geli icon indicating copy to clipboard operation
geli copied to clipboard

Published 20 hours ago verified publisher icon geli-lms

Integration of Shibboleth

Open utetrapp opened this issue 6 years ago • 5 comments

User Story

As a: admin

I want: use ~LDAP~ Shibboleth authentication in geli

so that:

Estimated:

  • 7 x 4hr

Acceptance criteria:

  • [ ] integration into the hda

Need to be discussed

  • [ ] Userlists have no students of ldap (e.g. whitelist)
  • [ ] Changing profile information not possible
  • [ ] E-Mail addresses are not accessible with ldap ( perhaps [email protected]?)
  • [ ] How should we handle database dependencies (e.g user references in the permission system, for solution of a task, e.t.c.)
  • [ ] Should the login possible with the istxxxxxx - username and e-mail address?
  • [ ] The ldap-users have own user IDs. Can a ID of ldap collide with the IDs of geli?

Additional info:

see LDAP FBI

Please tag this issue if you are sure to which tag(s) it belongs.

utetrapp avatar Apr 19 '18 10:04 utetrapp

You may login to userv-shell.fbi.h-da.de with your userv credentials and get the ldap configuration from their.

/etc/ldap/ldap.conf: general information (e.g. some tls certificate from deutsche telekom used) /etc/pam_ldap.conf: uri, ldap version, base

kesselb avatar Apr 19 '18 10:04 kesselb

link above is gone

mleppla avatar May 22 '18 08:05 mleppla

Maybe ldapjs Client can help here

Gargamil avatar May 24 '18 10:05 Gargamil

Get information by it-services h-da:

Kurzform: anonymen LDAP-Bind gegen ldap-rr.fbi.h-da.de (Port 389 mit STARTTLS oder 636 mit > TLS von Beginn an). Als Base-DN "dc=fbi,dc=h-da,dc=de" verwenden. Die Privilegien des anonymen "Users" sind ausreichend, um anhand eines angegebenen FBI-Accountnamens (z.B. istmalepp) den Distinguished Name (DN) des Users (z.B. uid=istxxxxxx,ou=people,ou=Students,dc=fbi,dc=h-da,dc=de). zu finden (mittels LDAP-Search uid=istmalepp). Dieser kann dann zusammen mit dem angegebenen Passwort für einen Re-Bind benutzt werden, wodurch das Passwort überprüft wird und der Zugriff gewährt oder abgelehnt werden kann.

In der Tat sind die LDAP-Server nur aus dem Hochschulnetz (bzw. per VPN) erreichbar. Per 'openconnect https://firewall.fbi.h-da.de' kann man sich mit dem VPN verbinden (benötigt OpenConnect oder https://openconnect.github.io/openconnect-gui/).

Mit 'ssh -L 1337:ldap-rr.fbi.h-da.de:389 [email protected]' lässt sich auch SSH-Portforwarding nutzen, um den Port 389 eines LDAP-Servers temporär (für die Dauer der SSH-Session) auf localhost:1337 verfügbar zu machen. Das geht auch von extern ohne VPN.

Wenn die LDAP-Server erreichbar sind, sollte folgende Commandline ein entsprechendes Ergebnis liefern. Der ldapsearch-Command findet sich bei den meisten Linux-Distributionen in einem Paket namens openldap-clients oder ldap-utils, bei OS X sollte es vorinstalliert sein.

ldapsearch -xZZ -p 389 -h ldap-rr.fbi.h-da.de -b 'dc=fbi,dc=h-da,dc=de' uid=istxxxxxx

Im Falle von SSH-Portforwarding ldap-rr.fbi.h-da.de/389 eben durch localhost/1337 (o.ä.) ersetzen.

mleppla avatar Jun 14 '18 09:06 mleppla

Branch: feature/#649-ldap-integration

mleppla avatar Jun 27 '18 13:06 mleppla