Metainformationen zur Seite
- de
Dies ist eine alte Version des Dokuments!
Einrichten der LDAP-Verbindung in Jamf School
Annahmen
Ihren IServ können Sie z.B. unter der Webadresse https://www.mein-iserv.de erreichen.
Ihr LDAP-Benutzer heißt: jamfschool
Ihr LDAP-Passwort lautet: geheim
Dann gilt für die <Platzhalter> in dieser Anleitung:
Platzhalter | Beispiel |
<iserv_url> | mein-iserv.de |
<iserv_binduser> | cn=jamfschool,ou=ldap,dc=mein-iserv,dc=de |
<iserv_binduser_passwd> | geheim |
<iserv_domain> | mein-iserv |
<iserv_tld> | de |
Konfiguration der LDAP-Verbindung in Jamf School
Gehen Sie in Jamf im linken Menu auf Organisation ⇒ Einstellungen. Sie müssen danach etwas nach unten scrollen, um den Punkt Synchronisierung zu finden:
Einstellungen
Nehmen Sie jetzt folgende Einstellungen vor - die <Platzhalter> werden ganz oben auf dieser Seite erklärt.
Konfigurationseinstellung | Einstellung |
Synchronisierungsmethode | LDAP |
Einstellung für die automatische Synchronisierung | Zwischen 2:00 - 3:00 |
LDAP-Server/-Port | <iserv_url> / 10636 |
Verzeichnistyp | Microsoft Active Directory |
Benutzername | <iserv_binduser> |
Passwort | <iserv_binduser_passwd> |
Basis-DN | dc=<iserv_domain>, dc=<iserv_tld> |
Basis-DN für alle Benutzer verwenden | Haken nicht setzen |
CNs mit OUs aus Verzeichnisdienst abrufen | Haken setzen |
„OU“ von Schülern | zunächst leer lassen |
„OU“ von Lehrern | zunächst leer lassen |
„OU“ von Gruppen | leer lassen |
Benutzername | uid |
Vorname | leer lassen |
Nachname | leer lassen |
Beschreibung | leer lassen |
leer lassen | |
Mitglied von | leer lassen |
Gruppenmitgliedschaft | leer lassen |
Definierter Name der Gruppe | leer lassen |
Gruppenname | leer lassen |
Auslagerung aktivieren | Haken setzen |
Rekursive Gruppen aktieren | Haken nicht setzen |
Entfernte Nutzer löschen | Haken setzen |
Entfernte Gruppen löschen | Haken setzen |
Entfernte Gruppen mit nicht synchronisierten OUs löschen | Haken setzen |
Anhand eines Clients-Zertifikats authentifizieren | Haken nicht setzen |
Einstellungen speichern, prüfen und Nutzer:innen auswählen
Speichern Sie nun Ihre Einstellungen mit der Schaltfläche ganz unten rechts:
Wichtig
Egal, was Sie in den LDAP-Einstellungen ändern: Sie müssen immer erst auf diese Weise speichern, bevor sich Ihre neuen Eingaben auswirken.
Jetzt prüfen Sie zunächst, ob die Verbindung zwischen Jamf School und IServ funktioniert:
Jetzt können Sie die erste LDAP-Abfrage starten:
Bei den „OU“ von Schülern können sie jetzt alle Gruppen auf dem IServ auswählen, die ausschließlich Schüler:innen enthalten, wenn diese Klassen über ein personengebundenes iPad verfügen. Dieses Verfahren ist dem mit „Basis-DN für alle Benutzer:innen verwenden“ unbedingt vorzuziehen, weil ansonsten auch Accounts synchronisiert werden, bei denen das nicht erforderlich ist. Jamf School dankt es Ihnen im Benutzer:innenbereich mit deutlich mehr Übersichtlichkeit.
Ich habe noch keine Möglichkeit gefunden, die Synchronisation von allen Gruppen des IServ zu verhindern. Diese besitzen dann in Jamf School zwar keine Mitglieder, sind jedoch dennoch vorhanden, wenngleich leicht filterbar.
Ergebnis prüfen
Sie können jetzt die Synchronisierung prüfen:
Ein erfolgreicher Test könnte etwa so aussehen:
Man sieht, dass mit dieser Konfiguration nicht alle IServ-Nutzer:innen synchronisiert werden, sondern nur ausgewählte. Jamf School legt jetzt alle Gruppen und Nutzer:innen an. Ein automatischer Abgleich erfolgt jede Nacht zwischen 2 und 3 Uhr.
Probleme mit dem IServ-Zertifikat nach drei Monaten
IServ verwendet für die verschlüsselte Verbindung zu seinem LDAP Zertifikate von Let's Encrypt. Diese laufen nach ca. drei Monaten aus und werden automatisch ersetzt. Es wird berichtet, dass danach die Syncronisierung zu Jamf School zusammenbrechen kann. Dies wirkt sich nicht auf bereits synchronisierte Datenbestände aus.
Die Empfehlung ist, in Jamf School den LDAP-Port zu ändern, zu speichern und dann wieder zurückzuändern. Dies legt die Verbindung neu an. Prüfen Sie aber immer alle Einstellungen durch, da dadurch viele Ihrer Eingaben gelöscht werden und neu eingegeben werden müssen BEVOR Sie die Konfiguration erneut prüfen.