Asunto "LDAP-Anbindung"

Hallo Zusammen,

ich hoffe ihr könnt mir weiterhelfen. Ich schreibe z.Zt. eine Facharbeit (Fachinformatiker für SI) über die Anbindung von Ilias an das LDAP. Soweit funzt auch alles. Nur, es ist ja möglich, User aus einer AD-Gruppe in Ilias zu identifizieren. Hab gelesen das es geht, habe aber mit meinen Einstellungen keinen Erfolg. Kann mir jemand ein Beispiel zeigen, wie ich das mache? Manchmal brauche ich einen kleinen Denkanstoß, damit ich es Verstehe.

Ich möchte gerne die User per AD-Gruppen verwalten, damit ich dementsprechend die Rollen in Ilias vergeben kann (per Filter). Wenn die User nur in einer OU sind dann klappt der Login. Sind die User innerhalb dieser OU in einer Gruppe, klappts nicht mehr.

Es sollen nicht alle User aus der Domäne Zugriff auf Ilias haben. Deshalb möchte ich die Steuerung über Gruppen machen.

Vielleicht hat jemand ein Beispiel wie er die Einstellungen, z.B. in den Gruppenbeschränkungen, gemacht hat.

Gruppenbeschränkungen

Suchbasis: OU=IliasGruppen

Suchbereich: sub

LDAP Filter: ?????

Attributname der Gruppenmitglieder: member !?

Attributwert ist DN: nein

Gruppenname: ????

Attributname der Gruppe: ????

 

Aufbau meiner Struktur im AD: siehe Screenshot 8

 

Hallo Hajo,

aus dem Bild screenshot1.png werde ich nicht schlau wie sieht denn diese Gruppe aus?
Sind da schon Mitglieder drin?
Wie sieht das Mitgliedattribut aus?

Bei screenshot2.png sehen die Einstellungen ganz okay aus,
Nur würde ich an Deiner stelle versuchen ldaps also ssl gesichert zu verwenden.
Da sonst Möglicherweise die Passwörter im Klartext durch das Netz gehen.
Wenn jemand im Netzwerk den Traffic zwischen Ilias und dem LDAP snifft dann Bingo.
Die Einstellung lautet dann "ldaps://dc1.jonet.intra:636", das muss natürlich vom ldap Server unterstützt werden.
Zu screenshot3.png, wie sieht ITU aus?
Soweit ich es verstehe sind in ITU einträge in der Form member CN=... vorhanden? Dann solltest Du mal versuchen den Haken bei Attributwert is DN zu setzen.
Leider alles sehr spekulativ ohne genaurer Infos.
Nebenbei noch eine kleine Empfehlung besorg Dir einen vernünftigen LDAP Browser und versuch dort die Abfragen die Ilias macht nachzustellen.
Einfach die Ilias Log Datei während des Login Vorgagns Anzeigen lassen.
Auf einer Linux / Unix shell einfach mal tail -f "iliaslog-Datei" und dann versuchen bei Ilias einzuloggen.
Mann sieht dann in der Log Datei ziemlich genau wie Ilias mit dem LDPA Server kommuniziert.
Die Anfragen dann einfach mal im LDAP Browser nachstellen.
Ein guter LDPA Browser ist "Apache Directory Studio"



Gruß

Bob

Cita (bs_hska)

Hallo Hajo,

Cita

aus dem Bild screenshot1.png werde ich nicht schlau wie sieht denn diese Gruppe aus?

Cita

In der OU IliasGesamt sind alle User oder Gruppen.

Cita

Sind da schon Mitglieder drin?
Wie sieht das Mitgliedattribut aus?

Bei screenshot2.png sehen die Einstellungen ganz okay aus,
Nur würde ich an Deiner stelle versuchen ldaps also ssl gesichert zu verwenden.

Cita

Zur Zeit läuft alles auf einer virtuellen Maschine. Zugriff ist nur über mein lokales Netz.

Cita

Da sonst Möglicherweise die Passwörter im Klartext durch das Netz gehen.
Wenn jemand im Netzwerk den Traffic zwischen Ilias und dem LDAP snifft dann Bingo.
Die Einstellung lautet dann "ldaps://dc1.jonet.intra:636", das muss natürlich vom ldap Server unterstützt werden.
Zu screenshot3.png, wie sieht ITU aus?
Soweit ich es verstehe sind in ITU einträge in der Form member CN=... vorhanden? Dann solltest Du mal versuchen den Haken bei Attributwert is DN zu setzen.

Cita

Hab ich schon gemacht, ohne Erfolg.

Cita

Leider alles sehr spekulativ ohne genaurer Infos.
Nebenbei noch eine kleine Empfehlung besorg Dir einen vernünftigen LDAP Browser und versuch dort die Abfragen die Ilias macht nachzustellen.
Einfach die Ilias Log Datei während des Login Vorgagns Anzeigen lassen.
Auf einer Linux / Unix shell einfach mal tail -f "iliaslog-Datei" und dann versuchen bei Ilias einzuloggen.
Mann sieht dann in der Log Datei ziemlich genau wie Ilias mit dem LDPA Server kommuniziert.
Die Anfragen dann einfach mal im LDAP Browser nachstellen.
Ein guter LDPA Browser ist "Apache Directory Studio"

Cita

Guter Tipp, Danke!

Cita

Gruß

Bob

 

 

 

Falls das Problem noch akut ist: Wir betreiben unser Ilias mit LDAP- Anbindung ans AD seit einigen Jahren. Soweit ich das Problem verstehe, sind die Userobjekte im AD nicht unterhalb der OU IliasGruppen angelegt, sondern in anderen OUs. Da sehe ich ein Problem, da die LDAP- Suche ausgehend von der angegebenen OU im AD den Teilbaum durchsucht, Wenn da nur die Gruppen liegen, werden die USerobjekte nicht gefunden -> Anmeldefehler. Versuch doch mal einen User in der OU IliasGruppen anzulegen. Mit dem müsste dann ein Login möglich sein.

AD-Gruppen enthalten keine Userobjekte sondern nur eine Namensliste. Diese kann Ilias dann für die Rollenzuweisung verwenden.

Gruß

Ingo Jackisch

Hallo Ingo,

vielen Dank für deine Antwort, aber dieses Prozedere war mir schon klar. Ich dachte aber, man kann die User in den Gruppen anhand der Attribute identifizieren ("member" einer Gruppe).

Wofür ist der Bereich "Gruppenbeschränkungen" in den LDAP-Einstellungen?

Gruß Hajo Schmitz

Guten Tag

Unsere unverschlüsselte LDAP-Anbindung funktioniert problemlos. Beim Wechsel auf LDAPS haben wir noch ein Problem.

In welches Verzeichnis gehört das Zertifikat unserer Root-CA hingespeichert?

Server mit Iliasinstallation: CentOS Linux 7.7
Ilias-Version: 5.2.25

Wenn wir nur den LDAP-Server in den Ilias-Einstellungen eintragen (ldaps://xxxxxx:636) erscheint die Meldung:

[207bc] [2020-02-26 08:24:53] xx_auth.ERROR: ilAuthProviderLDAP::doAuthentication:182 Cannot bind to LDAP server... LDAP: Cannot bind as CN=xxLdapReader,OU=Administrativ,OU=Benutzer,OU=xx,OU=yy,DC=zz,DC=ch with message: Can't contact LDAP server Trying fallback...  
[207bc] [2020-02-26 08:24:53] xx_auth.NOTICE: ilAuthFrontend::handleAuthenticationFail:201 Increased login attempts for user: xy 

Freundliche Grüsse

Jürg

Hallo zusammen,

ich habe ein größeres Problem, das dazu führt, dass momentan 90% unserer Lehrer und Schüler seit Tagen keinen Zugriff mehr auf unsere Lernplattform haben.

Seit der Umstellung des LDAP-Servers unseres lokalen Schulservers auf LDAPS durch einen Dienstleister funktioniert in ILIAS (5.4) die LDAP-Authentifizierung nicht mehr. 
Vor der Umstellung auf LDAPS hat die LDAP-Authentifizierung problemlos funktioniert.
Beim erfolglosen Anmelden kommt die Meldung:
"Die Authentifizierung konnte wegen eines Fehlers im Anmeldungsverfahren (LDAP) nicht durchgeführt werden."

Serverseitig (ILIAS läuft auf Root-Server bei einem Webhoster) ist alles in Ordnung.
"ldapsearch" bringt vom ILIAS-Server aus mit den in ILIAS eingetragenen Verbindungs- und Anmeldedaten den kompletten LDAP Tree ohne Fehler.
Es kann also eigentlich nicht an fehlenden SSL-Zertifikaten, Firewall usw. liegen. Der Fehler tritt auch bei anderen ILIAS-Installationen auf dem selben Server auf (bei gleichen LDAP-Einstellungen).

In ILIAS wurde an den LDAP-Einstellungen nur folgendes geändert:

VORHER: ldap://xxxxxx:389 ; Verbindungsart: Anonym verbinden
NACHHER: ldaps://xxxxxx:636 ; Verbindungsart: Als Benutzer verbinden: DN des Benutzers: cn=ldap-ro,ou=services,dc=schule,dc=local

Alle anderen Einstellungen wurden im LDAP-Server nicht geändert und sind deshalb auch in ILIAS unverändert geblieben:



Der Cron-Job für die LDAP-Benutzersynchronisierung läuft ohne Fehlermeldung durch. Auch im ILIAS-Log-File wird kein Fehler ausgegeben:
[eh1g2] [2021-07-13 10:53:53.192372] elearning_root.INFO: ilCronManager::runJob:95 CRON - job ldap_sync started
[eh1g2] [2021-07-13 10:53:53.195927] elearning_root.INFO: ilCronManager::runJob:95 CRON - job ldap_sync finished
[eh1g2] [2021-07-13 10:53:53.195991] elearning_root.INFO: ilCronManager::runJobManual:282 CRON - manual end (ldap_sync)

Eine erfolglose Anmeldung des Test-Users "ibiza.ibiza" führt zu folgendem Eintrag im Log-File:

[poj6u] [2021-07-13 10:54:23.131268] elearning_auth.ERROR: ilAuthProviderLDAP::doAuthentication:173 Cannot bind to LDAP server... LDAP: Cannot bind as cn=ldap-ro,ou=services,dc=schule,dc=local with message: Invalid credentials Trying fallback...
[poj6u] [2021-07-13 10:54:23.175625] elearning_auth.ERROR: ilAuthProviderLDAP::doAuthentication:173 Cannot bind to LDAP server... LDAP: Cannot bind as cn=ldap-ro,ou=services,dc=schule,dc=local with message: Invalid credentials Trying fallback...
[poj6u] [2021-07-13 10:54:23.179226] elearning_auth.NOTICE: ilAuthFrontend::handleAuthenticationFail:191 Increased login attempts for user: ibiza.ibiza

Wie kann ich den Fehler weiter eingrenzen?

• Liegt es an den anderen, nicht geänderten LDAP-Einstellungen in ILIAS, die ja vorher funktioniert haben? Der Dienstleister hat alles verglichen und keine Unstimmigkeiten gefunden.
• Spielt mir die .htaccess im ILIAS-Ordner einen Streich? Die einzige Änderung gegenüber der Orginal-Datei ist, dass ich einen Eintrag für den verkürzten Gastlink von MultiVC hinzugefügt habe (s.u.). Aber auch mit der Original-.htaccess tritt dieses LDAPS-Problem weiter auf.
• Was könnte den SSL-zugriff aus ILIAS heraus sonst noch stören?

<IfModule mod_rewrite.c>

RewriteEngine on

RewriteRule ^m/([A-Za-z0-9]+)/([0-9]+)$ ./Customizing/global/plugins/Services/Repository/RepositoryObject/MultiVc/index.php?ref_id=$2&client=$1 [L]

RewriteCond %{QUERY_STRING} ^lang=([^=]*)$
RewriteRule ^goto_(.*)_(wiki_([0-9]+|wpage)(.*)).html$ goto.php?client_id=$1&target=$2&lang=%1 [L]
RewriteRule ^goto_(.*)_(wiki_([0-9]+|wpage)(.*)).html$ goto.php?client_id=$1&target=$2 [L]
RewriteRule ^([^\/]*)_user_(.*)$ goto.php?client_id=$1&target=usr_n$2 [L]
RewriteRule ^goto_(.*)_(usr_([a-z]+)).html$ goto.php?client_id=$1&target=$2 [L]
RewriteCond %{QUERY_STRING} ^lang=([^=]*)$
RewriteRule ^goto_(.*)_([a-z]+_[0-9]+(.*)).html$ goto.php?client_id=$1&target=$2&lang=%1 [L]
RewriteRule ^goto_(.*)_([a-z]+_[0-9]+(.*)).html$ goto.php?client_id=$1&target=$2 [L]
RewriteRule ^data/.*/.*/.*$ ./Services/WebAccessChecker/wac.php [L]
RewriteCond %{HTTP_USER_AGENT} ^(DavClnt)$
RewriteCond %{REQUEST_METHOD} ^(OPTIONS)$
RewriteRule .* "-" [R=401,L]
RedirectMatch 404 /\.git
</IfModule>

<IfModule mod_xsendfile.c>
XSendFile On
</IfModule>

AddType video/ogg .ogv
AddType video/mp4 .mp4
AddType video/webm .webm

Serverdaten:

• Debian 9
• PHP 7.1
• MySQL 5.7

Bin mit meinem Latein am Ende und dankbar für jeden Tipp.

Vielen Dank  :))
Joachim