LDAP-Plugin

Startseite » Forum » e-Journal Systeme » OJS, OCS, OMP, Harvester » LDAP-Plugin

LDAP-Plugin

Author	Message
Written on: 28. 01. 2011 [11:42]
nfromm Intermediate Topic creator registered since: 28.01.2011 Posts: 3	Hallo, ich versuche seit ein paar Tagen das LDAP-Plugin für die Authentifizeirung einzuschalten, bzw. zu konfigurieren. Leider habe ich damit Probleme, die Anleitung unter: http://pkp.sfu.ca/wiki/index.php/Setting_up_LDAP/Shibboleth habe ich aber gelesen. Zunächst sieht es so aus, als würde er sich per ldaps:// überhaupt nicht verbinden, da kommt eine Fehlermeldung im PHP-Errorlog, aber auch wenn ich zum testen mal eine ungesicherte Verbindung aufbauen lasse (dann gibt es zumindest keine Fehlermeldung) klappt die Authentifizierung per LDAP nicht. Können Sie mir vielleicht ein paar Tips geben, wo oder was ich noch gucken oder einstellen könnte um das zum laufen zu bekommen? Eine Beispielkonfiguration wäre auch hilfreich aber ich bin für jede Anregung dankbar. Edit: um das Problem zu konkretisieren: Unser LDAP-Server verweigert komplett die Authentifizierung über ungesicherte Verbindungen, daher muss ich ldaps:// einstellen für den LDAP-Server. Dann erhalte ich aber in der PHP-Errorlog: Message: WARNING: ldap_set_option(): supplied argument is not a valid ldap link resource Mit freundlichen Grüßen Niels Fromm AG Elektronisches Publizieren CMS Humboldt-Universität zu Berlin [This article was edited 1 times, at last 28.01.2011 at 13:50.]
	Profile
Written on: 29. 01. 2011 [10:25]
nfromm Intermediate Topic creator registered since: 28.01.2011 Posts: 3	Hallo, Entschuldigung mein Problem war das LDAP-Modul von PHP auf meinem Solaris-Server. Ich habe das jetzt anders gelöst und die Authentifizierung über ldaps läuft prinzipiell. Nun habe ich ein paar andere Fragen zum LDAP-Plugin: 1. Ich kann immer noch beliebige Usernamen anlegen, mich dann nach erfolgter Registrierung aber nicht einloggen, sofern der Username nicht im LDAP steht. Der zweite Teil ist klar, aber ich sollte dann erst gar keinen User mehr anlegen können der nicht im LDAP steht oder? 2. Wenn ich Usernamen anlege der im LDAP steht, ich mir für OJS aber ein anderes Passwort auswähle kommt die Fehlermeldung beim registrieren des Users: "Username existiert bereits" und nicht wie es richtig wäre "Falsches Passwort". Unser Problem ist nun aber vor allem, das ich nicht alle Anmeldungen über einen LDAP-Server lösen kann. In unserem LDAP-Server sind nur Mitarbeiter und Studenten der HU, bei OJS sollten aber auch Kollegen von anderen Einrichtungen mitarbeiten und sich also auch einloggen können. Das geht natürlich nicht, wenn ich jetzt auf LDAP umschalte. Oder gibt es die Möglichkeit, zwei verschiedene LDAP-Server zur Authentifizierung zu nutzen, oder Pläne die LDAP-Authentifizierung parallel zur OJS-DB-Authentifizierung nutzen zu können ? Bei beiden Varianten hätte ich dann die Möglichkeit, alle Mitarbeiter und Studenten der HU unseren LDAP-Servr nutzen zu lassen, aber auch andere User können authentifiziert werden (über zweiten LDAP oder OJS-DB). Danke und Gruß Niels Fromm AG Elektronisches Publizieren Humboldt-Universität zu Berlin
	Profile
Written on: 01. 02. 2011 [05:22]
fgrandel Florian Grandel Moderator registered since: 24.11.2009 Posts: 65	Hallo Niels, nfromm schrieb: 1. Ich kann immer noch beliebige Usernamen anlegen, mich dann nach erfolgter Registrierung aber nicht einloggen, sofern der Username nicht im LDAP steht. Der zweite Teil ist klar, aber ich sollte dann erst gar keinen User mehr anlegen können der nicht im LDAP steht oder? 2. Wenn ich Usernamen anlege der im LDAP steht, ich mir für OJS aber ein anderes Passwort auswähle kommt die Fehlermeldung beim registrieren des Users: "Username existiert bereits" und nicht wie es richtig wäre "Falsches Passwort". ... Oder gibt es die Möglichkeit, zwei verschiedene LDAP-Server zur Authentifizierung zu nutzen, oder Pläne die LDAP-Authentifizierung parallel zur OJS-DB-Authentifizierung nutzen zu können ? Das LDAP-PlugIn wurde vor einiger Zeit aus der Community zu unserer Codebasis beigesteuert und scheint für einige Anwender zu funktionieren. Darum haben wir es in unserer Codebasis. Wir von PKP hatten aber selbst nie die Gelegenheit, es aktiv einzusetzen. Darum wissen wir wenig über das PlugIn, und ich kann deine Fragen leider nicht beantworten. :-( Wir wissen aus dem, was wir von Nutzern wie euch hören, dass das PlugIn einige "raue Kanten" hat. Bisher hat sich aber niemand aus der Community gefunden, der das PlugIn selbst einsetzt und ein paar dieser Kanten abschleifen würde. Vielleicht habt ihr ja die Möglichkeit dazu? Davon würden viele profitieren. Uns selbst fällt es schwer, das PlugIn zu verbessern, da wir keinen konkreten Anwendungsfall und keine LDAP-Testumgebung haben. Sollte es von eurer Seite Interesse geben, die fehlende Funktionalität nachzurüsten, dann helfe ich aber sehr gern mit generellen Tipps zur Erweiterung von OJS. @Bozana: Habt ihr das LDAP-PlugIn evtl. schon getestet? Viele Grüße, Florian Grandel Software-Entwickler Public Knowledge Project (PKP) http://pkp.sfu.ca/people#fg jerico.dev(at)gmail[dot]com
	Profile
Written on: 01. 02. 2011 [18:37]
bozana Bozana Bokan Moderator registered since: 15.12.2009 Posts: 64	Hallo, Wir haben das Plug-In leider nicht getestet und ich kenne es leider auch nicht :-( (Es kann aber gut sein, dass wir hier die Möglichkeit dafür haben, d.h. dass wir hier eine Testumgebung haben. Ich werde morgen fragen.) Bis jetzt gab es keinen Bedarf dafür, da kaum jemand das Plug-In einsetzt, da OJS-Benutzer meistens von überall kommen. Wie viele OJS-Benutzer aus HU erwartet/habt ihr, die man über LDAP authentifizieren könnte? Wie ist das Verhältnis zu den anderen, die nur einen lokalen Account hätten? Viele Grüße, Bozana Bokan
	Profile
Written on: 02. 02. 2011 [14:46]
nfromm Intermediate Topic creator registered since: 28.01.2011 Posts: 3	Hallo, zunächst Danke für die Antworten, wir werden intern mal überlegen ob wir Kapazitäten haben, da jemanden zum programmieren ran zu setzen. Es wäre sicher nicht nur für uns schön, wenn man in der Richtung mehr Funktionalität hätte - wir können das in der jetzigen Form nicht einsetzen. Wir haben in unserem zentralen LDAP ca. 35k Mitarbeiter und Studenten, so viele nutzen mit Sicherheit nicht OJS, aber für Personen, die bereits einen Account an der HU haben, wäre es natürlich schön den gleichen Accountnamen und Passwort bei OJS zu haben wie überall an der Uni sonst auch. Das war auch der Grund, warum ich mir das überhaupt angesehen habe. Aber natürlich beschränkt sich der Kreis der OJS-Benutzer gerade nicht auf die HU, es sollen ja möglicherweise auch externe Gutachter teilnehmen und in unserem speziellen Fall haben wir mehrere Projekte mit externen Partnern zum Aufbau von Zeitschriften mittels OJS. Die haben ja auch kein Account bei uns (und werden auch nie einen bekommen). Und es ist auch keine Möglichkeit, diese Nutzer bei uns in den LDAP mit einzutragen, da an diesem LDAP-Server alle möglichen Dienste hängen zur Authentifizierung. Daher meine Frage ob es Pläne in die Richtung gibt: LDAP-OJS parallel oder mehrere LDAP-Server. Dann könnten die Anmeldungen von HU-Angehörigen über den zentralen LDAP, für alle anderen User entweder über einen eigenen LDAP-Server oder eben über die OJS-Datenbank abgewickelt werden. Zahlen kann ich jetzt spontan nicht nennen, es ist im Moment sicher noch in der Größenordnung, das man einen LDAP-Server wirklich bräuchte, aber wir hoffen ja das es sich entwickelt. ;) Mit freundlichen Grüßen Niels Fromm
	Profile
Written on: 02. 02. 2011 [17:48]
fgrandel Florian Grandel Moderator registered since: 24.11.2009 Posts: 65	Hallo Niels, nfromm schrieb: Es wäre sicher nicht nur für uns schön, wenn man in der Richtung mehr Funktionalität hätte. Das ist richtig! Viele Teile des Systems wurden auf diese Weise von Community-Mitgliedern aus aller Welt entwickelt. Wir unterstützen das von unserer Seite so aktiv wie möglich. Die DFG unterhält übrigens ein Förderprogramm, das die Umstellung von Zeitschriften auf elektronische Formate unterstützt. Dabei können insbesondere auch Ausgaben für die Anpassung von eJournal-Software für die eigene Nachnutzung gefördert werden. Meines Wissens werden bis zu 5000 EUR der Kosten übernommen. Verbindlichere Informationen dazu gibt es auf der Webseite der DFG. Da OJS inzwischen in sehr vielen Universitäten und anderen Einrichtungen in Deutschland eingesetzt wird, ist die Bereitschaft der DFG generell gegeben, OJS zu unterstützen, wie am Projekt OJS.de der FU zu sehen ist. nfromm schrieb: Daher meine Frage ob es Pläne in die Richtung gibt: LDAP-OJS parallel oder mehrere LDAP-Server. Es gibt von unserer Seite derzeit keine Pläne das LDAP-PlugIn zu erweitern, da dies für unsere eigenen Förderer im Moment kein Thema ist. Wir sind aber gerne bereit, die Entwicklungsarbeit zu begleiten und den fertigen Code in unsere Codebasis aufzunehmen und dort weiter zu unterhalten. Viele Grüße, Florian Grandel Software-Entwickler Public Knowledge Project (PKP) http://pkp.sfu.ca/people#fg jerico.dev(at)gmail[dot]com
	Profile