Verständnisfrage zu LDAP

Fragen, Vorschläge, Anforderungen, Diskussion zu WebUntis Termin und Klassenbuch
Antworten
axelrumkorf
Beiträge: 475
Registriert: 26. Juli 2016, 10:42

Verständnisfrage zu LDAP

Beitrag von axelrumkorf » 26. November 2017, 12:19

Hallo,

bei uns an der Schule nutzen wir IServ und WebUntis - zusätzlich brauchen die SuS noch ein Passwort für die Bibliotheksausleihe.
Ich habe bisher keine Ahnung von LDAP - verstehe das aber so, dass man sich mit Hilfe von LDAP nur einmal an einem Server anmelden müsste und dann die Passwörter von verschiedenen Systemem (WebUntis, IServ, Biblithek) "bereitgestellt" würden.
Habe ich das so richtig verstanden?

Wenn ja, auf welchem Server müsste dann ein LDAP eingerichtet werden? Sollte der Server in der Schule sein (weil man die Daten häufig aktualisieren/pflegen muss) oder eher beim Schulträger?

Was passiert, wenn ein Schüler sein Passwort von WebUntis vergisst und ein neues generieren lässt? Muss dieses dann in die LDAP Datenbank eingepflegt werden?

Ich weiß genau, was einige Kolleginnen und Kollegen sagen werden, wenn ich so ein System vorschlage: "Das ist doch datenschutztechnisch viel zu riskant! Mehrere Passwörter auf einem Server - und das auch noch von vielen Nutzern! Wenn das einmal geknackt wird..."

Also meine Frag: Wie sicher ist so ein System?

Sorry für das nicht vorhandene Wissen!

Gruß
Axel Rumkorf
Mariengymnasium Jever

kroerig
Beiträge: 249
Registriert: 1. September 2008, 21:08
Kontaktdaten:

Re: Verständnisfrage zu LDAP

Beitrag von kroerig » 26. November 2017, 19:00

Hallo,

LDAP ist primär nur ein Verzeichnisdienst. Man kann darin speichern was man will. Also auch Benutzer und deren Zugangsdaten. Dann können andere Anwendungen hergehen und bei diesem Dienst Daten anfragen und/ oder validieren lassen. Dabei hat LDAP den Vorteil, dass es eine standardisierte Schnittstelle gibt. Dabei muss sich der Entwickler keine großen Gedanken um eine Datenbankstruktur machen.

LDAP ist aber nicht gleich Single-Sign-On. Dazu braucht es Techniken wie SAML oder OAuth. Ein LDAP-Verzeichnis kann aber die Datenbasis hierfür sein.

LDAP hilft aber die Passwortvielfalt zu reduzieren: ich brauche nur eine Benutzerdatenbasis pflegen und alle Anwendungen können diese nutzen. Der Anwender kann sich also überall mit ein und dem selben Login anmelden. Folgendes sollte man aber bedenken (egal ob natives LDAP oder SSO): Habe ich als Angreifer die Zugangsdaten für einen Dienst, komme ich auch an die anderen dran. Die Passwörter müssen also entsprechend sicher sein.

Der IServ unterstützt OAuth (WebUntis aber bisher nicht), LDAP soll wohl zum Jahresende kommen (sofern Google Recht hat).

Prinzipiell kann der LDAP-Server überall laufen. Der Server in der Schule könnte zum SPOF werden, wenn die Internetanbindung nicht stabil ist. (Server nicht erreichbar -> keine Anmeldung möglich).

Wenn WebUntis mit LDAP genutzt wird, ist eine Kennwortänderung über WebUntis nicht mehr möglich.

An der Schule, die ich betreue läuft der LDAP-Server auf dem Webserver der Schule, daran angebunden sind das Mailsystem, Moodle, NextCloud, Webuntis, ein DokuWiki, HumHub und das schuleigene Schul-Informations-System. Letzteres dient auch zur Administration der Benutzer.
Moodle und NextCloud haben zusätzlich noch eine OAuth2-Verbindung, damit man von Moodle aus ohne separate Anmeldung auf seine Daten in NextCloud zugreifen kann.

Ich hoffe, ich konnte ein paar Fragen beantworten.

Klaus Rörig
Zuletzt geändert von kroerig am 13. Dezember 2017, 13:08, insgesamt 1-mal geändert.
IT-Service Klaus Rörig
IT Dienstleistungen im Bergischen Land

axelrumkorf
Beiträge: 475
Registriert: 26. Juli 2016, 10:42

Re: Verständnisfrage zu LDAP

Beitrag von axelrumkorf » 28. November 2017, 18:56

Super,

vielen Dank für die ausführliche Rückmeldung!!! Dann weiß ich auch gleich, wie viel ich noch nicht weiß...

Wenn eine Kennwortänderung über WU nicht mehr möglich ist, dann sollte man die LDAP-Pflege sicherlich auch in den eigenen Händen belassen, oder? Bei unserem Schulträger müssen sich zwei Administratoren um 16 Schulen kümmern... Da muss ein Schüler sicherlich Wochen auf sein neue Passwort warten.

Wie haben Sie das geregelt? Machen Sie die LDAP-Pflege eigenhändig?

Gruß
Axel Rumkorf
Mariengymnasium Jever

kroerig
Beiträge: 249
Registriert: 1. September 2008, 21:08
Kontaktdaten:

Re: Verständnisfrage zu LDAP

Beitrag von kroerig » 29. November 2017, 00:29

Hallo!

ja, die Schule hat bei mir einen managed Root-Server gemietet. Darauf laufen alle Webdienste der Schule.

LDAP oder jedes andere System als zentrale Benutzerdatenbank macht nur dann Sinn, wenn es auch mehr als nur eine Anwendung gibt, die es nutzen kann. Nur für WebUnits einen LDAP-Server zu betreiben spart keine Arbeit.

Ich frage mich nur gerade, wenn Sie WebUntis nutzen, warum ist dann auf der Schulhomepage der Infostundenplan aus Untis eingebunden?
IT-Service Klaus Rörig
IT Dienstleistungen im Bergischen Land

axelrumkorf
Beiträge: 475
Registriert: 26. Juli 2016, 10:42

Re: Verständnisfrage zu LDAP

Beitrag von axelrumkorf » 2. Dezember 2017, 15:29

kroerig hat geschrieben:Hallo!
LDAP oder jedes andere System als zentrale Benutzerdatenbank macht nur dann Sinn, wenn es auch mehr als nur eine Anwendung gibt, die es nutzen kann. Nur für WebUnits einen LDAP-Server zu betreiben spart keine Arbeit.
Ja, und das haben wir mit IServ, WebUntis und teilw. Bibliothek...
kroerig hat geschrieben: Ich frage mich nur gerade, wenn Sie WebUntis nutzen, warum ist dann auf der Schulhomepage der Infostundenplan aus Untis eingebunden?
:P :P
Dann würden wir ja schon vollständig das "gute alte" System verlassen und konsequent das "böse neue" System einführen...
Nein, so weit sind wir leider noch nicht!

Danke für die Rückmeldung!
Gruß
Axel Rumkorf
Mariengymnasium Jever

kroerig
Beiträge: 249
Registriert: 1. September 2008, 21:08
Kontaktdaten:

Re: Verständnisfrage zu LDAP

Beitrag von kroerig » 2. Dezember 2017, 18:03

Der IServ läuft ja in der Schule, die Internetanbindung dort stabil genug und Ausfallsicher?
IT-Service Klaus Rörig
IT Dienstleistungen im Bergischen Land

axelrumkorf
Beiträge: 475
Registriert: 26. Juli 2016, 10:42

Re: Verständnisfrage zu LDAP

Beitrag von axelrumkorf » 2. Dezember 2017, 18:37

Ja, in der Schule und ja, derzeit recht stabil und Ausfallsicher.

Eigentlich ein Wunder, wenn man bedenkt, dass die Schule nur 2x50MBit hat (bei 100 Lehrern und 1200 Schülern). Aber die GBit-Anbindung soll kommen - fragt sich nur wann...

Gruß
Axel Rumkorf
Mariengymnasium Jever

kroerig
Beiträge: 249
Registriert: 1. September 2008, 21:08
Kontaktdaten:

Re: Verständnisfrage zu LDAP

Beitrag von kroerig » 4. Dezember 2017, 14:19

LDAP braucht keine Bandbreite, muss aber zu 100% verfügbar sein, sonst klappt keine Anmeldung am WebUntis mehr.

Unterstützt der IServ externe LDAP-Anfragen? Die öffentliche Doku des Systems ist recht dürftig.
Zuletzt geändert von kroerig am 8. Dezember 2017, 22:47, insgesamt 1-mal geändert.
IT-Service Klaus Rörig
IT Dienstleistungen im Bergischen Land

axelrumkorf
Beiträge: 475
Registriert: 26. Juli 2016, 10:42

Re: Verständnisfrage zu LDAP

Beitrag von axelrumkorf » 5. Dezember 2017, 10:43

Das werde ich in Erfahrung bringen...
Axel Rumkorf
Mariengymnasium Jever

tino2010
Beiträge: 6
Registriert: 3. Dezember 2017, 21:30

Re: Verständnisfrage zu LDAP

Beitrag von tino2010 » 10. Dezember 2017, 20:26

Die Bereitstellung von LDAP durch den IServ interessiert mich auch.
Ich möchte damit vermeiden, dass die KollegInnen mehrere Passwörter verwalten müssen.

Über deine Erfahrungen, inwiefern IServ LDAP zur Verfügung stellt, bin ich gespannt :-)

axelrumkorf
Beiträge: 475
Registriert: 26. Juli 2016, 10:42

Re: Verständnisfrage zu LDAP

Beitrag von axelrumkorf » 23. Februar 2018, 06:35

Ich habe gestern auf der Didacta auf dem IServ-Stand mal bezüglich LDAP nachgefragt.
Aussage von einer Mitarbeiterin war nach Rücksprache mit "dem Chef": LDAP kommt spätestens zum nächsten Schuljahr (Bezug Niedersachsen). Auf dem Demosystem war LDAP schon implementiert - die nennen es dort allerdings "EDUPOOL" - warum konnte mir die nette Dame nicht erklären... :?:

Gruß
Axel Rumkorf
Mariengymnasium Jever

Antworten