Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung | Nächste Überarbeitung Beide Seiten der Revision | ||
dokumentation:auth_method_ldap_windows [26.02.2011 16:18] Adreas Mayer [Konfigurationsdateien ersetzen und anpassen] |
dokumentation:auth_method_ldap_windows [26.02.2011 16:35] Adreas Mayer |
||
---|---|---|---|
Zeile 12: | Zeile 12: | ||
* Im Router muss der Port 389 für LDAP geöffnet werden (LDAPS noch nicht gelöst). | * Im Router muss der Port 389 für LDAP geöffnet werden (LDAPS noch nicht gelöst). | ||
- | * | + | |
- | ===== Was ist zu tun? ===== | + | |
- | ==== Konfigurationsdateien ersetzen und anpassen ==== | + | |
+ | ===== Konfigurationsdateien auf dem Webserver (z.B. Belwue) ersetzen und anpassen ===== | ||
Zeile 27: | Zeile 28: | ||
* Zeile 14: ''$conf['auth']['ad']['ad_password'] = 'muster';'' ersetzen Sie //muster// durch ein möglichst sicheres Passwort. Dieses Passwort geben Sie später einem neu anzulegenden Benutzer (//ldapabfrage//), unter dessen Account openSchulportfolio eine LDAP Abfrage an das Active Directory ausführt. | * Zeile 14: ''$conf['auth']['ad']['ad_password'] = 'muster';'' ersetzen Sie //muster// durch ein möglichst sicheres Passwort. Dieses Passwort geben Sie später einem neu anzulegenden Benutzer (//ldapabfrage//), unter dessen Account openSchulportfolio eine LDAP Abfrage an das Active Directory ausführt. | ||
* Zeile 15: ''$conf['auth_security_timeout'] = 60;'' Dieser Wert legt in Sekunden fest, nach welcher Zeit man sich mit einem anderen Benutzerkonto anmelden kann. Stellen Sie nach erfolgreicher Installation und Konfiguratin den Wert ''60'' wieder auf die Voreinstellung ''900''. | * Zeile 15: ''$conf['auth_security_timeout'] = 60;'' Dieser Wert legt in Sekunden fest, nach welcher Zeit man sich mit einem anderen Benutzerkonto anmelden kann. Stellen Sie nach erfolgreicher Installation und Konfiguratin den Wert ''60'' wieder auf die Voreinstellung ''900''. | ||
+ | |||
+ | ===== Arbeiten am paedML Windows Server ===== | ||
+ | |||
+ | ==== Neue Zugriffsregel für den ISA Server erstellen ==== | ||
+ | |||
+ | Erstellen Sie im ISA Server eine neue Zugriffsregel mit folgenden Einstellnungen. | ||
+ | |||
+ | * Name: Ldap ermöglichen | ||
+ | * Aktion: Zulassen | ||
+ | * Protokolle: LDAP | ||
+ | * Von: Extern | ||
+ | * Bis: Local Host (bei Drei-Serverlösung reicht das vermutlich nicht, da auf dem S3 kein AD installiert ist.) | ||
+ | |||
+ | ==== Benutzer für LDAP Abfrage ==== | ||
+ | |||
+ | Openschulportfolio sendet eine LDAP Abfrage ans Active Directory. Hierfür werden die Benutzerdaten eines Benutzers der Domäne verwendet. Es wird empfohlen, hierfür einen neuen Benutzer namens ldapabfrage anzulegen. | ||
+ | |||
+ | * Erstellen Sie im Active Directory in der OU Users einen neuen Benutzer mit folgenden Einstellungen: | ||
+ | * //Vollständiger Name// und //Benutzeranmeldename//: ''ldapabfrage'' | ||
+ | * Kennwort: gleiches Kennwort, das Sie in der Datei local.php eingegeben haben | ||
+ | * Kennwort läuft nie ab | ||
+ | * kein Exchange Konto | ||
+ | |||
+ | Wie sie eine Zugriffsregel erstellen, wird in dieser Anleitung beschrieben: [[http://lehrerfortbildung-bw.de/netz/muster/win2000/material/basis30/pdf/isa06tipps.pdf]] | ||
+ | |||
+ | ==== Projektgruppen in der Schulkonsole ==== | ||
+ | |||
+ | Die Zugriffssteuerung auf das Portfolio erfolgt über die Zugehörigkeit zu Gruppen im Active Directory. | ||
+ | |**Beschreibung**|**Name der Benutzergruppe im AD**|**Berechtigungen**| | ||
+ | |//Alle// außer Lehrer|-|Kein Zugriff| | ||
+ | |Lehrer|''G_Lehrer''|Lesen| | ||
+ | |//Redakteure// = Projektgruppe ''portfoliored''|''g_projekt_portfoliored''|Artikel verfassen| | ||
+ | |//Superuser// mit Adminrechten = Projektgruppe ''portfolioadm''|''g_projekt_portfolioadm''|Konfiguration| | ||
+ | |||
+ | Hierfür müssen Sie nun die zwei oben beschriebenen Projektgruppen über die Schulkonsole erstellen. Achten Sie auf die Schreibweise! Fügen Sie den Projektgruppen die gewünschten Lehrer hinzu. | ||
+ | |||
+ | * ''projektred'' | ||
+ | * ''projektadm'' | ||
+ | |||
- | * Im ISA Server muss eine neue Zugriffsregel für die LDAP Abfrage erstellt werden. | ||