Dienstag, 13. Dezember 2022

LDAPs für WebUntis

EDIT: Diese Anleitung ist veraltet, bitte die Anleitung zum LDAP im Downloadbereich der paedML Linux beachten, dort ist alles offiziell beschrieben. 


Im Beitrag zu WebUntis 

https://paedmllinux.blogspot.com/2021/07/webuntis-per-ldap-mit-paedml-linuxgs-72.html

hatte ich bisher die Einrichtung ohne LDAPs Verbindung beschrieben. 

Nun kommt endlich der Nachtrag.

Vorsicht: Verwenden der Anleitung auf nur eigene Gefahr!

Voraussetzung ist eine konfigurierte Nextcloud, welche im Internet unter einer Adresse wie cloud.meine-schule.de erreichbar ist. 

Auf der Nextcloud muss als erstes der Nginx Proxyserver installiert werden, der die LDAPs-Anfrage mit dem gültigen LetsEncrypt-Zertifikat annimmt. Dieser leitet dann die Anfrage intern an den paedML Server weiter. 

Per Putty auf der Nextcloud:

univention-install nginx

Gegebenenfalls die Abfrage bestätigen und installieren. 

Nun muss nginx konfiguriert werden. 

Öffnen Sie die Datei 

/etc/nginx/nginx.conf

dort müssen die Zeilen

include /etc/nginx/conf.d/*.conf;

include /etc/nginx/sites-enabled/*;

mit einer Raute # auskommeniert werden, 


danach fügen Sie am Ende die folgende Konfiguration hinzu: 

stream {

server {

listen 8636 ssl;

proxy_pass 10.1.0.1:7636;

proxy_ssl on;

ssl_certificate /etc/univention/letsencrypt/signed_chain.crt;

ssl_certificate_key /etc/univention/letsencrypt/domain.key;

}

}

Dadurch lauscht Nginx auf dem Port 8636 und leitet die Anfragen an den Server auf dem Port 7636 weiter, weist sich aber gleichzeitig mit dem SSL Zertifikat der Nextcloud aus. 

Nach dem Speichern den Nginx neustarten. 

service nginx restart

Nun muss der Port 8636 noch auf dem Nextcloud Server erlaubt werden, dies funktioniert über UCR Variablen in der Konsole der Nextcloud:

ucr set security/packetfilter/lmz-nginx/tcp/8636/all='ACCEPT'

ucr set security/packetfilter/lmz-nginx/tcp/8636/en='LDAPS'

Nach dem Ausführen muss die Firewall-Einstellungen neu geladen werden. 

 [ -x "/etc/init.d/univention-firewall" ] && invoke-rc.d univention-firewall restart

Nun muss noch der Port 636 von der Firewall zum Port 8636 auf der Nextcloud weiter geleitet werden. 

Auf der PfSense den Punkt Firewall --> NAT öffnen, dort dann auf "Hinzufügen (unten)" klicken.

In die Regel muss der Zielportbereich auf LDAP/S gestellt werden, die Umleitungsziel-IP auf Einzelner Host mit 192.168.201.7 (bzw. die IP der Nextcloud, falls abweichend)

Der Umleitungszielport sollte dann auf 8636 gestellt sein. 
Als Beschreibung habe ich "LDAPS-Weiterleitung für WebUntis/Moodle" verwendet. 

Danach unten auf Speichern klicken. 

Für mehr Sicherheit kann man die Quelle auch noch auf eine IP oder einen Alias einschränken, eine Schritt für Schritt Anleitung dafür sollte aber auch im Nextcloud Installationshandbuch zu finden sein, weshalb ich diese hier schuldig bleibe. 


Letztlich kann in WebUntis der Server von LDAP mit der IPAdresse zu LDAPs mit der URL geändert werden, also z.B. LDAPS://cloud.meine-schule.de

Eingestellt von um

Keine Kommentare:

Kommentar veröffentlichen

Hinweis: Nur ein Mitglied dieses Blogs kann Kommentare posten.

Abonnieren Kommentare zum Post (Atom)