Einrichten der LDAP-Verbindung in Jamf School

Annahmen

Ihren IServ können Sie z.B. unter der Webadresse https://www.mein-iserv.de erreichen.

Ihr LDAP-Benutzer heißt: jamfschool

Ihr LDAP-Passwort lautet: geheim

Dann gilt für die <Platzhalter> in dieser Anleitung:

Platzhalter Beispiel
<iserv_url> mein-iserv.de
<iserv_binduser> cn=jamfschool,ou=ldap,dc=mein-iserv,dc=de
<iserv_binduser_passwd> geheim
<iserv_domain> mein-iserv
<iserv_tld> de

Konfiguration der LDAP-Verbindung in Jamf School

Gehen Sie in Jamf im linken Menu auf Organisation ⇒ Einstellungen. Sie müssen danach etwas nach unten scrollen, um den Punkt Synchronisierung zu finden:

Einstellungen

Nehmen Sie jetzt folgende Einstellungen vor - die <Platzhalter> werden ganz oben auf dieser Seite erklärt.

Konfigurationseinstellung Einstellung
Synchronisierungsmethode LDAP
Einstellung für die automatische Synchronisierung Zwischen 2:00 - 3:00
LDAP-Server/-Port <iserv_url> / 10636
Verzeichnistyp Microsoft Active Directory
Benutzername <iserv_binduser>
Passwort <iserv_binduser_passwd>
Basis-DN dc=<iserv_domain>, dc=<iserv_tld>
Basis-DN für alle Benutzer verwenden Haken nicht setzen
CNs mit OUs aus Verzeichnisdienst abrufen Haken setzen
„OU“ von Schülern zunächst leer lassen
„OU“ von Lehrern zunächst leer lassen
„OU“ von Gruppen leer lassen
Benutzername uid
Vorname leer lassen
Nachname leer lassen
Beschreibung leer lassen
E-Mail leer lassen
Mitglied von leer lassen
Gruppenmitgliedschaft leer lassen
Definierter Name der Gruppe leer lassen
Gruppenname leer lassen
Auslagerung aktivieren Haken bei Ersteinrichtung NICHT setzen, später ggf. probieren
Rekursive Gruppen aktieren Haken nicht setzen
Entfernte Nutzer löschen Haken setzen
Entfernte Gruppen löschen Haken setzen
Entfernte Gruppen mit nicht synchronisierten OUs löschen Haken setzen
Anhand eines Clients-Zertifikats authentifizieren Haken nicht setzen

Einstellungen speichern, prüfen und Nutzer:innen auswählen

Speichern Sie nun Ihre Einstellungen mit der Schaltfläche ganz unten rechts:



Wichtig

Egal, was Sie in den LDAP-Einstellungen ändern: Sie müssen immer erst auf diese Weise speichern, bevor sich Ihre neuen Eingaben auswirken.

Jetzt prüfen Sie zunächst, ob die Verbindung zwischen Jamf School und IServ funktioniert:

Jetzt können Sie die erste LDAP-Abfrage starten:

Bei den „OU“ von Schülern können sie jetzt alle Gruppen auf dem IServ auswählen, die ausschließlich Schüler:innen enthalten, wenn diese Klassen über ein personengebundenes iPad verfügen. Dieses Verfahren ist dem mit „Basis-DN für alle Benutzer:innen verwenden“ unbedingt vorzuziehen, weil ansonsten auch Accounts synchronisiert werden, bei denen das nicht erforderlich ist. Jamf School dankt es Ihnen im Benutzer:innenbereich mit deutlich mehr Übersichtlichkeit.

Ich habe noch keine Möglichkeit gefunden, die Synchronisation von allen Gruppen des IServ zu verhindern. Diese besitzen dann in Jamf School zwar keine Mitglieder, sind jedoch dennoch vorhanden, wenngleich leicht filterbar.

Ergebnis prüfen

Sie können jetzt die Synchronisierung prüfen:


Ein erfolgreicher Test könnte etwa so aussehen:


Man sieht, dass mit dieser Konfiguration nicht alle IServ-Nutzer:innen synchronisiert werden, sondern nur ausgewählte. Jamf School legt jetzt alle Gruppen und Nutzer:innen an. Ein automatischer Abgleich erfolgt jede Nacht zwischen 2 und 3 Uhr.

Probleme mit dem IServ-Zertifikat nach drei Monaten

IServ verwendet für die verschlüsselte Verbindung zu seinem LDAP Zertifikate von Let's Encrypt. Diese laufen nach ca. drei Monaten aus und werden automatisch ersetzt. Es wird berichtet, dass danach die Syncronisierung zu Jamf School zusammenbrechen kann. Dies wirkt sich nicht auf bereits synchronisierte Datenbestände aus.

Die Empfehlung ist, in Jamf School den LDAP-Port zu ändern, zu speichern und dann wieder zurückzuändern. Dies legt die Verbindung neu an. Prüfen Sie aber immer alle Einstellungen durch, da dadurch viele Ihrer Eingaben gelöscht werden und neu eingegeben werden müssen BEVOR Sie die Konfiguration erneut prüfen.

zurück zur Übersicht