Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
infrastruktur:ldap [2019/01/26 14:48] – angelegt void | infrastruktur:ldap [2019/01/26 16:22] – void | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== | + | ====== |
Es gibt einen SSO Service via LDAP, der über warpsrvint läuft. | Es gibt einen SSO Service via LDAP, der über warpsrvint läuft. | ||
+ | |||
+ | Für die Speicherung und die Bereitstellung der zentralen Anmeldungen wird ein OpenLDAP Server verwendet. | ||
Es möglich, Dienste hierüber zu authentifizieren - mit dem Vorteil, dass es nur einen zentralen Ort gibt um User anlegen, löschen und bearbeiten zu können. | Es möglich, Dienste hierüber zu authentifizieren - mit dem Vorteil, dass es nur einen zentralen Ort gibt um User anlegen, löschen und bearbeiten zu können. | ||
- | Ein Account kann auf warpsrvint.warpzone | + | ===== Produktivumgebung ===== |
+ | |||
+ | Aktuell existiert nur eine LDAP Server | ||
+ | Zukünftig soll der Server auf den internen Server | ||
+ | |||
+ | Für Dienste ist der LDAP Server unter ldap:// | ||
+ | |||
+ | Das Benutzerinterface für die Verwaltung wird von [[infrastruktur: | ||
+ | |||
+ | Für die direkte Verwaltung des LDAPs für Administratoren ist unter [[https:// | ||
+ | |||
+ | ===== Testumgebung ===== | ||
+ | |||
+ | FIXE | ||
+ | |||
+ | ===== Struktur des LDAP ===== | ||
+ | |||
+ | Generell sind die LDAPs der Prod- und Testumgebung identisch aufgebaut. | ||
+ | Lediglich in den Basisidaten gibt es Abweichungen um versehentliche Zugriffe auf die falsche Umgebung zu unterbinden. | ||
+ | |||
+ | Prod-Umgebung: | ||
+ | * Organisation: | ||
+ | * Domain: | ||
+ | * Base DN: dc=warpzone, | ||
+ | * Admin DN: cn=admin, | ||
+ | * Readonly DN: cn=readonly, | ||
+ | |||
+ | Testumgebung: | ||
+ | * Organisation: | ||
+ | * Domain: warpzone-test.ms | ||
+ | * Base DN: dc=warpzone-test, | ||
+ | * Admin DN: cn=admin, | ||
+ | * Readonly DN: cn=readonly, | ||
+ | |||
+ | ===ou=groups, | ||
+ | In dieser OU sind Gruppen für die allgemeine Verwendung angelegt. | ||
+ | |||
+ | ===cn=active, | ||
+ | |||
+ | Benutzer müssen Mitglied dieser Gruppe sein um sich übernaupt an einem bestimmten Dienst anmelden zu können. | ||
+ | Diese Gruppe wird bei der Erstellung eines Accounts nach der Validierung der E-Mail Adresse automatisch zugewiesen. | ||
+ | |||
+ | ===cn=member, | ||
+ | |||
+ | Diese Gruppe erhalten alle Accounts von Warpzone Mitgliedern. | ||
+ | |||
+ | ===cn=vorstand, | ||
+ | |||
+ | Diese Gruppe wird den Vorstandsmitgliedern der Warpzone zugewiesen. | ||
+ | |||
+ | |||
+ | ===ou=infrastructure, | ||
+ | |||
+ | In dieser OU werden | ||
+ | |||
+ | ===cn=3dprint-admin, | ||
+ | |||
+ | Benutzer mit dieser Rolle sind berechtigt die 3D-Drucker Nutzungsberechtigung zu erteilen. | ||
+ | |||
+ | ===cn=3dprint-user, | ||
+ | |||
+ | Benutzer mit dieser Rolle sind berechtigt die 3D-Drucker zu nutzen. | ||
+ | |||
+ | ===cn=grafana-admin, | ||
+ | |||
+ | Benuzer mit dieser Rolle haben administrative Berechtigungen nm [[infrastruktur: | ||
+ | |||
+ | ===cn=warpauth-admin, | ||
+ | |||
+ | Benutzer mit dieser Gruppe haben administrative Berechtigungen in [[infrastruktur: | ||
+ | |||
+ | ===ou=users, | ||
+ | |||
+ | In Dieser OU werden die Benutzerkonnten angelegt. | ||
+ | |||
+ | ===uid=franziska, | ||
+ | Beispiel für einen Benutzer. | ||
+ | |||
+ | ===== Verwendete Objektklassen ===== | ||
+ | |||
+ | ==== Benutzer ==== | ||
+ | |||
+ | Für Benutzer wird generell die // | ||
+ | |||
+ | **Attribut: uid (required, identifizierend) ** | ||
+ | Benutzername des Benutzers. | ||
+ | Dieses Attribut wird zur identifizierung des Benutzers verwendet und ist teil des CN. | ||
+ | Beispiel für den CN (Benutzer Franziska): uid=franziska, | ||
+ | |||
+ | **Attribut: cn (required)** | ||
+ | Name des Benutzers (Vorname und Nachname). | ||
+ | |||
+ | **Attribut: givenName ** | ||
+ | Vorname des Benutzers | ||
+ | |||
+ | **Attribut: sn ** | ||
+ | Nachname des Benutzers | ||
+ | |||
+ | **Attribut: mail ** | ||
+ | E-Mail Adesse der Person | ||
+ | |||
+ | **Attribut: userPassword ** | ||
+ | Passwort des Benutzers | ||
+ | |||
+ | **Attribut: carLicense** | ||
+ | In diesem Attribut ist (verschlüsselt) der Pin Coder für den Warpshop gespeichert. | ||
+ | |||
+ | |||
+ | ==== Gruppen ==== | ||
+ | |||
+ | Für Gruppen wird generell die // | ||
+ | |||
+ | **Attribut: uniqueMember** | ||
+ | |||
+ | Dieses Attribut kann mehrere Werte enthalten. | ||
+ | Als Wert ist jeweils die UID der Benutzerobjekte hinterlegt. | ||
+ | |||
+ | ===== Verwendete Abfragefilter ==== | ||
+ | |||
+ | **Gitlab ** | ||
+ | |||
+ | * Filter: (& | ||
+ | * Attribute für Aneldenamen: | ||
- | ===== via LDAP angebundene Dienste ===== | + | **HackMD** |
- | * CodiMD | + | * Filter: |
- | * Gitlab | + | |
- | * warpsrvint.warpzone | + | ===== aktuell via LDAP angebundene Dienste ===== |
- | * warpsrvext.warpzone (gespiegelt von warpsrvint) | + | |
- | ===== Dienste mit (noch) lokaler Authentifizierung ===== | + | |
- | * (Doku)Wiki | + | * Gitlab [[https:// |
- | * Wordpress (www.warpzone.ms) | + | |
- | | + | |
- | * Etherpad (pad.warpzone.ms) | + | |
- | ===== Probleme | + | ===== Dienste, die zukünftig angebunden werden sollen |
+ | * (Doku)Wiki [[https:// | ||
+ | * Wordpress (www.warpzone.ms) [[https:// | ||
+ | * Jabber (jabber.warpzone.ms) | ||
- | Dabei müsste natürlich sichergestellt werden das man im Falle eines Fehlers noch die Möglichkeit hat die Server zu Administrieren selbst wenn das SSO ausfällt. | ||
- | Mögliche Probleme: | ||
- | * Verschiedene bestehende Namen in Forum/ | ||
- | * Jeder Forumnutzer hat einen Ldap Account | ||
- | * ... | ||