Update:
Endlich habe ich auch die LDAPs Verbindung erfolgreich umsetzen können. Dank des Artikels bei Univention
https://help.univention.com/t/ldaps-mit-lets-encrypt/18452
gibt es nun auf meinem Blog eine Anleitung, bei der die LDAPs Verbindung über die Zertifikate der Nextcloud hergestellt wird:
https://paedmllinux.blogspot.com/2022/12/ldaps-fur-webuntis.html
Klarstellung: Es wird hier nur die Synchronisation der Schülerkonten beschrieben! Lehrerkonten sind zwar denkbar, wird aber in untenstehender Lösung nicht beschrieben, da ich die Verwaltung der Lehrer-Konten der Schulleitung überlasse und das Risiko nicht auf die Netzwerkbetreuung verlagern möchte. Das Vorgehen ist aber direkt Analog auch für Lehrkräfte umsetzbar.
Schritt 1: Firewall
Firewall per Browser öffnen (10.1.0.11) und als Administrator anmelden.
Klick auf Firewall --> NAT
Auf Hinzufügen (Pfeil nach unten) klicken um eine neue Regel zu erstellen.
Protokoll auf TCP/UDP umstellen,
Bei Quelle auf "Zeige Erweiterte",
dann bei Quelle "Einzelner Host oder Alias" mit der IP 213.208.138.146 eintragen.
Bei Ziel auf INTERNET adress mit Zielportbereich LDAP einstellen.
Umleitungsziel "Einzelner Host" auf 10.1.0.1, als Umleitungsport "Anderer" mit "7389" wählen.
Beschreibung ergänzen, z.B. "LDAP-Weiterleitung für WebUntis"
Unten auf Speichern klicken und die Regel anwenden lassen.
Schritt 2: WebUntis Konfigurieren
In WebUntis als Admin auf "Administration" --> "Integration" klicken und LDAP auswählen.
Den Haken "aktiv" erst NACH Fertigstellung setzen!
Bei "LDAP Server URL" ist "ldap://8.8.8.8" ist die IP oder URL der Schule anstelle der 8.8.8.8 einzutragen.
Für LDAPs muss hier unter "LDAP Server URL" der Wert "ldaps://cloud.meine-schule.de" eingegeben werden, dabei ist cloud.meine-schule.de durch die Nextcloud Adresse ihrer Schule zu ersetzen. Siehe dazu https://paedmllinux.blogspot.com/2022/12/ldaps-fur-webuntis.html.
Für "LDAP Benutzer" verwenden Sie den LDAPSuche-Account mit "uid=ldapsuche,cn=users,dc=paedml-linux,dc=lokal",
das LDAP Passwort zu diesem ist auf dem Server unter /etc/ldapsuche.secret zu finden.
Der "Userfilter" mit (&(objectclass=ucsschoolStudent)(uid={0})) fragt in dieser Konfiguration nur Schüler ab, falls auch Lehrer gefunden werden sollen muss die Konfiguration angepasst werden.
BaseDn für Benutzersuche: ou=schule,dc=paedml-linux,dc=lokal
LDAP Mail Attribut: mailPrimaryAddress
Haken bei "Unbekannten Benutzer nach erfolgreicher Anmeldung anlegen" und
"Anmeldung für nicht identifizierten Benutzer verbieten" setzen.
LDAP Personenrolle Attribut: ucsschoolSourceUID
Bei den weiteren Einträgen habe ich keine Lehrer importiert, daherist bei "Lehrkraft" auch die "Standard-Benutzergruppe" auf "<Auswahl>".
In der Kategorie Schüler:
Personenrolle: schule-student
Personenidentifzierung: Einzelattribut
LDAP ID Attribute: ucsschoolRecordUID
Elementdaten ID Feld: externKey
Einen Klick auf speichern sollte die Konfiguration hinterlegen. Klicken Sie auf Test und geben Sie Benutzer und Passwort eines SchülerInnen Accounts ein, die Abfrage sollte "ldap connection ist ok" und etwas wie "found uid=maxi.muster,cn=schueler..." ausgeben.
Nach erfolgreichem Test den Haken "aktiv" ganz oben setzen und speichern.
Ich werde die Vorhandenen Schüler Accounts meiner Schule zum Schuljahreswechsel löschen, dann können sich unsere Schüler mit ihren Computerraum-Anmeldedaten bei WebUntis anmelden. Durch die erstmalige Anmeldung wird jeweils ein neuer Account erschaffen und über den Schlüsselvergleich direkt mit dem Stammdaten/Stundenplänen der Schülerinnen und Schüler verknüpft.
