3.3. Authentifizierung der Nutzer mittels LDAP
Allgemeines
Goobi verwendet in der Regel einen LDAP Server zur Authentifizierung der Benutzer. Hierdurch ist es möglich, sich mit dem selben Benutzernamen und Passwort wie in Goobi auch mit dem bereitgestellten Netzlaufwerk zu verbinden. In der Konfigurationsdatei goobi_config.properties
wird einerseits angegeben, ob LDAP grundsätzlich von Goobi verwendet werden soll, andererseits wird dort auch der verwendete Truststore konfiguriert. Alle weiteren Einstellungen zu LDAP-Verbindungen und -Benutzergruppen werden im Administrationsbereich in der Benutzeroberfläche vorgenommen.
Der LDAP Server sollte über die Schemata COSINE
, inetOrgPerson
, NIS
und SAMBA
verfügen.
Konfiguration in der Datei goobi_config.properties
In der Datei goobi_config.properties
stehen die folgenden Einstellungen für LDAP und den Truststore zur Verfügung:
Hinweis: In früheren Goobi-Versionen gab es an dieser Stelle die Einstellungen ldap_keystore
und ldap_keystore_password
. Diese wurden umbenannt, da der Keystore auch für andere Zwecke verwendet werden kann. Diese Einstellungen werden nicht mehr unterstützt.
Hinweis: Gelegentlich tauchen in älteren Konfigurationsdateien die falsch überlieferten Einstellungen ldap_truststore
und ldap_truststore_password
auf. Diese Einstellungen existieren in Goobi nicht und werden entsprechend nicht unterstützt.
Die Konfiguration innerhalb der Konfigurationsdatei goobi_config.properties
bei Verwendung eines lokalen LDAP Servers kann zum Beispiel wie folgt aussehen:
Konfiguration in Goobi
LDAP-Gruppen können in Goobi im Bereich Administration
-> Authentifizierung
eingerichtet werden. Es wird zunächst eine Liste mit bereits eingerichteten Authentifizierungsoptionen angezeigt. Um eine LDAP-Gruppe einzurichten, muss eine neue Authentifizierung angelegt werden.
Aktuell stehen drei Authentifizierungsarten zur Verfügung. Bei allen muss mindestens ein Name, ein Typ und ein Login-Shell-Befehl ausgewählt werden. Wird als Typ LDAP ausgewählt, so stehen einige weitere Optionen zur Verfügung. Außerdem stehen für LDAP insgesamt drei Tabs (Allgemein
, Details
und Authentifizierung
) zur Verfügung.
Auf der Seite Allgemein
werden grundlegende Einstellungen zur LDAP-Gruppe vorgenommen, wie zum Beispiel die URL des LDAP-Servers, der User DN (distinguishing name) und Samba IDs. Das Feld User DN
wird für das Mapping von der Nutzeridentifikation in der Goobi Datenbank zur Nutzeridentifikation in der LDAP-Gruppe verwendet. Der Platzhalter {login}
repräsentiert dabei den Login-Namen eines Benutzers und muss angegeben werden, damit Goobi später für jeden neuen Goobi-Account auch einen namentlich angepassten LDAP-Account anlegen kann.
Auf der Seite Details
werden viele weitere Details zur LDAP-Gruppe eingestellt.
Auf der Seite Authentifizierung
werden technische Details zur Authentifizierung bei dem im Allgemein
-Tab eingerichteten LDAP-Service angegeben. Diese Seite beinhaltet einige Einstellungen, die früher nur einmalig in der Konfigurationsdatei goobi_config.properties
vorgenommen werden konnten und können nun für diese spezielle LDAP-Authentifizierung angegeben werden.
Konfiguration im Betriebssystem
Neben den Goobi-spezifischen LDAP-Einstellungen ist weiterhin sicherzustellen, dass auch dem Betriebssystem die LDAP-Nutzer bekannt sind. Hierzu ist die korrekte Angabe der LDAP-Informationen insbesondere in den folgenden Dateien notwendig:
Die Verwendung des LDAP-Servers muss für SAMBA aktiviert sein. Seit Ubuntu 14.04 LTS ist dies standardmäßig voreingestellt.
Last updated