Authentifizierung am Active Directory

Wenn Sie eine Anwendung betreiben (z.B. eine Laborwiki), bei der Sie die Anmeldung mittels Hochschulaccounts ermöglichen wollen - und sich somit die Pflege einer eigenen Accountdatenbank und Passwörtern sparen können - so können Sie dies mit Hilfe von LDAP oder Kerberos anbieten.

Hierzu sind folgende Parameter anzugeben (je nach Anwendung können einige auch optional sein), abc12345 ist durch den Accountnamen zu ersetzen:

Zum Test können Sie auf einem Linux den ldapsearch-Befehl verwenden:

ldapsearch -H 'ldaps://adldap.hs-regensburg.de' -b 'DC=hs-regensburg,DC=de' -D 'abc12345@hs-regensburg.de' -W -z 0 -LLL -E pr=1000/noprompt samAccountName=abc12345

Je nach System ist in der /etc/openldap/ldap.conf einzutragen:

TLS_REQCERT allow
sasl_secprops maxssf=0

Anmerkung: Die Zeile „sasl_secprops maxssf=0“ hat beim Domain Join mit realmd/sssd (realm join HS-REGENSBURG.DE -U <username>) unter Ubuntu 20.04 zu folgendem Fehler geführt:

adcl: couldn't connect to hs-regensburg.de domain: Couldn't authenticate to active directory: SASL(-7): invalid parameter supplied: Unable to find a callback: 32775
! Insufficient permissions to join the domain

Ohne den Parameter war ein erfolgreicher Join möglich.

Sollte Ihre Anwendung mit Hilfe von „mit-krb5“ bzw. „heimdal“ Kerberos unterstützen (z.B. diverse Tomcat-Applikationen), so benötigt die /etc/krb5.conf folgendes:

[libdefaults]
default_realm = HS-REGENSBURG.DE
clockskew = 300
ticket_lifetime = 36000