LDAP - Server
Allgemeines
Die CIT betreibt einen zentralen Verzeichnisdienst der u.a. eine standardisierte LDAP -Schnittstelle bietet. Über LDAP können Inhalte des Verzeichnisses ausgelesen werden sowie Funktionen des Verzeichnisdienstes genutzt werden.
Die wichtigsten Anwendungsbeispiele für die LDAP-Nutzung:
Adressbuch
Im Verzeichnisdienst sind zu jedem Campus-Benutzerkonto neben Vor- und Nachname Daten wie E-Mail-Adresse, Telefon- und Faxnummer, Raumnummer und Titel gespeichert. Diese Daten können von Anwendungsprogrammen über LDAP abgerufen und genutzt werden. Ein Beispiel haben wir beim Service Adressbuch im Reiter "Anleitung" beschrieben.
Authentifizierung
Der Verzeichnisdienst dient auch als Basis für die Anmeldung (Authentifizierung ) an den verschiedenen IT-Diensten der Hochschule. Während einige Dienste wie zum Beispiel der Novell Client die Authentifizierung über proprietäre Schnittstellen erledigen steht die Funktionalität auch über LDAP zur Verfügung. Beliebige standardkonforme LDAP-fähige Anwendungen können daher über diese Schnittstelle eine Authentifizierung am zentralen Verzeichnisdienst realisieren. Dies wird sehr häufig für Webseiten und -Applikationen wie z.B. die zentralen Webseiten der Hochschule oder Webmail genutzt.
Darüber hinaus greifen weitere für die Authentifizierung genutzte Protokolle über LDAP auf den zentralen Verzeichnisdienst zu, z.B. RADIUS und Shibboleth .
Autorisierung über Gruppen
Neben der Authentifizierung ist bei vielen Anwendungen auch eine Autorisierung notwendig: darüber kann die Anwendung (bzw. der Programmierer/Administrator) festlegen, wer was sieht oder wer welche Funktionen nutzen darf. Eine Möglichkeit, diese Autorisierung zu realisieren, ist die Auswertung von LDAP-Gruppen. Jedes Campus-Benutzerkonto ist im zentralen Verzeichnisdienst verschiednen Gruppen zugeordnet; diese Gruppenzugehörigkeiten kann die Anwendung nach der Anmeldung eines Anwenders auswerten und entsprechend Zugriffe zulassen oder verweigern.
Die CIT stellt auf Basis der Daten von der Verwaltung einige Gruppen zur Verfügung; Beispiele sind "Professoren", "Beschaeftigte", "Studierende", "Lehrbeauftragte" etc.
LDAP-Server
Sowohl Verzeichnisdienst eDirectory als auch LDAP sind nicht jeweils ein Server. Der Verzeichnisdienst basiert auf einer verteilten replizierten Datenbank und läuft auf derzeit mehr als 10 Servern der CIT. Jeder dieser eDirectory-Server kann auch als LDAP-Server dienen. Ein Teil davon wird von der CIT für die LDAP-Nutzung durch Anwender und Nicht-CIT-Anwendungen freigegeben.
Für Dienste in der DMZ gibt es eigene LDAP-Server.
Informationen zu den LDAP-Servern und deren Nutzung finden Sie im Reiter "Anleitung"
Verwendung der LDAP-Server des RZ
Dieser Bereich ist nicht für alle sichtbar. Melden Sie sich über das Website-"Login" in der Kopfzeile mit Ihrer Campus-Benutzerkennung an.
No FAQ's found.
Downloads
In diesem Abschnitt finden Sie Downloads mit Bezug zum Thema "LDAP-Server".
Interne CA-Zertifikate für den LDAP-Zugriff
Hinweis: CA-Zertifikate dürfen nur von verifizierten Quellen geladen werden! Dies ist nur dann der Fall, wenn https (mit SSL) verwendet wird (nicht http ohne SSL) und der Browser das für die SSL-Verbindung verwendete Zertifikat bereits kennt. Wenn kein SSL verwendet wird oder der Browser eine Fehlermeldung bzgl. einem ungültigen Zertifikat anzeigt, besteht die Gefahr, dass Ihnen jemand ein gefälschtes Zertifikat unterjubeln will.
Hinweis: Bitte beachten Sie zu den CA-Zertifikaten die Informationen und Hinweise im Tab "Anleitungen"!
| mit OES-Client | I:\Zertifikate\Stammzertifikat RZ |
|---|---|
| mit CIFS/SMB-Client | \\fs1-2-common\common\Zertifikate\Stammzertifikat RZ |
| Filr | https://filr.hs-offenburg.de -> Netzwerkordner -> Zertifikate -> Stammzertifikat RZ |
| Filr-Permalink | filr.hs-offenburg.de/ssf/a/c/p_name/ss_forum/p_action/1/binderId/28529/entityType/folder/action/view_permalink/novl_url/1 |
| Dateiname | Endung Binärformat | Endung ASCII-Format | ||
|---|---|---|---|---|
| altes CA-Zertifikat für interne LDAP-Server, bis 2017 | CA | crt, der | b64, pem | |
| neues CA-Zertifikat für interne LDAP-Server, ab 2017 | CA17 | crt, der | b64, pem | |
| CA_PROXY_TREE | crt, der | b64, pem |