Versions Compared

Old Version 29

changes.mady.by.user Maximilian Grundke

Saved on

compared with

New Version 42

changes.mady.by.user Christine Asjoma

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
 

Liebe Schul- Admins,

wir freuen uns, dass ihr eure Sie Ihre Schule per LDAP an die HPI Schul-Cloud oder Niedersächsische Bildungscloud anbinden wolltwollen.

Damit die Nutzerdaten Nutzer:innendaten sowie Rollen und Klassenzugehörigkeiten korrekt in die Cloud synchronisiert werden, muss euer Ihr LDAP bestimmte Informationen mitbringen. Die folgenden Punkte helfen EuchIhnen, das LDAP auf die Synchronisation mit der Cloud vorzubereiten.

Info
titleSchuljahreswechsel

Informationen rund um den Schuljahreswechsel an einer LDAP-Schule findest Du finden Sie hier.

Bitte beachte, dass du Sie die Sommerferien-Transferphase aktiv beenden musstmüssen, damit neue Klassen und Nutzer:innen wieder synchronisiert werden.

Erklärvideo

widget


Section


Column
width10%


Linchpin Teaser
iconlinchpin-teaser-icon-video
varianticon
titleEinführungsvideo
type3
urlhttps://
vimeo.com/352049496/6f252c7961
lernen.cloud/courses/fortbildung_sc2020/items/35HafJ2pgBKBZBjm7yzg1c
height20vh
Sie wollen sich per Video informieren? Hier geht es zu den Erklärvideos.



Column
width90%



Ablauf der Synchronisation

  • Die Nutzer:innen werden regelmäßig über den Sychronisierungsprozess angelegt bzw. aktualisiert

  • Der Login erfolgt über den LDAP Server - Daher sind Passwortänderungen sofort aktiv

Voraussetzungen (wichtig!)

  1. Das LDAP muss verschlüsselt über ldaps:// erreichbar sein, der Standardport ist 10636 kann aber auch anders gewählt werden

  2. In der Firewall muss der LDAP-Port (z.B. 10636) nach außen freigegeben sein

  3. Wenn die Firewall IPs filtert ist eine Freischaltung der IPs notwendig:

  • Immer notwendig: 141.89.221.180
    und abhängig von Ihrer Instanz:

  • hpi-schul-cloud.de, open.hpi-schul-cloud.de, brandenburg.hpi-schul-cloud.de:  5.9.113.149, 138.201.199.26, 116.202.241.241 bzw. IPv6: 2a01:4f8:162:5448::2, 2a01:4f8:172:40d9::2 und 2a01:4f8:241:3f4e::2

    • https://niedersachsen.cloud85.215.249.82 (ip85-215-249-82.pbiaas.com),



    		1. IPv4IPv6
      Ionos 1

      185.132.46.51

      		ipv4 only
      Ionos 2

      85.215.249.208

      		ipv4 only
      Ionos 3
    ),

    1. 85.215.249.184

    (ip85-215-249-184.pbiaas.com

    		1. ipv4 only
      Ionos 4

    1. 85.215.249.

    208 (ip85-215-249-208.pbiaas.com), 185.132.46.51 (ip185-132-46-51.pbiaas.com)
    Es muss ein Nutzer

    1. 82

      		ipv4 only
      Ionos IP Range 1

      185.56.148.0/24

      		ipv4 only
      Ionos IP Range 2

      217.160.200.64/28

      		ipv4 only


    2. Es muss ein:e Nutzer:in mit Passwort im LDAP angelegt werden,

    der

    1. die:er Lese-Zugriff auf alle Nutzer:innen und Gruppen hat (z.B. cn=schulcloud,ou=ldap,dc=ihreSchulDomain,dc=de).

    Dieser

    1. Diese:r Nutzer:in sollte keinesfalls Schreibrechte haben.

    Der

    1. Die:er Nutzer:in wird später für die Synchronisation benutzt.


    LDAP-Struktur für Nutzer:innen

    LDAP-Verzeichnis, in dem alle Nutzer:innen z.B. (ou=users) enthalten sind:

    ou=users,dc=ihreSchulDomain,dc=de

    Der Pfad zu einem einer:m Nutzer:in ist wie folgt definiert:

    uid=max.mustermann,ou=users,dc=ihreSchulDomain,dc=de

    Ein:e Nutzer:in benötigt folgende LDAP-Attribute:

    • uid (eindeutige Login-ID, z.B. max.musterman)

    • uuid (eindeutige nicht änderbare ID, uid kann sich z.B. bei Heirat verändern)

    • mail (E-Mail-Adresse des Nutzers; darf nicht mehrfach vergeben sein)

    • givenName (Vorname)

    • sn (Nachname)

    • userPassword (verschlüsseltes Passwort des Nutzers für den Login-Prozess, wird nicht von der SchulCloud sychronisiert)

    • objectClass (Einer der Werte muss person sein)

    Sollten die Attribute im LDAP anders heißen, so können sie im Administrationsbereich angepasst werden (siehe Video).

    NutzerrollenNutzer:innenrollen:

    Nutzerrollen Nutzer:innenrollen können entweder als Attribut (z.B. "description") oder als Gruppenmitgliedschaft (LDAP-Gruppe via "memberOf") konfiguriert werden. Die Benennung ist variabel einstellbar:

    • ROLE_STUDENT (Nutzer ist Schüler)

    • ROLE_TEACHER (Nutzer ist Lehrer)

    • ROLE_ADMIN (Nutzer ist Admin)

    Nutzer:innen vom Sync ausschließen

    bitte vergeben sie folgendes Attribut/Gruppenmitgliedschaft:

    • ROLE_NO_SC (Nutzer:in möchte nicht an der Schul-Cloud teilnehmen)

    LDAP-Struktur für Klassen

    Optional lassen sich auch Klassenzugehörigkeiten in die Schul-Cloud synchronisieren. Benötigt wird ein LDAP-Sub-Verzeichnis, in dem nur Klassen enthalten Klassen enthalten sind (z.B. ou=classes,dc=ihreSchulDomain,dc=de).

    Die Klassen sind dann einfach Gruppen innerhalb dieses Verzeichnisses, bspw: cn=klasse-1-c,ou=classes,dc=ihreSchulDomain,dc=de

    Eine Klasse benötigt folgende Attribute (Tipp - ObjectClass: groupOfUniqueNames):

    • description (Anzeigenamen) (nicht veränderbar und notwendig)

    • uniqueMember (Einträge der User als LDAP-Pfade, die zur Klasse gehören)

    Besonderheiten bei der Nutzung des iServ-Zentral-LDAPs in der Niedersächsischen Bildungscloud

    Die Nutzung Ihres iServ-LDAPs gestaltet sich besonders komfortabel: Ist das entsprechende Paket auf Ihrem Server installiert, wird Ihre Schule in Niedersachsen automatisch mit der Niedersächsischen Bildungscloud synchronisiert, ohne dass Sie das LDAP wie hier beschrieben selbst verknüpfen müssen.

    Achtung: Derzeit werden alle Gruppen aus dem iServ als Klasse synchronisiert. Dies lässt sich leider derzeit nicht vermeiden.


    Bei Rückfragen wende dich gerne an:

    feedback@schulfeedback@hpi-schul-cloud.org de