Inhaltsverzeichnis

LDAP Authentifizierung an einem paedML Windows Server

Standardmäßig verwendet openSchulportfolio eine eigene Benutzerverwaltung. Benutzer können vom Administrator des Portfoliosangelegt, verändert oder gelöscht werden, nähere Informationen hierzu finden Sie auf der Seite "Benutzer verwalten" der Dokumentation.

Dies bedeutet, dass sich Lehrer zusätzliche Benutzerdaten merken müssen. Komfortabler ist es, wenn ein Lehrer sich mit seinem Benutzerkonto aus dem Schulnetz anmelden kann. Die hierfür notwendigen Schritte werden hier dargestellt.

Technischer Hintergrund

Nachdem ein Lehrer seine Benutzerdaten eingegeben hat, sendet openSchulportfolio eine sogenannte LDAP Abfrage an das Active Directory des paedML Windows Server. Als Antwort erhält openSchulportfolio dann die Informationen, ob der Benutzer mit dem eingegebenen Kennwort im Active Directory existiert und welchen Gruppen er angehört. So wird dann entscheiden, ob der Benutzer sich anmelden kann und welche Berechtigungen er erhält.

Voraussetzungen

Konfigurationsdateien auf dem Webserver (z.B. Belwue) ersetzen und anpassen

Zunächst muss die Konfiguration von openSchulportfolio geändert werden.

Kommt es bei der Authentifizierung via LDAP zu Fehlermeldungen, so tragen Sie bei $conf['manager'] = ' '; einen beliebigen Wert ein, offenbar muss hier bei manchen Konstellationen etwas drinstehen.

Arbeiten am paedML Windows Server

Neue Zugriffsregel für den ISA Server erstellen

Erstellen Sie im ISA Server eine neue Zugriffsregel mit folgenden Einstellnungen.

Benutzer für LDAP Abfrage

Openschulportfolio sendet eine LDAP Abfrage ans Active Directory. Hierfür werden die Benutzerdaten eines Benutzers der Domäne verwendet. Es wird empfohlen, hierfür einen neuen Benutzer namens ldapabfrage anzulegen.

Wie sie eine Zugriffsregel erstellen, wird in dieser Anleitung beschrieben: http://lehrerfortbildung-bw.de/netz/muster/win2000/material/basis30/pdf/isa06tipps.pdf

Projektgruppen in der Schulkonsole

Die Zugriffssteuerung auf das Portfolio erfolgt über die Zugehörigkeit zu Gruppen im Active Directory.

BeschreibungName der Benutzergruppe im ADBerechtigungen
Alle außer Lehrer-Kein Zugriff
LehrerG_LehrerLesen
Redakteure = Projektgruppe portfolioredg_projekt_portfolioredArtikel verfassen
Superuser mit Adminrechten = Projektgruppe portfolioadmg_projekt_portfolioadmKonfiguration

Hierfür müssen Sie nun die zwei oben beschriebenen Projektgruppen über die Schulkonsole erstellen. Achten Sie auf die Schreibweise! Fügen Sie den Projektgruppen die gewünschten Lehrer hinzu.

Anleitung erstellt von Andreas Mayer. Danke an Tamer Berber, ohne dessen Vorarbeit und Unterstützung diese Anleitung nicht möglich gewesen wäre.