Wenn Sie eine Anwendung betreiben (z.B. eine Laborwiki), bei der Sie die Anmeldung mittels Hochschulaccounts ermöglichen wollen - und sich somit die Pflege einer eigenen Accountdatenbank und Passwörtern sparen können - so können Sie dies mit Hilfe von LDAP oder Kerberos anbieten.
Hierzu sind folgende Parameter anzugeben (je nach Anwendung können einige auch optional sein), abc12345 ist durch den Accountnamen zu ersetzen:
| URL | ldaps://adldap.hs-regensburg.de/ |
| Server | adldap.hs-regensburg.de |
| Port | 636 |
| Base DN | dc=hs-regensburg,dc=de |
| Bind DN | abc12345@hs-regensburg.de |
| Search filter | samAccountName=abc12345 |
Zum Test können Sie auf einem Linux den ldapsearch-Befehl verwenden:
ldapsearch -H 'ldaps://adldap.hs-regensburg.de' -b 'DC=hs-regensburg,DC=de' -D 'abc12345@hs-regensburg.de' -W -z 0 -LLL -E pr=1000/noprompt samAccountName=abc12345
Je nach System ist in der /etc/openldap/ldap.conf einzutragen:
TLS_REQCERT allow sasl_secprops maxssf=0
Anmerkung: Die Zeile „sasl_secprops maxssf=0“ hat beim Domain Join mit realmd/sssd (realm join HS-REGENSBURG.DE -U <username>) unter Ubuntu 20.04 zu folgendem Fehler geführt:
adcl: couldn't connect to hs-regensburg.de domain: Couldn't authenticate to active directory: SASL(-7): invalid parameter supplied: Unable to find a callback: 32775 ! Insufficient permissions to join the domain
Ohne den Parameter war ein erfolgreicher Join möglich.
Sollte Ihre Anwendung mit Hilfe von „mit-krb5“ bzw. „heimdal“ Kerberos unterstützen (z.B. diverse Tomcat-Applikationen), so benötigt die /etc/krb5.conf folgendes:
[libdefaults] default_realm = HS-REGENSBURG.DE clockskew = 300 ticket_lifetime = 36000