LDAP-Directory Service (Verzeichnisdienst)
Das URZ betreibt für die TU Chemnitz einen LDAP-Server, der als Personenverzeichnis dient. Mittels LDAP (Lightweight Directory Access Protocol) können bestimmte Daten unserer Benutzer/-innen abgefragt werden:
- Name, Vorname
- E-Mail-Adresse
- dienstliche Telefon- und Faxnummer (falls vorhanden)
- Zugehörigkeit zu Fakultät oder Einrichtung
- Nutzerkennzeichen (nur intern)
Zum Schutz dieser Daten ist die Abfrage nur von Rechnern der TU Chemnitz erlaubt (TU-Campusnetz oder VPN).
Im Personenverzeichnis veröffentlicht werden alle Mitarbeiter. Darüber hinaus werden auch Studenten und Externe veröffentlicht, sofern diese der Veröffentlichung im IdM-Portal zugestimmt haben. Diese Zustimmung ist dort für Studenten und Externe unter Account → Privatsphäre-Einstellungen jederzeit einstellbar.
Abfragemöglichkeiten:
- Suche nach Telefonnummern und E-Mail-Adressen im Web: - eingeschränkte Ergebnisse für Externe:
https://www.tu-chemnitz.de/tu/personen.html - Suche am VoIP-Telefon: - nur innerhalb der TU Chemnitz
Adressbuch → Personenverzeichnis - E-Mail-Programm: - nur innerhalb der TU Chemnitz
Stellen Sie in Ihrem E-Mail-Programm ein:LDAP-Server:ldap.tu-chemnitz.de
Port:389(TLS verfügbar, SSL alternativ über Port 636)
Namens-Wurzel / Basis-DN:ou=Users,dc=tu-chemnitz,dc=de
Suchfilter (optional):(mail=*) - Webmail ist bereits so eingerichtet.
Zugriff auf IDM-Gruppen
IDM-Gruppen, für die LDAP (öffentlich) im IdM-Portal als Zielsystem aktiviert wurde, können über folgende Parameter abgefragt werden:
| LDAP-Server: | ldap.tu-chemnitz.de |
| Suchbasis (Basis-DN): | ou=Groups,dc=tu-chemnitz,dc=de |
| Suchfilter: | (description=grp:GRUPPENNAME) |
Die Gruppen werden sowohl als groupOfNames als auch als posixGroup veröffentlicht, sodass sie sich sowohl als Gruppen für herkömmliche LDAP-Anwendungen als auch als Nutzergruppen in Linux-Systemen eignen.
Benutzerintegration in Linux-Systemen
Wir empfehlen die Benutzung von sssd zur Benutzerintegration. Tragen Sie folgende Informationen in die Datei /etc/sssd/sssd.conf ein und starten Sie den Dienst sssd neu:
[domain/TU-CHEMNITZ]
debug_level = 1
enumerate = false
cache_credentials = false
min_id = 1000
id_provider = ldap
ldap_uri = ldaps://ldap.tu-chemnitz.de
ldap_user_search_base = ou=users,dc=tu-chemnitz,dc=de
ldap_group_search_base = ou=groups,dc=tu-chemnitz,dc=de
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt
ldap_tls_reqcert = hard
ldap_id_use_start_tls = true
auth_provider = krb5
krb5_realm = TU-CHEMNITZ.DE
krb5_server = kerberos.tu-chemnitz.de, kerberos-1.tu-chemnitz.de, kerberos-2.tu-chemnitz.de
krb5_kpasswd = kerberos-adm.tu-chemnitz.de
krb5_ccname_template = KEYRING:persistent:%{uid}
chpass_provider = none
[sssd]
domains = TU-CHEMNITZ
config_file_version = 2
debug_level = 1
Zugriff auf das Strukturverzeichnis
Im LDAP werden neben Personendaten auch alle Struktureinheiten der TU-Chemnitz gepflegt. Der Zugriff auf diese Informationen ist mit einem speziellen LDAP-Nutzer möglich, die Parameter lauten wie folgt:
| LDAP-Server: | ldap.tu-chemnitz.de |
| Suchbasis (Basis-DN): | ou=Strukturverzeichnis,dc=tu-chemnitz,dc=de |
| Bind-DN: | uid=strukturverzeichnis,ou=System,dc=tu-chemnitz,dc=de |
| Bind-Passwort: | strukturverzeichnis |