====== Authentifizierung am Active Directory ======
Wenn Sie eine Anwendung betreiben (z.B. eine Laborwiki), bei der Sie die Anmeldung mittels Hochschulaccounts ermöglichen wollen - und sich somit die Pflege einer eigenen Accountdatenbank und Passwörtern sparen können - so können Sie dies mit Hilfe von LDAP oder Kerberos anbieten.
{{INLINETOC}}
===== Authentifizierung per LDAP =====

Hierzu sind folgende Parameter anzugeben (je nach Anwendung können einige auch optional sein), abc12345 ist durch den Accountnamen zu ersetzen:

| URL | ''[[ldaps://adldap.hs-regensburg.de/]]'' |
| Server | ''adldap.hs-regensburg.de'' |
| Port | ''636'' |
| Base DN | ''dc=hs-regensburg,dc=de'' |
| Bind DN | ''abc12345@hs-regensburg.de'' |
| Search filter | ''samAccountName=abc12345'' |

== Problembehebung ==

Zum Test können Sie auf einem Linux den ''ldapsearch''-Befehl verwenden:

<code>
ldapsearch -H 'ldaps://adldap.hs-regensburg.de' -b 'DC=hs-regensburg,DC=de' -D 'abc12345@hs-regensburg.de' -W -z 0 -LLL -E pr=1000/noprompt samAccountName=abc12345
</code>

Je nach System ist in der ''/etc/openldap/ldap.conf'' einzutragen:
<code>
TLS_REQCERT allow
sasl_secprops maxssf=0
</code>

Anmerkung: Die Zeile "sasl_secprops maxssf=0" hat beim Domain Join mit realmd/sssd (realm join HS-REGENSBURG.DE -U <username>) unter Ubuntu 20.04 zu folgendem Fehler geführt:
<code>
adcl: couldn't connect to hs-regensburg.de domain: Couldn't authenticate to active directory: SASL(-7): invalid parameter supplied: Unable to find a callback: 32775
! Insufficient permissions to join the domain
</code>
Ohne den Parameter war ein erfolgreicher Join möglich.

===== Authentifizierung per Kerberos =====

Sollte Ihre Anwendung mit Hilfe von "mit-krb5" bzw. "heimdal" Kerberos unterstützen (z.B. diverse Tomcat-Applikationen), so benötigt die ''/etc/krb5.conf'' folgendes:
<code ini>
[libdefaults]
default_realm = HS-REGENSBURG.DE
clockskew = 300
ticket_lifetime = 36000
</code>