3.3. Authentifizierung der Nutzer mittels LDAP

Allgemeines

Goobi verwendet in der Regel einen LDAP Server zur Authentifizierung der Benutzer. Hierdurch ist es möglich, sich mit dem selben Benutzernamen und Passwort wie in Goobi auch mit dem bereitgestellten Netzlaufwerk zu verbinden. In der Konfigurationsdatei goobi_config.properties wird einerseits angegeben, ob LDAP grundsätzlich von Goobi verwendet werden soll, andererseits wird dort auch der verwendete Truststore konfiguriert. Alle weiteren Einstellungen zu LDAP-Verbindungen und -Benutzergruppen werden im Administrationsbereich in der Benutzeroberfläche vorgenommen.

Der LDAP Server sollte über die Schemata COSINE, inetOrgPerson, NIS und SAMBA verfügen.

Konfiguration in der Datei goobi_config.properties

In der Datei goobi_config.properties stehen die folgenden Einstellungen für LDAP und den Truststore zur Verfügung:

Hinweis: In früheren Goobi-Versionen gab es an dieser Stelle die Einstellungen ldap_keystore und ldap_keystore_password. Diese wurden umbenannt, da der Keystore auch für andere Zwecke verwendet werden kann. Diese Einstellungen werden nicht mehr unterstützt.

Hinweis: Gelegentlich tauchen in älteren Konfigurationsdateien die falsch überlieferten Einstellungen ldap_truststore und ldap_truststore_password auf. Diese Einstellungen existieren in Goobi nicht und werden entsprechend nicht unterstützt.

Die Konfiguration innerhalb der Konfigurationsdatei goobi_config.properties bei Verwendung eines lokalen LDAP Servers kann zum Beispiel wie folgt aussehen:

# -----------------------------------
# ldap
# -----------------------------------

# Use LDAP server for authentication
ldap_use=true

# -----------------------------------
# truststore
# -----------------------------------

# Keystore for LDAP and other services
# There is no default value, but the truststore can look like this example:
# /opt/digiverso/goobi/scripts/mykeystore.ks
#truststore=
#truststore_password=

Konfiguration in Goobi

LDAP-Gruppen können in Goobi im Bereich Administration -> Authentifizierung eingerichtet werden. Es wird zunächst eine Liste mit bereits eingerichteten Authentifizierungsoptionen angezeigt. Um eine LDAP-Gruppe einzurichten, muss eine neue Authentifizierung angelegt werden.

Aktuell stehen drei Authentifizierungsarten zur Verfügung. Bei allen muss mindestens ein Name, ein Typ und ein Login-Shell-Befehl ausgewählt werden. Wird als Typ LDAP ausgewählt, so stehen einige weitere Optionen zur Verfügung. Außerdem stehen für LDAP insgesamt drei Tabs (Allgemein, Details und Authentifizierung) zur Verfügung.

Auf der Seite Allgemein werden grundlegende Einstellungen zur LDAP-Gruppe vorgenommen, wie zum Beispiel die URL des LDAP-Servers, der User DN (distinguishing name) und Samba IDs. Das Feld User DN wird für das Mapping von der Nutzeridentifikation in der Goobi Datenbank zur Nutzeridentifikation in der LDAP-Gruppe verwendet. Der Platzhalter {login} repräsentiert dabei den Login-Namen eines Benutzers und muss angegeben werden, damit Goobi später für jeden neuen Goobi-Account auch einen namentlich angepassten LDAP-Account anlegen kann.

Auf der Seite Details werden viele weitere Details zur LDAP-Gruppe eingestellt.

Auf der Seite Authentifizierung werden technische Details zur Authentifizierung bei dem im Allgemein-Tab eingerichteten LDAP-Service angegeben. Diese Seite beinhaltet einige Einstellungen, die früher nur einmalig in der Konfigurationsdatei goobi_config.properties vorgenommen werden konnten und können nun für diese spezielle LDAP-Authentifizierung angegeben werden.

Konfiguration im Betriebssystem

Neben den Goobi-spezifischen LDAP-Einstellungen ist weiterhin sicherzustellen, dass auch dem Betriebssystem die LDAP-Nutzer bekannt sind. Hierzu ist die korrekte Angabe der LDAP-Informationen insbesondere in den folgenden Dateien notwendig:

/etc/ldap/ldap.conf
/etc/ldap.conf
/etc/nsswitch.conf
/etc/pam.d/*

Die Verwendung des LDAP-Servers muss für SAMBA aktiviert sein. Seit Ubuntu 14.04 LTS ist dies standardmäßig voreingestellt.

Last updated