Versions Compared

Old Version 36

changes.mady.by.user Florian Sittig

Saved on

compared with

New Version 37

changes.mady.by.user Paul Poppe

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Liebe Schul-Admins,

wir freuen uns, dass ihr eure Schule per LDAP an die HPI Schul-Cloud oder Niedersächsische Bildungscloud anbinden wollt.

Damit die Nutzerdaten sowie Rollen und Klassenzugehörigkeiten korrekt in die Cloud synchronisiert werden, muss euer LDAP bestimmte Informationen mitbringen. Die folgenden Punkte helfen Euch, das LDAP auf die Synchronisation mit der Cloud vorzubereiten.

Info
titleSchuljahreswechsel

Informationen rund um den Schuljahreswechsel an einer LDAP-Schule findest Du hier.

Bitte beachte, dass du die Sommerferien-Transferphase aktiv beenden musst, damit neue Klassen und Nutzer:innen wieder synchronisiert werden.


Erklärvideo

Widget Connector
urlhttps://vimeo.com/352049496/6f252c7961

Ablauf der Synchronisation

  • Die Nutzer werden regelmäßig über den Sychronisierungsprozess angelegt bzw. aktualisiert

  • Der Login erfolgt über den LDAP Server - Daher sind Passwortänderungen sofort aktiv

Voraussetzungen (wichtig!)

  1. Das LDAP muss verschlüsselt über ldaps:// erreichbar sein, der Standardport ist 10636 kann aber auch anders gewählt werden

  2. In der Firewall muss der LDAP-Port (z.B. 10636) nach außen freigegeben sein

  3. Wenn die Firewall IPs filtert ist eine Freischaltung der IPs notwendig:

    1. Immer notwendig: 141.89.221.180
      und abhängig von Ihrer Instanz:

    2. hpi-schul-cloud.de, open.hpi-schul-cloud.de, brandenburg.hpi-schul-cloud.de:  


      		IPv4IPv6
      Bestand 15.9.113.1492a01:4f8:162:5448::2
      Bestand 2138.201.199.262a01:4f8:172:40d9::2
      Bestand 3 116.202.241.241 2a01:4f8:241:3f4e::2
      neu seit 19.1.2021
      k8s-worker-102116.203.222.202

      2a01:4f8:1c0c:6c39::1

      k8s-worker-55157.90.25.212

      2a01:4f8:c2c:b745::1

      k8s-worker-24157.90.29.156

      2a01:4f8:1c17:5431::2

      k8s-worker-43168.119.105.252

      2a01:4f8:1c0c:6a76::1

      k8s-worker-146188.34.195.10

      2a01:4f8:1c0c:6f31::1

      k8s-worker-200195.201.33.69

      2a01:4f8:1c1c:261f::1

      vorbereitend für UmzugIonos 1

      185.132.46.51

      		ipv4 only
      Ionos 2

      85.215.249.208

      		ipv4 only
      Ionos 3

      85.215.249.184

      		ipv4 only
      Ionos 4

      85.215.249.82

      		ipv4 only
      Ionos IP Range 1

      185.56.148.0/24

      		ipv4 only
      Ionos IP Range 2

      217.160.200.64/28

      		ipv4 only


    3. https://niedersachsen.cloud85.215.249.82 (ip85-215-249-82.pbiaas.com), 85.215.249.184 (ip85-215-249-184.pbiaas.com), 85.215.249.208 (ip85-215-249-208.pbiaas.com), 185.132.46.51 (ip185-132-46-51.pbiaas.com)

  4. Es muss ein Nutzer mit Passwort im LDAP angelegt werden, der Lese-Zugriff auf alle Nutzer und Gruppen hat (z.B. cn=schulcloud,ou=ldap,dc=ihreSchulDomain,dc=de). Dieser Nutzer sollte keinesfalls Schreibrechte haben. Der Nutzer wird später für die Synchronisation benutzt.


LDAP-Struktur für Nutzer

LDAP-Verzeichnis, in dem alle Nutzer z.B. (ou=users) enthalten sind:

ou=users,dc=ihreSchulDomain,dc=de

Der Pfad zu einem Nutzer ist wie folgt definiert:

uid=max.mustermann,ou=users,dc=ihreSchulDomain,dc=de

Ein Nutzer benötigt folgende LDAP-Attribute:

  • uid (eindeutige Login-ID, z.B. max.musterman)

  • uuid (eindeutige nicht änderbare ID, uid kann sich z.B. bei Heirat verändern)

  • mail (E-Mail-Adresse des Nutzers; darf nicht mehrfach vergeben sein)

  • givenName (Vorname)

  • sn (Nachname)

  • userPassword (verschlüsseltes Passwort des Nutzers für den Login-Prozess, wird nicht von der SchulCloud sychronisiert)

  • objectClass (Einer der Werte muss person sein)

Sollten die Attribute im LDAP anders heißen, so können sie im Administrationsbereich angepasst werden (siehe Video).

Nutzerrollen:

Nutzerrollen können entweder als Attribut (z.B. "description") oder als Gruppenmitgliedschaft (LDAP-Gruppe via "memberOf") konfiguriert werden. Die Benennung ist variabel einstellbar:

  • ROLE_STUDENT (Nutzer ist Schüler)

  • ROLE_TEACHER (Nutzer ist Lehrer)

  • ROLE_ADMIN (Nutzer ist Admin)

  • ROLE_NO_SC (Nutzer möchte nicht an der Schul-Cloud teilnehmen)

LDAP-Struktur für Klassen

Optional lassen sich auch Klassenzugehörigkeiten in die Schul-Cloud synchronisieren. Benötigt wird ein LDAP-Sub-Verzeichnis in dem nur Klassen enthalten sind (z.B. ou=classes,dc=ihreSchulDomain,dc=de).

Die Klassen sind dann einfach Gruppen innerhalb dieses Verzeichnisses, bspw: cn=klasse-1-c,ou=classes,dc=ihreSchulDomain,dc=de

Eine Klasse benötigt folgende Attribute (Tipp - ObjectClass: groupOfUniqueNames):

  • description (Anzeigenamen) (nicht veränderbar und notwendig)

  • uniqueMember (Einträge der User als LDAP-Pfade, die zur Klasse gehören)


Bei Rückfragen wende dich gerne an:

feedback@hpi-schul-cloud.de