Inhaltsverzeichnis
Authentifizierung am Active Directory
Wenn Sie eine Anwendung betreiben (z.B. eine Laborwiki), bei der Sie die Anmeldung mittels Hochschulaccounts ermöglichen wollen - und sich somit die Pflege einer eigenen Accountdatenbank und Passwörtern sparen können - so können Sie dies mit Hilfe von LDAP oder Kerberos anbieten.
Authentifizierung per LDAP
Hierzu sind folgende Parameter anzugeben (je nach Anwendung können einige auch optional sein), abc12345 ist durch den Accountnamen zu ersetzen:
| URL | ldaps://adldap.hs-regensburg.de/ |
| Server | adldap.hs-regensburg.de |
| Port | 636 |
| Base DN | dc=hs-regensburg,dc=de |
| Bind DN | abc12345@hs-regensburg.de |
| Search filter | samAccountName=abc12345 |
Problembehebung
Zum Test können Sie auf einem Linux den ldapsearch-Befehl verwenden:
ldapsearch -H 'ldaps://adldap.hs-regensburg.de' -b 'DC=hs-regensburg,DC=de' -D 'abc12345@hs-regensburg.de' -W -z 0 -LLL -E pr=1000/noprompt samAccountName=abc12345
Je nach System ist in der /etc/openldap/ldap.conf einzutragen:
TLS_REQCERT allow sasl_secprops maxssf=0
Anmerkung: Die Zeile „sasl_secprops maxssf=0“ hat beim Domain Join mit realmd/sssd (realm join HS-REGENSBURG.DE -U <username>) unter Ubuntu 20.04 zu folgendem Fehler geführt:
adcl: couldn't connect to hs-regensburg.de domain: Couldn't authenticate to active directory: SASL(-7): invalid parameter supplied: Unable to find a callback: 32775 ! Insufficient permissions to join the domain
Ohne den Parameter war ein erfolgreicher Join möglich.
Authentifizierung per Kerberos
Sollte Ihre Anwendung mit Hilfe von „mit-krb5“ bzw. „heimdal“ Kerberos unterstützen (z.B. diverse Tomcat-Applikationen), so benötigt die /etc/krb5.conf folgendes:
[libdefaults] default_realm = HS-REGENSBURG.DE clockskew = 300 ticket_lifetime = 36000
