Zur Haupt­na­vi­ga­ti­on sprin­gen [Alt]+[0] Zum Sei­ten­in­halt sprin­gen [Alt]+[1]

Re­gis­ter­kar­te Ser­ver

Auf der Re­gis­ter­kar­te Ser­ver müs­sen Sie min­des­tens Ein­tra­gun­gen in den Fel­dern Host , Port Be­nut­zer-DN , Pass­wort und Basis-DN vor­neh­men. Die Be­deu­tung der Fel­der wird nach­fol­gend er­läu­tert:

  • Host : Hier tra­gen Sie ein, unter wel­cher Adres­se die Fire­wall von außen er­reich­bar ist. Die Adres­se be­steht aus zwei Tei­len: Pro­to­koll + Adres­se. Das Pro­to­koll lau­tet ldaps . Als Adres­se trägt man den Namen, unter dem die Fire­wall Oc­to­ga­te von außen er­reich­bar ist. Für die Fire­wall Oc­to­ga­te, die bei den meis­ten pa­edML Win­dows Lö­sun­gen im Ein­satz ist, be­steht diese Adres­se aus dem Namen der Oc­to­ga­te In­stanz und dem Suf­fix ozone.​oc­to­ga­te.​de . Lau­tet der Name der Oc­to­ga­te ab­c­defgh er­gibt sich dar­aus die Adres­se ab­c­defgh.​ozone.​oc­to­ga­te.​de . 1 In die­sem Fall ist unter Host ein­zu­tra­gen: ldaps://​ab­c­defgh.​ozone.​oc­to­ga­te.​de .
  • Port : Für das Pro­to­koll ldaps wird stan­dard­mä­ßig Port 636 ver­wen­det. Sie kön­nen bei der Next­cloud von die­sem Port ab­wei­chen und einen an­de­ren Port ver­wen­den, um die Si­cher­heit zu er­hö­hen. Ein ab­wei­chen­der Port muss in der Port­wei­ter­lei­tung der Fire­wall be­rück­sich­tigt wer­den.
  • Be­nut­zer-DN : Hier wird der Be­nut­zer be­nö­tigt, unter des­sen Ac­count für die LDAP An­fra­ge aus­ge­führt wird. Hier­für rich­tet man einen spe­zi­el­len Be­nut­zer ein. Ein sol­cher Be­nut­zer wird als LDAP Bild User be­zeich­net. DN steht für Dis­tin­gu­is­hed Name . Ein­fach ge­sagt ist das der Name des Be­nut­zers und des­sen Po­si­ti­on im Ac­tive Di­rec­to­ry – in einer ganz spe­zi­el­len Schreib­wei­se. Geben Sie ein: CN=ld­ap­b­in­du­ser,OU=_Ser­viceAc­counts,DC=mus­ter­schu­le,DC=schu­le,DC=pa­edml
  • Pass­wort : Pass­wort des LDAP Bild Users ein­ge­ben.
  • Base-DN : Dies ist die Po­si­ti­on im Ac­tice Di­rec­to­ry, un­ter­halb der sich die Be­nut­zen­den im Ac­tive Di­rec­to­ry be­fin­den – wie­der in einer spe­zi­el­len Schreib­wei­se. Set­zen Sie einen Haken bei LDAP-Fil­ter ma­nu­ell ein­ge­ben (emp­foh­len für große Ver­zeich­nis­se). Geben Sie hier ein: DC=mus­ter­schu­le,DC=schu­le,DC=pa­edml .

Zum Test der Ein­stel­lun­gen kli­cken Sie (ei­gent­lich) auf die Schalt­flä­che Base DN tes­ten . Doch auch wenn alle Ein­ga­ben rich­tig vor­ge­nom­men wur­den, er­scheint unten im Fens­ter noch die Mel­dung „Kon­fi­gu­ra­ti­on nicht kor­rekt“. Grund hier­für ist eine Zer­ti­fi­kats­pro­ble­ma­tik, deren Er­klä­rung den Rah­men die­ser An­lei­tung spren­gen würde. Zur Be­he­bung des Pro­blems, wäh­len Sie rechts oben im Fens­ter Fort­ge­schrit­ten .

Unter Ver­bin­dungs­ein­stel­lun­gen set­zen Sie einen Haken bei „Schal­ten Sie die SSL Zer­ti­fi­kats­prü­fung aus“.

Geöffnetes Menü zur Konfigration der Verbindungseinstellungen

Bild­schirm­fo­to: SSL Zer­ti­fi­kats­prü­fung aus­schal­ten von Next­cloud GmbH [CC BY-SA 4.0]

Keh­ren Sie zu­rück zur Re­gis­ter­kar­te Ser­ver und kli­cken Sie er­neut auf die Schalt­flä­che Base DN tes­ten . Nun soll­te die Ver­bin­dung her­ge­stellt wer­den kön­nen. Sie er­ken­nen es unten im Fens­ter an der Mel­dung „Kon­fi­gu­ra­ti­on OK“.

Ausgefüllte Konfigurationsseite der Registerkarte Server, unten im Fenster steht Konfiguration OK, dahinter leuchtet ein grüner Punkt

Bild­schirm­fo­to: Er­folg­rei­che Ver­bin­dungs­ein­stel­lun­gen von Next­cloud GmbH [CC BY-SA 4.0]

Be­ach­ten Sie beim Tes­ten, dass es immer wie­der zu fal­schen Feh­ler­mel­dun­gen kommt. Pro­bie­ren Sie es mehr­fach. Kli­cken Sie auf Fort­set­zen , um zur Re­gis­ter­kar­te Be­nut­zer zu kom­men.

Op­tio­na­le An­pas­sung der Base-DN

Bis­her ist als Base-DN ei­ge­tra­gen: DC=mus­ter­schu­le,DC=schu­le,DC=pa­edml.

Dies be­wirkt, dass das ge­sam­te Ac­tive Di­rec­to­ry durch­sucht wird. Op­tio­nal kön­nen Sie nur die Orte an­ge­ben, in denen tat­säch­lich die Be­nut­zen­den und die Grup­pen ge­fun­den wer­den.

Der LDAP Bind User be­fin­det sich hier:

ou=_ser­viceac­counts,dc=mus­ter­schu­le,dc=schu­le,dc=pa­edml

Alle Lehr­kräf­te:

ou=leh­rer,ou=be­nut­zer,dc=mus­ter­schu­le,dc=schu­le,dc=pa­edml

Alle Schü­le­rin­nen und Schü­ler:

ou=schu­eler,ou=be­nut­zer,dc=mus­ter­schu­le,dc=schu­le,dc=pa­edml

Alle Grup­pen wie Pro­jekt­grup­pen, Lehr­kräf­te einer Schul­art, Schü­le­rin­nen und Schü­ler einer Schul­art oder einer Klas­se:

ou=file­sha­re,ou=si­cher­heits­grup­pen,dc=mus­ter­schu­le,dc=schu­le,dc=pa­edml

Die Grup­pen aller Lehr­kräf­te G_­Leh­rer und die aller Schü­le­rin­nen und Schü­ler G_­Schu­eler:

ou=Ac­tive Di­rec­to­ry,ou=si­cher­heits­grup­pen,dc=mus­ter­schu­le,dc=schu­le,dc=pa­edml

Tra­gen Sie im Feld Base-DN nur die Zei­len ein, die tat­säch­lich be­nö­tigt wer­den.

1 Die tat­säch­li­che Über­prü­fung der An­meldein­for­ma­tio­nen er­folgt nicht durch die Fire­wall, son­dern durch den Ser­ver, auf dem das Ac­tive Di­rec­to­ry läuft. Dies ist bei einer pa­edML Win­dows der Ser­ver DC01. Durch eine Port­wei­ter­lei­tung in der Fire­wall wird die LDAPS An­fra­ge an den Ser­ver DC01 wei­ter­ge­lei­tet.

Per­so­nen und Grup­pen ver­wal­ten: Her­un­ter­la­den [odt][415 KB]

Per­so­nen und Grup­pen ver­wal­ten: Her­un­ter­la­den [pdf][314 KB]