungs-Stacks aktiviert: | Das LDAP-Authentisierungsmodul wird per Symlink in das Verzeichnis des Authentisierungs-Stacks aktiviert: | ||
- | < | + | < |
+ | ===== Active Directory ===== | ||
- | Die Anbindung an [[Active Directory]] erfolgt ebenfalls per LDAP. Die Konfiguration des Moduls ist [[Active Directory|hier]] beschrieben. | ||
- | ====== Konfiguration ====== | ||
- | Die Konfiguration zur Kommunikation mit dem LDAP-Server werden in der Datei '' | + | Die Anbindung an [[Active Directory]] erfolgt ebenfalls per LDAP. Die Eigenheiten |
- | Das LDAP-Schema kann mit spezifischen Attributen für Benno MailArchiv wie in der [[benno-ldap.schema|Schemadefinition]] beschrieben, | + | ====== |
- | Diese Attribute | + | Die Konfiguration zur Kommunikation mit dem LDAP-Server |
+ | |||
+ | Die in der Datei auskommentierten Angaben für die einzelnen Parameter sind Voreinstellungen, | ||
+ | |||
+ | ===== Konfigurationsdatei ldapauth.conf ===== | ||
+ | |||
+ | Die folgenden Anpassungen sind für die Anbindung von Benno MailArchiv an einen LDAP-Server notwendig. | ||
+ | |||
+ | ==== Benutzer-Authentisierung ==== | ||
+ | |||
+ | === host === | ||
+ | |||
+ | host = ldap.lw-systems.de | ||
+ | |||
+ | Der Hostname oder die IP-Adresse des LDAP-Server. Falls der Dienst nicht an den Standard-Port 389 gebunden ist, wird der Port mit einem Doppelpunkt getrennt angegeben. | ||
+ | Ein Backup-Host kann hier durch ein Komma getrennt angegeben werden. | ||
+ | |||
+ | === basedn === | ||
+ | |||
+ | basedn = dc=lw-systems, | ||
+ | |||
+ | Die BaseDN des LDAP-Verzeichnisses. | ||
+ | |||
+ | === userattr === | ||
+ | |||
+ | userattr = uid | ||
+ | |||
+ | Der Benutzername wird hier angegebenen Attribut gesucht. Bei der Authentisierung gegen eine Windows AD Domäne muss der Parameter auf // | ||
+ | |||
+ | === usersuffix === | ||
+ | |||
+ | usersuffix = ou=users, | ||
+ | |||
+ | In der Voreinstellung bei nicht belegtem Wert von // | ||
+ | |||
+ | Falls keine Suche möglich ist, wird hier der // | ||
+ | |||
+ | |||
+ | === objectclass === | ||
+ | |||
+ | objectclass = posixAccount | ||
+ | |||
+ | Der Filter der Objektklasse, | ||
+ | |||
+ | === userfilter === | ||
+ | |||
+ | userfilter = (& | ||
+ | |||
+ | Mit diesem Parameter können beliebige LDAP-Filter konfiguriert werden, auf die ein gültiges User-Objekt zutreffen muss. Dieses bietet die Möglichkeit, | ||
+ | |||
+ | Falls diese Einstellung aktiv ist, werden die Werte von // | ||
+ | |||
+ | === tls === | ||
+ | |||
+ | tls = false | ||
+ | |||
+ | Wenn auf //true// gesetzt, erfolgt die Abfrage des LDAP-Servers verschlüsselt. | ||
+ | |||
+ | |||
+ | === binddn === | ||
+ | |||
+ | binddn = cn=admin, | ||
+ | |||
+ | Falls aktiviert, führt das Authentisierungsmodul zuerst eine LDAP Bind mit diesem Benutzer-DN und dem u.a. [[# | ||
+ | |||
+ | === email / alias === | ||
+ | |||
+ | email = mail | ||
+ | alias = emailAlias | ||
+ | |||
+ | Aus den hier konfigurierten LDAP-Attributen werden die gültigen E-Mail Adressen eines Benutzers ermittelt. | ||
+ | Hier können per Komma getrennt jeweils mehrere Attribute angebeben werden. | ||
+ | Beispiel: '' | ||
+ | |||
+ | === addemail === | ||
+ | |||
+ | addemail = mitarbeiter@lw-systems.net | ||
+ | |||
+ | Die hier konfigurierten Adressen werden allen Benutzern als zusätzliche E-Mail Adresse zugeordnet. Die Liste der Adressen wird mit Komma und Leerzeichen getrennt. | ||
+ | |||
+ | === role === | ||
+ | |||
+ | role = bennoRole | ||
+ | |||
+ | Dieses (String-) Attribut enhält die Rolle, die dem User beim Login zugeordnet wird. Falls hier nichts eingetragen ist, bekommen jeder Benutzer mindestens die Role //USER//. | ||
+ | |||
+ | === container === | ||
+ | |||
+ | container = bennoContainer | ||
+ | |||
+ | Dieses (String-) Attribut enhält den Container auf den der benutzer nach dem Login zugreifen darf. Falls kein entsprechendes Attribut konfiguriert ist, wird die Einstellung von [[# | ||
+ | |||
+ | === default_container === | ||
+ | |||
+ | default_container = BennoContainer | ||
+ | |||
+ | Jeder Benutzer erhält beim Login auf diesen Container Zugriff. Der Container // | ||
+ | |||
+ | === adminuser === | ||
+ | |||
+ | adminuser = bennoadmin, superadmin | ||
+ | |||
+ | Liste von Benutzernamen, | ||
+ | |||
+ | === revisoruser === | ||
+ | |||
+ | revisoruser = revisor | ||
+ | |||
+ | Liste von Benutzernamen, | ||
+ | |||
+ | === filter_before-created === | ||
+ | |||
+ | Default: //false// | ||
+ | |||
+ | Falls dieser Wert auf //true// gesetzt wird, wird das Attribut " | ||
+ | |||
+ | === loglevel === | ||
+ | |||
+ | loglevel = 0 | ||
+ | |||
+ | Loglevel des Authentisierungsmoduls beim Debgging über die Kommandozeile. | ||
+ | |||
+ | echo -e "< | ||
+ | |||
+ | ==== Gruppen-Zuordnung ==== | ||
+ | |||
+ | Das Modul '' | ||
+ | |||
+ | Das Modul wird mit dem Kommando\\ | ||
+ | '' | ||
+ | aktiviert. | ||
+ | |||
+ | Dieses Authentisierungs-Modul ist mit Benno Web 2.4.1 verfügbar. | ||
+ | === groupobjectclass === | ||
+ | |||
+ | groupobjectclass = posixGroup | ||
+ | |||
+ | Die Objektklasse der gültigen Gruppen für die Zuordnung. | ||
+ | |||
+ | === groupuserattr === | ||
+ | |||
+ | groupuserattr = memberUid | ||
+ | |||
+ | Der Benutzername wird in diesem Attribut der Gruppe gesucht. | ||
+ | wird die E-Mail Adresse aus dem [[# | ||
+ | |||
+ | === groupmailattr === | ||
+ | |||
+ | groupmailattr = univentionFreeAttribute15 | ||
+ | |||
+ | Dieses Attribut enthält E-Mail Adressen, die der Gruppe zugeordnet sind. Als Beispiel wurde hier die Konfiguration einer [[konfigurationsbeispiele: | ||
+ | |||
+ | ===== Schemaerweiterung ===== | ||
+ | |||
+ | Das LDAP-Schema kann mit spezifischen Attributen für Benno MailArchiv erweitert werden. Das Schema ist in der [[benno-ldap.schema|Schemadefinition]] beschrieben.\\ | ||
+ | |||
+ | Diese Attribute müssen | ||