Inhaltsverzeichnis

Authentifizierung am Active Directory

Wenn Sie eine Anwendung betreiben (z.B. eine Laborwiki), bei der Sie die Anmeldung mittels Hochschulaccounts ermöglichen wollen - und sich somit die Pflege einer eigenen Accountdatenbank und Passwörtern sparen können - so können Sie dies mit Hilfe von LDAP oder Kerberos anbieten.

Authentifizierung per LDAP

Hierzu sind folgende Parameter anzugeben (je nach Anwendung können einige auch optional sein), abc12345 ist durch den Accountnamen zu ersetzen:

URL ldaps://adldap.hs-regensburg.de/
Server adldap.hs-regensburg.de
Port 636
Base DN dc=hs-regensburg,dc=de
Bind DN abc12345@hs-regensburg.de
Search filter samAccountName=abc12345
Problembehebung

Zum Test können Sie auf einem Linux den ldapsearch-Befehl verwenden:

ldapsearch -H 'ldaps://adldap.hs-regensburg.de' -b 'DC=hs-regensburg,DC=de' -D 'abc12345@hs-regensburg.de' -W -z 0 -LLL -E pr=1000/noprompt samAccountName=abc12345

Je nach System ist in der /etc/openldap/ldap.conf einzutragen:

TLS_REQCERT allow
sasl_secprops maxssf=0

Anmerkung: Die Zeile „sasl_secprops maxssf=0“ hat beim Domain Join mit realmd/sssd (realm join HS-REGENSBURG.DE -U <username>) unter Ubuntu 20.04 zu folgendem Fehler geführt:

adcl: couldn't connect to hs-regensburg.de domain: Couldn't authenticate to active directory: SASL(-7): invalid parameter supplied: Unable to find a callback: 32775
! Insufficient permissions to join the domain

Ohne den Parameter war ein erfolgreicher Join möglich.

Authentifizierung per Kerberos

Sollte Ihre Anwendung mit Hilfe von „mit-krb5“ bzw. „heimdal“ Kerberos unterstützen (z.B. diverse Tomcat-Applikationen), so benötigt die /etc/krb5.conf folgendes:

[libdefaults]
default_realm = HS-REGENSBURG.DE
clockskew = 300
ticket_lifetime = 36000