Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Inleiding

Het is vaak gewenst dat gebruikers niet weer een nieuw wachtwoord hoeven te onthouden om in te loggen op het Zermelo Portal. Het controleren van de gebruikersnaam en het wachtwoord via LDAP is dan vaak een goede oplossing. Iedereen kan dan inloggen met hetzelfde wachtwoord als ze voor alle andere schoolsites gebruiken. Op het moment dat LDAP aan staat en een gebruiker inlogt, maakt het Portal verbinding met de LDAP-server van de school. Dit kan een aparte server zijn maar ook Active Directory (AD) heeft deze functionaliteit. Het Portal probeert dan als deze gebruiker in te loggen op deze server. Als dit lukt geeft het Portal de gebruiker toegang.

Info
titleSAML

Als het ook mogelijk is om Single-sign-on met SAML 2.0 (Active Directory) in te stellen dan bevelen wij dit aan.



Panel
bgColorwhite
titleBGColorwhite

Op deze pagina

Table of Contents
maxLevel2
minLevel2

Zie ook


Stappenplan instellen LDAP

Info

We raden u ten zeerste aan om dit stappenplan te volgen. Als u dit niet doet dan lukt het waarschijnlijk niet om LDAP correct in te stellen. Als u contact opneemt is het eerste wat we u vragen of u dit stappenplan hebt doorlopen en bij welke stap u bent blijven steken. Stappen 1-3 zijn niet optioneel en kunnen niet worden overgeslagen.

1. Voor u begint

Voordat u begint met het instellingen van de koppeling heeft u de volgende personen nodig:

  1. Iemand met toegang tot de LDAP/AD server (LDAP beheerder)
  2. Iemand met rechten om de firewall aan te passen (firewall beheerder)
  3. Iemand met "admin" rechten op het portal (portal admin)

Wij raden aan om met deze personen bij elkaar te gaan zitten om de koppeling in te richten. Op deze manier zijn de lijntjes kort en kan het stappenplan snel en soepel doorlopen worden.

Verder heeft u nodig:

  1. De login gegevens van een docent (volgens de LDAP/AD server)
  2. De login gegevens van een leerling (volgens de LDAP/AD server)

2. Toegang LDAP server instellen

  1. De firewall beheerder maakt in samenwerking met de LDAP beheerder de LDAP-server beschikbaar via internet voor de IP adressen van het Portal. Dit doen ze door de instellingen van uw eigen servers en firewalls aan te passen. De poort is de standaard LDAP poort 389, voor beveiliging maken we gebruik van STARTTLS. Het Portal ondersteunt LDAPv3 en mogelijk eerdere versies. Zie voor de IP adressen waar verbinding vanuit wordt gemaakt IP adressen.
  2. De portal admin past in het portal (Beheer > Portal > Instellingen) de het volgende aan:
    1. ldap.enabled -> true
    2. ldap.host -> de hostname van de server (ldap.school.nl of een IP adres). Als u een hostname gebruikt dient deze extern bekend te zijn via DNS.
    3. ldap.port -> 389 (in zeldzame gevallen is dit een andere poort)
    4. ldap.tls.enabled -> false (we zorgen eerst dat het werkt zonder encryptie, later zetten we dit pas aan)

3. Inloggen mogelijk maken

We gaan nu voor een testgebruiker zorgen dat deze kan inloggen via LDAP. In dit voorbeeld is dit de volgende docent:

NaamBob Whiler
Afkorting/codeWHI
Loginnaam die Bob op school gebruiktbobw

Om te zorgen dat deze gebruiker kan inloggen zetten we allereerst het vinkje aan bij Externe authenticatie (voorheen LDAP) op de pagina Beheer > Portal > Gebruikers:

We moeten ook het veld LDAP userPrincipalName gaan vullen. Om te weten wat hier moet staan kijken we in de AD naar de eigenschappen van de gebruiker, onder Account:

In dit geval is de userPrincipalName "bobw@rfs.local". Dit vullen we in bij de kolom LDAP userPrincipalName:

Nu kan deze gebruiker met zijn afkorting (WHI) en standaard schoolwachtwoord inloggen. U kunt dit nu testen:

Als u dit werkt voor de testdocent kunt u hetzelfde proberen voor een testleerling. Het kan zijn dat u iets anders moet invullen als userPrincipalName.

Info
titleTip

U kunt met een programma als LDAPExplorerTool eerst op uw eigen netwerk proberen of het inloggen als leerling of docent met de bepaalde userPrincipalName goed werkt. U vult in dit programma bij de instellingen bij "User DN" de bepaalde userPrincipalName in. "Use SSL port" moet op "No" staan en eventueel kunt u later proberen of u "Use TLS" kunt aanzetten.

Lukt het niet om op deze manier iemand te laten inloggen? Als u contact opneemt kunnen wij u helpen door de gedetailleerde foutmeldingen te bekijken in onze logs. Het kan zijn dat het verbinding maken niet goed werkt of de gebruikersnaam waarmee de server probeert in te loggen op de LDAP server niet correct is.

4. Inloggen op het portal met een andere gebruikersnaam (optioneel)

Nadat u stap 3 heeft afgerond kan een gebruiker inloggen op het portal met een standaard schoolwachtwoord. Als gebruikersnaam moet echter de de afkorting of leerlingnummer worden ingevoerd. Mogelijk wilt u dat leerlingen of docenten met een andere gebruikersnaam inloggen. Vooral voor docenten is dit vaak voorletter.achternaam. In dat geval kunt u deze gegevens inlezen in de kolom Extra gebruikersnaam (intern: username). In het voorbeeld uit stap 3 wilt u misschien dat deze gebruiker gewoon kan inloggen met "bobw". U vult dan "bobw" in bij de kolom Extra gebruikersnaam:

 Nu kan de gebruiker inloggen met bobw en zijn eigen wachtwoord:

5. LDAP voor meerdere gebruikers aanzetten (optioneel)

Als het lukt om zowel een leerling als een docent te laten inloggen kan de portal admin kijken of dit centraal in te stellen is voor alle gebruikers. Dat is een stuk makkelijker dan het voor alle gebruikers los instellen. U kunt de instelling ldap.principal_template gebruiken om aan de hand van de code, extra gebruikersnaam of mailadres automatisch de juiste userPrincipalName bij een gebruiker te laten genereren. Het kan bijvoorbeeld zijn dat u ziet dat u bij alle gebruikers een userPrincipalName hebt opgegeven die eindigt op "@rfs.local". Dit voelt een beetje dubbelop en kan meer werk zijn bij invoeren/importeren. In dat geval kunt u bij alle gebruikers de userPrincipalName kolom weer leegmaken en bij de instellingen het principal_template instellen op "${username}@rfs.local":

Nu hoeft u bij een nieuwe gebruiker alleen maar de Extra gebruikersnaam in te vullen en het vinkje Externe authenticatie (voorheen LDAP) aan te zetten. Let u er bij het testen op dat u de kolom userPrincipalName bij de testgebruiker leegmaakt, als u dat niet doet wordt namelijk het principal_template niet gebruikt voor deze gebruiker.

Het kan zijn dat het u niet lukt met behulp van de code, extra gebruikersnaam of mailadres een correcte login string te produceren voor de LDAP server. In dat geval moet u deze voor elke gebruiker inlezen in de kolom userPrincipalName. U kunt nog steeds iets in de kolom extra gebruikersnaam zetten zodat de gebruikers wel gewoon met hun standaard loginnaam kunnen inloggen op het portal.

Als de voorgaande stappen gelukt zijn is het nu mogelijk om bij meerdere gebruikers het vinkje Externe authenticatie (voorheen LDAP) aan te zetten zodat ze kunnen inloggen. Dit kan ook via het menu "LDAP" bij een aantal gebruikers tegelijk gebeuren:

Deze gebruikers kunnen niet meer met het wachtwoord wat in het Portal staat inloggen maar alleen maar met het wachtwoord wat bij de LDAP-server bekend is. Ook kunnen deze gebruikers hun wachtwoord niet meer wijzigen.

6. De LDAP verbinding beveiligen

Als alles werkt kunt u nu aanzetten dat er een beveiligde verbinding gebruikt moet worden.

  1. U zet ldap.tls.enabled op "true" en ldap,tls.verify_certificate op "never". De verbinding is nu beveiligd maar in een zeldzaam geval zou een kwaadwillende een server van hemzelf zich kunnen laten voordoen als uw server, en dan de wachtwoorden kunnen bemachtigen.
     
  2. U kunt kijken of het ook werkt met deze instelling op "always". In dat geval controleert onze server het beveiligingscertificaat van uw server. Dit werkt alleen als u de server benadert via een hostname en als dit certificaat ook geldig is. Een self-signed certificaat werkt dus niet.
     

Overzicht van instellingen

De volgende instellingen kunt u aanpassen onder Beheer > Instellingen.

Info

Let op: sommige instellingen zijn hoofdlettergevoelig. In geval van twijfel is het het beste om alles met kleine letters te schrijven.


InstellingVoorbeeldToelichting
ldap.enabledtrue"true" als LDAP gebruikt mag worden, "false" als dit niet zo is.
ldap.hostldap.school.nlDe hostname of IP adres van de LDAP server van de school.
ldap.port389De poort waarop verbinding gemaakt moet worden. Het portal ondersteunt alleen standaard LDAP (op poort 389) met als gewenst STARTTLS als beveiliging. LDAPS (standaard poort 636) wordt op dit moment niet ondersteund.
ldap.principal_template${code}@schoolnaam.local

De principal waarmee Zermelo Portal probeert in te loggen op de LDAP-server. Gebruik ${code} voor de gebruikersnaam en ${email} voor het mailadres. Tevens kan ${username} worden gebruikt voor de apart ingestelde gebruikersnaam.

Als bij een gebruiker de userPrincipalName is ingesteld wordt deze gebruikt. De principal_template wordt dan genegeerd.

ldap.tls.enabledtrue"true" als de verbinding beveiligd moet worden voor het versturen van de gebruikersnaam en het wachtwoord door middel van STARTTLS, anders "false".
ldap.tls.verify_certificatealways

"never" als het certificaat niet gecontroleerd moet worden, omdat het bijvoorbeeld self-signed is. "always" als het certificaat gecontroleerd moet worden en de verbinding moet worden afgebroken als er iets mis is.

Als er bij ldap.host een IP adres is ingevoerd dan moet deze instelling op "never" staan. Tevens werkt controle van het certificaat alleen als het een officieel en geldig certificaat is.

Anchor
userprincipalname
userprincipalname
UserPrincipalName

De userPrincipalName is waarschijnlijk de lastigste instelling. Voorbeelden van login namen voor LDAP zijn:

  1. 1203446@leerling.school.nl
  2. ll1203446@leerling.school
  3. 1472346 (leerlingnummer)
  4. voornaam.achternaam@school.local
  5. CN=1234,OU=leerlingen,DC=schoolnaam,DC=local

Soms zitten leerlingen en medewerkers niet in de AD niet in één container, maar in verschillende. Het gebruik van de distinguishedName (CN=...) uit de AD is dan niet mogelijk. U kunt dan mogelijk gebruik maken van de userPrincipalName (1234@leerling.school).

Anchor
ip
ip
IP adressen

Verbindingen met uw LDAP server worden gemaakt vanaf een beperkt aantal adressen. Op de pagina IP-adressen kunt u zien welke dat zijn.

Anchor
contact
contact
Hulp bij het instellen van LDAP

Komt u er niet uit? Het instellen van LDAP is specialistisch werk waar we u niet direct telefonisch mee kunnen helpen. U kunt de volgende gegevens mailen naar helpdesk@zermelo.nl, wij nemen dan contact met u op.

  1. Contactgegevens (email en telefoon)
  2. Urgentie (wanneer moet LDAP werken?)
  3. Portaladres
  4. Wie moeten er kunnen inloggen via LDAP? Alleen leerlingen? Leerlingen en docenten?
  5. Wat de laatste succesvolle afgeronde stap uit het stappenplan is.
  6. Afkorting/leerlingnummers van gebruikers waar u voor geprobeerd heeft om LDAP in te stellen.