LDAP Einstellungen
LDAP Einstellungen |
|
|
Die LDAP-Einstellungen finden Sie unter <Administration> | <Integration> | <LDAP>. Ein Beispiel:
aktiv aktiviert die LDAP-Unterstützung
LDAP Server URL URL für die Verbindung zum LDAP Server, z.B. ldap://ldap.meineschule.at:389 Wenn in der URL eine BaseDn angegeben wird, dann sind alle folgenden DN-Angaben relativ zu dieser BaseDn anzugeben. In diesem Fall kann der Testbutton nicht verwendet werden.
LDAP Benutzer/Passwort LDAP-Benutzer: wenn für die LDAP-Abfrage ein Benutzer angegeben werden muss, können dessen Daten hier angegeben werden.
a) Authentifizierung von Benutzername und Passwort gegen ein LDAP-System
Für die Authentifizierung muss der Benutzername in der LDAP-Verzeichnisstruktur gefunden werden. Das kann entweder über eine direkte Angabe des Distinguished Name geschehen oder über eine LDAP-Suche.
Angabe des Distinguished Name Die Suchmaske wird im Feld "MusterDn für Benutzersuche" angegeben, z.B. mit uid={0},ou=lehrer,ou=personen. {0} ist dabei der Platzhalter für den Benutzernamen, nach dem gesucht wird. Wenn der Benutzername etwa Goethe ist, dann sucht WebUntis das Benutzerkonto bei unseren Beispieldaten an der Stelle uid=Goethe,ou=lehrer,ou=personen,dc=meineschule,dc=at . Es können auch mehrere Suchmasken durch Leerzeichen getrennt angegeben werden. Achten Sie daher bitte darauf, dass innerhalb einer Suchmaske keine Leerzeichen vorkommen.
LDAP-Suche In diesem Fall wird eine LDAP-Suche nach dem Benutzerkonto ausgeführt. Im Feld "BaseDn für Benutzersuche" wird die Ausgangsstruktur für die Suche angegeben, z.B. ou=personen,dc=meineschule,dc=at. Im Feld "Userfilter" wird der Suchfilter nach LDAP-Syntax angeben, z.B. (&(objectClass=person)(sn={0})). Wieder für den Benutzer Goethe würde WebUntis nach einem Eintrag suchen, der die Eigenschaft objectClass person hat und dessen Attribut sn gleich Goethe ist.
Das LDAP Mail Attribut gibt den Namen des Attributs an, aus dem die E-Mail-Adresse des Benutzers genommen wird.
b) Identifizierung und automatisches Anlegen eines Benutzers
Falls das dynamische Anlegen von Benutzern nicht gewünscht wird, kann dieses Feature mit der Option "Unbekannten Benutzer nach erfolgreicher Anmeldung anlegen" ausgeschaltet werden. In diesem Fall ist ein Login nur für Benutzer möglich, die bereits in WebUntis angelegt wurden.
Die Rolle des Benutzers (Lehrer oder Schüler) kann entweder durch Vergleich mit einem Teil des Distinguished Name des Benutzers erfolgen oder durch Vergleich mit einem Attribut des Benutzers.
Vergleich mit einem Teil des Distinguished Name Im Feld Personenrolle (kann verschieden für Lehrer und Schüler sein) muss der Teil des Distinguished Name angegeben werden, der die Rolle identifizieren kann. Wenn die Lehrer z.B. einen Distinguished Name wie uid=Goethe,ou=lehrer,ou=personen,dc=meineschule,dc=at haben, dann wäre die Angabe in diesem Fall ou=lehrer. WebUntis sucht den Eintrag im Feld Personenrolle im DN und wenn er gefunden wird, ist damit die Benutzerrolle festgelegt.
Vergleich mit einem Attribut In diesem Fall wird im Feld Personenrolle der Eintrag, der die Rolle identifiziert eingegeben, z.B. lehrer. Im Feld "LDAP Personenrolle Attribut" muss der Name des Attributs eingetragen werden, in dem die Rollenbezeichung zu finden ist, z.B. rolle. Wird also bei einem Benutzer im Attribut mit dem Namen rolle die Bezeichnung lehrer gefunden, dann wird der Benutzer als Lehrer identifiziert.
Mit der Feststellung der Rolle können auch die Standardberechtigungen festgelegt werden. Dafür müssen für Lehrer bzw. Schüler Benutzergruppen angelegt werden. Beim Attributsvergleich müssen die Benutzergruppen gleich heißen wie der Eintrag im Feld Personenrolle. Beim Vergleich des Teil-DN müssen die Benutzergruppen wie der Werteteil des Eintrags heißen. Bei ou=lehrer, also auch lehrer. Wird keine passende Benutzergruppe in WebUntis gefunden, dann wird die Benutzergruppe mit dem Kennzeichen Standardgruppe zugeordnet.
Zur Identifizierung der Person selbst werden weitere Angaben benötigt. Diese Angaben können sich für Lehrer und Schüler auch unterscheiden. Identifizierung bedeutet, dass zum Benutzer ein passendes Stundenplanelement (Lehrer oder Schüler) gesucht wird.
Es gibt derzeit 3 Arten wie die Personenidentifizierung erfolgen kann.
1. Einzelattribut
Diese Methode ist normalerweise die eindeutigste, weil nicht mit einem Namensvergleich gearbeitet werden muss. Sie wird aber nicht in allen Fällen möglich sein.
Hier wird ein eindeutiger Wert aus einem WebUntis-Feld der Person mit einem Wert aus einem Attribut der Person in LDAP verglichen.
Mögliche Felder in WebUntis sind:
id Interne Id in WebUntis name Kurzname longName Familienname text Textfeld externKey Fremdschlüssel
Eines dieser Felder wird im Feld "Elementdaten ID Feld" angegeben. Im Feld "LDAP ID Attribute" wird der Name des Attributs in LDAP eingegeben.
Beispiel: Der Untis-Kurzname der Lehrer ist auch in LDAP in einem Attribut mit dem Namen kuerzel gespeichert. Im Feld "LDAP ID Attribute" wird also kuerzel, im Feld "Elementdaten ID Feld" name eingegeben.
2. Attribut für Familienname und Vorname
Die Identifikation erfolgt bei dieser Methode nach dem Namen. Es müssen Familienname und Vorname in verschiedenen Attributen in der LDAP-Struktur stehen. Im Feld LDAP ID Attribute werden beide Attribute durch Leerzeichen getrennt eingegeben, zuerst das Attribut für den Familiennamen und dann für den Vornamen. Wenn die Namen z.B. in den Attributen sn und givenName gespeichert sind, würden Sie sn givenName eingeben. WebUntis vergleicht dann die Inhalte dieser Felder mit den entsprechenden Namenseinträgen der Personen.
3. Einzelattribut mit Namensfeldern
Wenn im LDAP-System die Namensbestandteile nicht in verschiedenen Attributen, sondern nur in einem Attribut gespeichert sind, kann über diese Methode eine Identifikation erfolgen. Diese Methode ist die unsicherste und sollte nur als letzter Ausweg verwendet werden.
In diesem Fall muss es möglich sein, dass Vorname und Familienname aufgrund einer Maske, die im Feld "LDAP ID Attribute" eingegeben wird, unterschieden werden können. Im Feld "LDAP ID Attribute" wir zunächst der Name des Attributes angegeben. Hinter einem Doppelpunkt folgt dann die Erkennungsmaske. In der Maske müssen die Platzhalter {s} für den Familiennamen und {f} für den Vornamen eingesetzt werden. Wenn z.B. im Attribut cn der Name in der Form Newton Isaac steht, dann wäre die Eingabe im Feld "LDAP ID Attribute" cn: {s} {f}
Für den Feldervergleich kann noch eingestellt werden, dass Groß-/Kleinschreibung berücksichtigt werden soll bzw. dass der Vergleich numerisch stattfinden soll. Die letztere Option kann wichtig sein, wenn der Identifier an sich numerisch ist, aber in einem System als Zeichenkette mit eventuellen führenden Nullen und im anderen System als Zahl gespeichert wird. |
