LDAP - Server

Allgemeines

Die CIT betreibt einen zentralen Verzeichnisdienst der u.a. eine standardisierte LDAP -Schnittstelle bietet. Über LDAP können Inhalte des Verzeichnisses ausgelesen werden sowie Funktionen des Verzeichnisdienstes genutzt werden.

 

Die wichtigsten Anwendungsbeispiele für die LDAP-Nutzung:

Adressbuch

Im Verzeichnisdienst sind zu jedem Campus-Benutzerkonto neben Vor- und Nachname Daten wie E-Mail-Adresse, Telefon- und Faxnummer, Raumnummer und Titel gespeichert. Diese Daten können von Anwendungsprogrammen über LDAP abgerufen und genutzt werden. Ein Beispiel haben wir beim Service Adressbuch im Reiter "Anleitung" beschrieben.

Authentifizierung

Der Verzeichnisdienst dient auch als Basis für die Anmeldung (Authentifizierung ) an den verschiedenen IT-Diensten der Hochschule. Während einige Dienste wie zum Beispiel der Novell Client die Authentifizierung über proprietäre Schnittstellen erledigen steht die Funktionalität auch über LDAP zur Verfügung. Beliebige standardkonforme LDAP-fähige Anwendungen können daher über diese Schnittstelle eine Authentifizierung am zentralen Verzeichnisdienst realisieren. Dies wird sehr häufig für Webseiten und -Applikationen wie z.B. die zentralen Webseiten der Hochschule oder Webmail genutzt.

Darüber hinaus greifen weitere für die Authentifizierung genutzte Protokolle über LDAP auf den zentralen Verzeichnisdienst zu, z.B. RADIUS und Shibboleth .

Autorisierung über Gruppen

Neben der Authentifizierung ist bei vielen Anwendungen auch eine Autorisierung notwendig: darüber kann die Anwendung (bzw. der Programmierer/Administrator) festlegen, wer was sieht oder wer welche Funktionen nutzen darf. Eine Möglichkeit, diese Autorisierung zu realisieren, ist die Auswertung von LDAP-Gruppen. Jedes Campus-Benutzerkonto ist im zentralen Verzeichnisdienst verschiednen Gruppen zugeordnet; diese Gruppenzugehörigkeiten kann die Anwendung nach der Anmeldung eines Anwenders auswerten und entsprechend Zugriffe zulassen oder verweigern.

Die CIT stellt auf Basis der Daten von der Verwaltung einige Gruppen zur Verfügung; Beispiele sind  "Professoren", "Beschaeftigte", "Studierende", "Lehrbeauftragte" etc.

 

LDAP-Server

Sowohl Verzeichnisdienst eDirectory als auch LDAP sind nicht jeweils ein Server. Der Verzeichnisdienst basiert auf einer verteilten replizierten Datenbank und läuft auf derzeit mehr als 10 Servern der CIT. Jeder dieser eDirectory-Server kann auch als LDAP-Server dienen. Ein Teil davon wird von der CIT für die LDAP-Nutzung durch Anwender und Nicht-CIT-Anwendungen freigegeben.

Für Dienste in der DMZ gibt es eigene LDAP-Server.

Informationen zu den LDAP-Servern und deren Nutzung finden Sie im Reiter "Anleitung"

Verwendung der LDAP-Server des RZ

Dieser Bereich ist nicht für alle sichtbar. Melden Sie sich über das Website-"Login" in der Kopfzeile mit Ihrer Campus-Benutzerkennung an.

No FAQ's found.

Downloads

In diesem Abschnitt finden Sie Downloads mit Bezug zum Thema "LDAP-Server".

Interne CA-Zertifikate für den LDAP-Zugriff

Hinweis: CA-Zertifikate dürfen nur von verifizierten Quellen geladen werden! Dies ist nur dann der Fall, wenn https (mit SSL) verwendet wird (nicht http ohne SSL) und der Browser das für die SSL-Verbindung verwendete Zertifikat bereits kennt. Wenn kein SSL verwendet wird oder der Browser eine Fehlermeldung bzgl. einem ungültigen Zertifikat anzeigt, besteht die Gefahr, dass Ihnen jemand ein gefälschtes Zertifikat unterjubeln will.

Hinweis: Bitte beachten Sie zu den CA-Zertifikaten die Informationen und Hinweise im Tab "Anleitungen"!

Caption
mit OES-ClientI:\Zertifikate\Stammzertifikat RZ
mit CIFS/SMB-Client\\fs1-2-common\common\Zertifikate\Stammzertifikat RZ
Filrhttps://filr.hs-offenburg.de -> Netzwerkordner -> Zertifikate -> Stammzertifikat RZ
Filr-Permalinkfilr.hs-offenburg.de/ssf/a/c/p_name/ss_forum/p_action/1/binderId/28529/entityType/folder/action/view_permalink/novl_url/1
Namen der CA-Zertifikatsdateien, Binär-/ASCII-Format
DateinameEndung BinärformatEndung ASCII-Format
altes CA-Zertifikat für interne LDAP-Server, bis 2017CAcrt, derb64, pem
neues CA-Zertifikat für interne LDAP-Server, ab 2017CA17crt, derb64, pem
CA-Zertifikat für LDAP-Proxy
CA_PROXY_TREEcrt, derb64, pem