Metainformationen zur Seite
Die Struktur des IServ-LDAP
Die Base-DN kann über
cat /var/lib/iserv/server-openldap/ldapdn
ermittelt werden. Wenn der IServ über die Domain https://www.schule.tld erreichbar wäre, würde die Base-DN lauten:
dc=schule, dc=tld
Bei den Attributen sind nur solche gelistet, die sich bei einem Import sinnvoll verwenden lassen.
Mit
slapcat > openLDAP.ldif
erhält man eine Textdatei im LDIF-Format, aus der man die Struktur des IServ-LDAP auslesen kann.
Benutzerkontext
| LDAP-Kontext | Verfügbare Attribute | Erläuterung/Kommentar |
| ou=users, dc=schule, dc=tld | Wird angegeben für die Suche von Nutzer:innen | |
| dc: schule | ||
| o: schule.tld |
Benutzerobjekt
| LDAP-Kontext | Verfügbare Attribute | Erläuterung/Kommentar |
| cn=vorname.nachname, ou=users, dc=schule, dc=tld | ||
| uid: vorname.nachname | ||
| cn: vorname.nachname | ||
| givenName: vorname | ||
| sn: nachname | ||
| userPassword: <Passworthash> | ||
| uidNumber: Linux-Usernummer | kann theoretisch neu vergeben werden | |
| gidNumber: Linux-Gruppennummer | kann theoretisch neu vergeben werden | |
| gecos: Vorname Nachname | ||
| mail: vorname.nachname@schule.tld | ||
| uuid: <Unique Identifier> | eindeutige, einmalige ID-Nummer | |
| memberOf: <Gruppenkontext 1> | ||
| memberOf: <Gruppenkontext 2> | ||
| memberOf: <Gruppenkontext n> |
Gruppenkontext
| LDAP-Kontext | Verfügbare Attribute | Erläuterung/Kommentar |
| ou=groups, dc=schule, dc=tld | Wird angegeben für die Suche von Gruppen | |
| ou: groups |
Gruppenobjekt
| LDAP-Kontext | Verfügbare Attribute | Erläuterung/Kommentar |
| cn=gruppenname, ou=groups, dc=schule, dc=tld | ||
| cn: Gruppenname | ||
| gidNumber: Linux-Gruppennummer | kann theoretisch neu vergeben werden | |
| uuid: Linux-Gruppennummer | eindeutige, einmalige ID-Nummer | |
| memberUid: Benutzername 1 | ||
| memberUid: Benutzername 2 | ||
| memberUid: Benutzername n |
Rollenkontext
| LDAP-Kontext | Verfügbare Attribute | Erläuterung/Kommentar |
| ou=roles, dc=schule, dc=tld |
Rollenobjekt
| LDAP-Kontext | Verfügbare Attribute | Erläuterung/Kommentar |
| cn=ROLE_<Rollenbezeichnung in Großbuchstaben>, ou=roles, dc=schule, dc=tld | ||
| roleOccupant: <user_cn_1> | ||
| roleOccupant: <user_cn_2> | ||
| roleOccupant: <user_cn_n> |
Die Rolle „Lehrer“ wäre dann im IServ über
cn=ROLE_LEHRER, ou=roles, dc=schule, dc=tld
über das Attribut „roleOccupant“ ansprechbar. „memberOf“ greift hier bisher nicht, weil dieses Attribut in der übergeordneten Klasse „organizationalRole“ wahrscheinlich nicht definiert ist.
Tipps
LDAP-Filter für IServ-Rollen
memberOf=cn=ROLE_TEACHER,ou=roles,dc=schule,dc=tld