Wikiraum

Benutzer-Werkzeuge

Webseiten-Werkzeuge


Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
ldap:php-migration [2015/02/01 22:46]
mccab99 [Script]
ldap:php-migration [2015/02/05 17:32]
mccab99 [Einleitung]
Zeile 6: Zeile 6:
 </​code>​ </​code>​
  
-Das Script selbst ​setzt zwingend ​eine Verbindung über TLS (Standardport:​ 389) voraus und bricht ansonsten ab. Will man das nicht oder testet zunächst ​die grundsätzliche Funktion, muss man diese drei Zeilen auskommentieren. +Das Script selbst ​baut nur eine Verbindung über TLS (Standardport:​ 389) auf, wenn man die Option ​$TLS_CONFIGURED auf "​true"​ setzt.
- +
-<code php> +
-if (!ldap_start_tls($LDAP_CONN)) { +
- die('​No encrypted bind to openldap possible! Aborting ​...'​);​ +
-}  +
-</​code>​ +
 ==== Erläuterungen ==== ==== Erläuterungen ====
 Ich bin davon ausgegangen,​ dass man einen Verzeichnisdienst nicht ausschließlich deswegen betreiben möchte, damit auch Anwendungen mit den gleichen Zugangsdaten nutzbar werden, die gegen LDAP authentifizieren. Einer der wesentlichen Vorteile eines Verzeichnisdienstes besteht ja darin, dass problemlos mehrere Unterbäume mehrerer Benutzerdatenbanken verwaltet werden können, um z.B.: Ich bin davon ausgegangen,​ dass man einen Verzeichnisdienst nicht ausschließlich deswegen betreiben möchte, damit auch Anwendungen mit den gleichen Zugangsdaten nutzbar werden, die gegen LDAP authentifizieren. Einer der wesentlichen Vorteile eines Verzeichnisdienstes besteht ja darin, dass problemlos mehrere Unterbäume mehrerer Benutzerdatenbanken verwaltet werden können, um z.B.:
Zeile 426: Zeile 419:
 </​file>​ </​file>​
 ==== Bekannte Fehler & Verbesserungen ==== ==== Bekannte Fehler & Verbesserungen ====
-  * **2014-01-06:** Nutzer- und Gruppen mit Doppelnamen ohne Bindestrich werden falsch ins LDAP eingetragen,​ z.B. Jan Luis Tschirner (jan.luis.tschirner) würde im LDAP als "Jan Luis" auftauchen. Um es zu fixen, müsste man wissen, wo der Nachname genau beginnt. Notfalls könnte man dafür (sn) einfach das letzte Element nehmen und den ganzen Rest dann als cn setzen. Für die Anmeldung macht das nichts, weil da standmäßig die uid verwendet wird - nur bei einer Nutzerprovisionierung wird es auffallen. //​(teilweise gefixed, gecos-Atttribut wird oder pgsql-Eintrag kann geschrieben werden - 2015-01-31)//​+  * **2015-01-06:** Nutzer- und Gruppen mit Doppelnamen ohne Bindestrich werden falsch ins LDAP eingetragen,​ z.B. Jan Luis Tschirner (jan.luis.tschirner) würde im LDAP als "Jan Luis" auftauchen. Um es zu fixen, müsste man wissen, wo der Nachname genau beginnt. Notfalls könnte man dafür (sn) einfach das letzte Element nehmen und den ganzen Rest dann als cn setzen. Für die Anmeldung macht das nichts, weil da standmäßig die uid verwendet wird - nur bei einer Nutzerprovisionierung wird es auffallen. //​(teilweise gefixed, gecos-Atttribut wird oder pgsql-Eintrag kann geschrieben werden - 2015-01-31)//​
   * **2015-01-25:​** Der Unterbaum mit users und groups muss zwingend vorher schon existieren, weil sonst ldapsearch bei der Kontrolle, ob Benutzer bzw. Gruppen zu aktualisieren sind, vor die Wand fährt. Entweder muss ins Script ein Schalter, der das Anlegen bei Stand-Alone-Lösungen übernimmt (Eigener LDAP auf dem IServ) oder ein Beispiel-LDIF-File muss in die Anleitung, welches den Baum über die Konsole anlegt. //​(ldif-File der Anleitung hinzugefügt - 2015-01-25)//​   * **2015-01-25:​** Der Unterbaum mit users und groups muss zwingend vorher schon existieren, weil sonst ldapsearch bei der Kontrolle, ob Benutzer bzw. Gruppen zu aktualisieren sind, vor die Wand fährt. Entweder muss ins Script ein Schalter, der das Anlegen bei Stand-Alone-Lösungen übernimmt (Eigener LDAP auf dem IServ) oder ein Beispiel-LDIF-File muss in die Anleitung, welches den Baum über die Konsole anlegt. //​(ldif-File der Anleitung hinzugefügt - 2015-01-25)//​
   * **2015-01-25:​** Vor- und Zuname sollte besser aus dem gecos in /etc/passwd ermittelt werden, da der Loginname u.U. doch erheblich abweicht - z.B. bei langen Accountnamen oder Schulen, die Kürzel für die Lehrendenaccounts verwenden.   * **2015-01-25:​** Vor- und Zuname sollte besser aus dem gecos in /etc/passwd ermittelt werden, da der Loginname u.U. doch erheblich abweicht - z.B. bei langen Accountnamen oder Schulen, die Kürzel für die Lehrendenaccounts verwenden.
   * **2015-01-25:​** Für Moodle sollte man noch ein Feld für die Default-Language vorsehen, damit keine Profilergänzungen angemeckert werden //​(integriert - 2015-01-25)//​   * **2015-01-25:​** Für Moodle sollte man noch ein Feld für die Default-Language vorsehen, damit keine Profilergänzungen angemeckert werden //​(integriert - 2015-01-25)//​