LDAP selbst-signiertes Zertifikat

Fragen, Vorschläge, Anforderungen, Diskussion zu WebUntis Termin und Klassenbuch
Antworten
blueJack
Beiträge: 3
Registriert: 24. Oktober 2017, 10:12

LDAP selbst-signiertes Zertifikat

Beitrag von blueJack » 24. Oktober 2017, 10:20

Guten Tag,

die Möglichkeit, Benutzer per LDAP in WebUntis anzulegen, ist für große Schulen eine tolle Sache.

Allerdings verwenden wir dies nur ungern, da Units keine selbst-signierten Zertifikate zulässt. Die Benutzerdaten unverschlüsselt zu übertragen, ist leichtfertig, da wir die Benutzer auch mit Office 365 synchronisieren.

Sprich, jemand der die Passwörter anfängt, kann damit auch in Office 365.

Vorschlag: Units erlaubt auch selbst-signierte Zertifikate und es ist möglich, Daten verschlüsselt an Untis zu senden.

Beste Grüße aus Wien.

kroerig
Beiträge: 238
Registriert: 1. September 2008, 21:08
Kontaktdaten:

Re: LDAP selbst-signiertes Zertifikat

Beitrag von kroerig » 7. November 2017, 18:05

Nutzen Sie doch einfach Let's Encrypt.
IT-Service Klaus Rörig
IT Dienstleistungen im Bergischen Land

blueJack
Beiträge: 3
Registriert: 24. Oktober 2017, 10:12

Re: LDAP selbst-signiertes Zertifikat

Beitrag von blueJack » 30. September 2018, 00:05

Das ist nicht so einfach möglich. Haben schon viel herumprobiert, sind aber zu keiner Lösung gekommen.

Möchten außerdem keine Domain dafür zulegen, denn Lets encrypt funktioniert nur mit einer Domain und nicht mit einer IP-Adresse.

Gibt es schon dahingehend Neuigkeiten von Untis?

kroerig
Beiträge: 238
Registriert: 1. September 2008, 21:08
Kontaktdaten:

Re: LDAP selbst-signiertes Zertifikat

Beitrag von kroerig » 5. Oktober 2018, 10:37

Haben Sie den Support mal angefragt, ob die ihre Stamm-CA/ ihr Root-Zertifikat importieren können/ wollen?

Es würde im Backend ja ein simpler Haken "Zertifikatsfehler ignorieren" reichen, was dann an den Connector übergeben wird.

Hat die Schule keine eigene Domain für die Webseite? Sie brauchen ja nur einen Host (Subdomain) auf die feste* IP des LDAP-Dienstes zeigen lassen.
Die Benutzerdaten unverschlüsselt zu übertragen, ist leichtfertig, da wir die Benutzer auch mit Office 365 synchronisieren.
Dann kann Untis auch gegen die Office365-Instanz prüfen.

* aus Sicherheitsgründen sollte der LDAP-Server nicht hinter einer dynamischen IP mit Dyndns-Name betrieben werden.
IT-Service Klaus Rörig
IT Dienstleistungen im Bergischen Land

blueJack
Beiträge: 3
Registriert: 24. Oktober 2017, 10:12

Re: LDAP selbst-signiertes Zertifikat

Beitrag von blueJack » 10. Oktober 2018, 15:54

Vielen Dank für die Antwort, sie hat uns schon ein wenig weitergebracht.

Problem ist aber, dass wir nicht wissen, wie wir das Zertifkat am Server hinterlegen sollen. Hinterlegen wir das fremdsignierte Zertifikat, können sich unsere Clients nicht mehr an der Domäne anmelden - da das Zertifkat nicht mit unserem internen Hostname (schule.intern) übereinstimmt.

Das Zertifikat MUSS aber am Domänencontroller installiert werden, da ja dieser WebUntis via LDAP antworten wird.

Wir sind somit in der Zwickmühle. Kennt jemand eine Lösung für unser Problem? Wir wollen unbedingt die LDAP-Verbindung zwecks Administrationsvereinfachung nutzen.

EDIT: Office365 kann NICHT dazu genutzt werden, die Benutzer auf WebUntis anzulegen. Es erleichtet lediglich die Anmeldung für die User - da sich diese nur ein Passwort merken müssen.

kroerig
Beiträge: 238
Registriert: 1. September 2008, 21:08
Kontaktdaten:

Re: LDAP selbst-signiertes Zertifikat

Beitrag von kroerig » 10. Oktober 2018, 16:21

blueJack hat geschrieben:Vielen Dank für die Antwort, sie hat uns schon ein wenig weitergebracht.

Problem ist aber, dass wir nicht wissen, wie wir das Zertifkat am Server hinterlegen sollen. Hinterlegen wir das fremdsignierte Zertifikat, können sich unsere Clients nicht mehr an der Domäne anmelden - da das Zertifkat nicht mit unserem internen Hostname (schule.intern) übereinstimmt.

Das Zertifikat MUSS aber am Domänencontroller installiert werden, da ja dieser WebUntis via LDAP antworten wird.

Wir sind somit in der Zwickmühle. Kennt jemand eine Lösung für unser Problem? Wir wollen unbedingt die LDAP-Verbindung zwecks Administrationsvereinfachung nutzen.

EDIT: Office365 kann NICHT dazu genutzt werden, die Benutzer auf WebUntis anzulegen. Es erleichtet lediglich die Anmeldung für die User - da sich diese nur ein Passwort merken müssen.
Das Problem ist in der Tat der ungültige interne Domänenname. Der müsste Bestandteil des Zertifikats sein, aber das geht seit 2016 nicht mehr. Daher fällt mir hier nur eine Lösung ein: ein caching-LDAP-Proxy.
Der läuft dann mit einem öffentlichen Zertifikat und leitet die Anfragen an den DC weiter. Mit dem Vorteil, dass man hier nochmal filtern kann, und den DC nicht direkt vom Internet aus erreichbar hat.

Ein paar Ideen, wie das geht:
https://linoxide.com/linux-how-to/confi ... y-tls-ssl/
https://wiki.samba.org/index.php/OpenLD ... roxy_to_AD

Ich habe Untis über den lokalen Support gebeten hier mal eine ordentliche Doku zu posten. Ich will nämlich von LDAP weg.
IT-Service Klaus Rörig
IT Dienstleistungen im Bergischen Land

gla
Untis GmbH
Beiträge: 172
Registriert: 4. Dezember 2017, 07:27

Re: LDAP selbst-signiertes Zertifikat

Beitrag von gla » 11. Oktober 2018, 08:37

@bluejack
@kroerig

Bitte schickt solche Fragen direkt an euren regionalen Support. Das Forum ist hauptsächlich für den Erfahrungs- und Meinungsaustausch gedacht. Bei kleinen Problemen kann zwar natürlich geholfen werden, in so einem Fall ist der Support aber die richtige Adresse :-)

https://www.untis.at/HTML/kontakt.php

LG gla
Gregor Latzel
Untis GmbH

kroerig
Beiträge: 238
Registriert: 1. September 2008, 21:08
Kontaktdaten:

Re: LDAP selbst-signiertes Zertifikat

Beitrag von kroerig » 11. Oktober 2018, 10:00

Hallo Herr Latzel,

der lokale Support (zumindest der für NRW) ist mit diesen Fragen überfragt. Die können mir wunderbar helfen, wenn es um Einstellungen in Untis geht, verweisen bei solchen Systemintegrationsfragen immer an den Hersteller, weil sie selbst nicht mehr Infos haben, als das Online-Handbuch.

Anders herum verweist Ihr direkter Support einen immer an den lokalen Support. Da beißt sich die Katze in den Schwanz.

Gruß

Klaus Rörig
IT-Service Klaus Rörig
IT Dienstleistungen im Bergischen Land

Antworten