Anmelden ohne LDAP/AD

Anmelden ohne LDAP/AD

von Ralph Ballier -
Anzahl Antworten: 13
Nutzerbild von Besonders aktive Moodler

Hallo ihr alle,

wir benutzen zur Authentifizierung das Plugin "LDAP-Server". Es greift auf einen AD-Servers zu und funktioniert gut bei der Anmeldung unserer Kollegen und Schüler.

Demnächst wird der AD-Server für einige Tage nicht verfügbar sein. Nun dachte ich zunächst, dass man sich dann nicht mehr bei Moodle anmelden kann. Jetzt habe ich aber gesehen, dass Moodle Passwörter speichert. Also sollte doch weiterhin eine Anmeldung möglich sein, oder? Muss ich dazu das LDAP-Plugin herausnehmen?

Ich scheue mich ein wenig, selber drauflos zu experimentieren, weil man sich schnell aus Moodle ausschließen kann. Daher zur Sicherheit meine Frage hier an die Gemeinde.

Schönes Wochenende

Ralph

Mittelwert:  -
Als Antwort auf Ralph Ballier

Re: Anmelden ohne LDAP/AD

von Ralf Hilgenstock -
Nutzerbild von Besonders aktive Moodler Nutzerbild von Deutsche Moodle Übersetzer Nutzerbild von Entwickler Nutzerbild von Moodle Partner Nutzerbild von Translators
Hallo Ralph,
es hängt davon ab. wie ihr LDAP/AD nutzt. Es gibt die Möglichkeit, dass die Daten nur einmal vom LDAP Server geholt werden oder dass bei jedem Login die Daten gegenüber LDAP geprüft werden. Die letztere Variante erscheint mir besser, da die Verwaltung der Daten einfacher ist. Häufig wird auch die Passwortverwaltung in LDAP gelassen. In dem Fall kennt Moodle das Passwort nicht. Dies hat in der Regel den Vorteil, dass Nutzer für mehrere Anwendungen das gleiche Passwort nutzen und die Aktualisierungsregeln durchgesetzt werden können.
In deinem Fall ist der Nachteil, dass die Nutzer sich dann nicht einloggen können wenn LDAP nicht erfügbar ist.

LDAP und AD sind nun wahrlich nicht mein Gebiet. Bar dieser Kenntnisse würde ich folgendes überlegen:
- Umstellung aller LDAP Nutzer auf manuelle Accounts und Aufforderung ein neues Kennwort anzufordern
- wenn LDAP wieder verfügbar ist, Umstellung zurücksetzen.
Nicht schön. Vielleicht geht es besser.
Oder: nutzt die LDAP Wartungsarbeiten für Moodle- Wartungsarbeiten und macht Ferien.
Ralf
Mittelwert:  -
Als Antwort auf Ralph Ballier

Re: Anmelden ohne LDAP/AD

von Uwe Krüger -

Hallo Ralph,

wir nutzen auch LDAP mit einem Windows-Server. Um dieses Problem zu umgehen, wird der AD-Domaincontroller typischerweise redundant ausgeführt, d.h. es gibt mindestens zwei davon. So ist z.B. eine Hardwareänderung  kein Problem.

Eine mögliche Lösung könnte es nun für dich sein, einen ganz gewöhnlichen Windows-PC als zweiten DC  von deinem Windows-DomainAdmin registrieren zu lassen. Nach erfolgreicher Datenreplikation kann der ursprüngliche Rechner ohne LDAP-Schiffbruch heruntergefahren werden. Kommt die neue Hardware kann dann genauso verfahren werden. Es sind viele Modifikationen denkbar, die dir ein AD-Server-Admin erläutern kann. Es geht bis zu dem Punkt, dass du statt Windows auch Linux mit dem Paket Samba 4.x als DC für ein paar Tage sogar auf einfachster Hardware wie einem Raspi (inklusive Notfall-Akkubetrieb) einsetzen kannst.

Eine Pause wäre für mich keine Option, weil das ja auch außerplanmäßig passieren kann und alle SuS betrifft. Ralfs Lösung wäre also m.E. in erster Linie was für kleine Schulen lächelnd

Uwe

Mittelwert:  -
Als Antwort auf Uwe Krüger

Re: Anmelden ohne LDAP/AD

von Ralph Ballier -
Nutzerbild von Besonders aktive Moodler
Hallo Uwe,

vielen Dank für deinen Hinweis auf einen zweiten AD-Domaincontroller. Ich frage mal unseren Admin, wie es damit steht. Allerdings zieht die Schule in ein neues Gebäude mit neuen Servern um und er sprach nur von "Abschalten". Ich glaube also, dass es damit momentan schlecht aussieht, weil ein Systemwechsel bevorsteht.

In sofern sollte ich nach anderen Lösungen suchen. Ich habe mich also getraut, das Plugin "LDAP-Server" zu deaktivieren. Nun hatten nur noch diejenigen Benutzer Zugang, die als Authentifizierung "Manuelle Konten" eingetragen hatten. Das waren einige wenige, darunter auch der Admin.

Bei den weitaus meisten war aber "LDAP-Server" eingetragen und diese Benutzer hatten nun keinen Zugang mehr. Wenn ich aber bei einzelnen Benutzern die Methode auf "Manuelle Konten" umgestellt habe, dann hatten sie wieder Zugang. Denn das Passwort wird in Moodle gespeichert.

Also müsste ich jetzt nur bei mehreren hundert Benutzern die Authentifizierungsmethode zeitweise umstellen. Aber dafür habe ich bisher keine einfache Methode gefunden.

Ralph
Mittelwert:  -
Als Antwort auf Ralph Ballier

Re: Anmelden ohne LDAP/AD

von Ralf Hilgenstock -
Nutzerbild von Besonders aktive Moodler Nutzerbild von Deutsche Moodle Übersetzer Nutzerbild von Entwickler Nutzerbild von Moodle Partner Nutzerbild von Translators
Hallo Ralph
du kannst in der Nutzerverwaltung alle Nutzer mit der Auth-Methode LDAP filtern und dann herunterladen. Ändere in der Spalte zur Authentifizierungsmethode den Eintrag (id der manuellen Nutzer). Lade die Datei wieder hoch mit dem Hinweis, dass bestehende Datensätze aktualisiert werden sollen. Thats it.
Teste es mit ein paar Nutzern.
Ralf
Mittelwert:  -
Als Antwort auf Ralf Hilgenstock

Re: Anmelden ohne LDAP/AD

von Ralph Ballier -
Nutzerbild von Besonders aktive Moodler

Hallo Ralf,

ich habe eben ein paar Benutzer exportiert. Ich kann zwar nach der Authentifizierungsmethode filtern, ab im Download findet sich keine entsprechende Spalte.

Die Spaltenköpfe lauten:

id username email firstname lastname idnumber institution department phone1 phone2 city url icq skype aim yahoo msn country

Gruß

Ralph

Mittelwert:  -
Als Antwort auf Ralph Ballier

Re: Anmelden ohne LDAP/AD

von Ralf Hilgenstock -
Nutzerbild von Besonders aktive Moodler Nutzerbild von Deutsche Moodle Übersetzer Nutzerbild von Entwickler Nutzerbild von Moodle Partner Nutzerbild von Translators
Dann ergänz einfach die Spalte 'auth'.
Mittelwert:  -
Als Antwort auf Ralf Hilgenstock

Re: Anmelden ohne LDAP/AD

von Ralph Ballier -
Nutzerbild von Besonders aktive Moodler
Ach das geht so einfach? Vielen Dank für den Hinweis.
Mittelwert:  -
Als Antwort auf Ralph Ballier

Re: Anmelden ohne LDAP/AD

von Anton Tremetzberger -
Nutzerbild von Besonders aktive Moodler
Hallo Ralph,

noch zwei Hinweise am Rande:
a.) insofern du Zugriff auf die DB hast, kannst du die Authentifizierungsmethode auch direkt in der Datenbank ändern (jedoch auf eigene Gefahr). Funkioniert ähnlich wie beim LDAP-Sync-Plus-Plugin (siehe https://github.com/moodleuulm/moodle-auth_ldap_syncplus/blob/master/README.md)
b.) je nachdem, welche Version du verwendest: ich hab beim manuellen ändern von LDAP auf manuelle Konten und umgekehrt in der Version 3.7 ziemliche Schwierigkeiten gehabt (siehe https://moodle.org/mod/forum/discuss.php?d=389130). Ob das bei Ralfs Methode beim Import/Export auch so ist, weiß ich aber nicht.

aja, und auch hier gilt Ralfs Wortmeldung: "Teste es mit ein paar Nutzern" lächelnd

BG Anton
Mittelwert:  -
Als Antwort auf Anton Tremetzberger

Re: Anmelden ohne LDAP/AD

von Ralph Ballier -
Nutzerbild von Besonders aktive Moodler
Hallo Anton,

inzwischen habe ich mir auch überlegt, ob es nicht mit "update..." möglich ist, einfach das Feld mdl_user.auth von "ldap" auf "manual" zu ändern.
Aber ich werde es erst einmal mit wenigen Datensätzen ausprobieren.

Zu Punkt b): Das war doch, wenn ich es richtig verstanden habe, ein nicht vergleichbares Problem, weil du den Namen ändern wolltest.

Gruß
Ralph
Mittelwert:  -
Als Antwort auf Ralph Ballier

Re: Anmelden ohne LDAP/AD

von Anton Tremetzberger -
Nutzerbild von Besonders aktive Moodler
Hallo Ralph,

der Schritt mit der Änderung des Names ist natürlich ein anderes Thema. Aber wenn auch nur die Authentifizierungsmethode von LDAP auf "Manuell", bzw. danach wieder auf LDAP geändert wird, taucht das Problem schon auf.

BG Anton
Mittelwert:  -
Als Antwort auf Anton Tremetzberger

Re: Anmelden ohne LDAP/AD

von Christian Flury -

Hallo Ralph,

Ich habe keine Zeit das auzutesten aber ich vermute, die lokale Speicherung der Passwörter dient als Cache, wenn der DC aus irgendwelchen Gründen nicht erreichbar ist. Wenn das stimmen sollte, würde die Anmeldung an Moodle ohne weiteres funktionieren, wenn der DC ausser Betrieb ist.

Ich würde dir empfehlen, die Netzwerkverbindung zum DC testhalber kurz zu unterbrechen und dann ein Login vornehmen.

Gruss ... Christian

Mittelwert:  -
Als Antwort auf Christian Flury

Re: Anmelden ohne LDAP/AD

von Ralph Ballier -
Nutzerbild von Besonders aktive Moodler
Hallo Christian,

habe ich gemacht. Leider funktioniert dann die Anmeldung erst dann, wenn ich (als Moodle-Admin) die Authentifizierung explizit von "ldap" auf "manual" zurücksetze. Wenn beim Benutzer "ldap" steht, versucht Moodle den LDAP-Server zu erreichen und wenn das nicht geht, bricht Moodle ab.

Gruß
Ralph
Mittelwert:  -
Als Antwort auf Anton Tremetzberger

Re: Anmelden ohne LDAP/AD

von Ralph Ballier -
Nutzerbild von Besonders aktive Moodler
Hallo Anton,

also wir haben hier noch die Version 3.5 und alle meine bisherigen Versuche (Umstellen von "ldap" auf "manual" und umgekehrt sowie das Deaktivieren als auch das Aktivieren des LDAP-Plugins) brachten bei dem einen Testbenutzer die erwarteten Ergebnisse.

Es gibt aber eine unangenehme Überraschung: wie mir eben unser Admin mitgeteilt hat, kann er im neuen System nur Benutzerkennungen anlegen, die mit einem Buchstaben beginnen. Unsere bisherigen Schülerkennungen waren aber die fünfstelligen Schülernummern, die das Schülerverwaltungsprogramm automatisch bei der Anmeldung in der Schule vergibt. Nun haben wir ein vergleichbares Problem, wie hier schon geschildert wurde, da die LDAP-Abfragen über das neue System laufen sollen.

Mit anderen Worten: wir haben daran gedacht, dass nicht der Schülername (der sich verändern kann), sondern seine Schülernummer (die sich nicht verändert) als Kennung bei Moodle benutzt wird. Und nun müsste ausgerechnet die Schülernummer geändert werden, z. B. von 12345 auf s12345.

Mit dem von dir geschilderten Weg könnten wir notfalls die Kennungen ändern, zumal wir noch Version 3.5 verwenden. Erste Versuch waren erfolgreich, aber besser wäre, wenn unser Admin einen anderen Weg finden würde.

Gruß
Ralph
Mittelwert:  -