Authentifizierung mit LDAP

Typo3-LDAP-Besuchergruppe einrichten / Typo3-LDAP-Server konfigurieren

Für zugriffsgeschützte Webseiten, die z.B. nur für die Institutsmitarbeiter und nicht für alle Mitglieder der TUHH freigeschaltet werden sollen, muss die Zugriffsbeschränkung vom Typo3-Redakteur vorbereitet werden. Die zentralen Vereinbarungen greifen in diesem Fall nicht (siehe hierzu: Einrichtung eines TUHH-Intranets).

Es wird eine Typo3-Besuchergruppe konfiguriert, deren Mitglieder sich gegen den TUHH-LDAP-Verzeichnisdienst authentifizieren müssen. Die Mitgliedschaft zu dieser Besuchergruppe wird durch einen LDAP-Filter-Ausdruck festgelegt. Diese Konfiguration nennt Typo3 "LDAP-Server".

Der Begriff LDAP-Server wurde so aus Typo3 für die nachfolgenden Erläuterungen übernommen, auch wenn er ziemlich missverständlich ist.

Die Einrichtung einer Typo3-LDAP-Besuchergruppe erfolgt nach folgendem Schema:
  1. Einen SysFolder anlegen, z.B. "LDAP-Authentication". Dieser SysFolder ist für die LDAP-Server und die LDAP-Benutzergruppen vorgesehen. Dieser Folder sollte auch für die temporären Webseitenbesucher gewählt werden, die sich eingeloggt haben. Der Name des SysFolder kann frei gewählt werden.
  2. In LDAP-Authentication eine Website usergroup anlegen und benennen, z.B. Grouptitle = "CMS-LDAP-Group":
    LDAP-Server --> New --> Website usergroup
    
    Die ID dieser Website usergroup wird im nächsten Schritt gebraucht.
  3. In LDAP-Authentication einen LDAP-Server anlegen mit
    LDAP-Server --> New --> server
    
    In die nachfolgende Eingabemaske werden die Daten für die LDAP-Suche eingetragen:
    Beispiel:
    ldapname : CMS-LDAP-TUHH (Name kann frei gewählt werden)
    adress   : ldaps://ldap.rz.tu-harburg.de:636
    dn       : ou=RZ,ou=Organization,dc=tu-harburg,dc=de
    groupid  : die ID von "CMS-LDAP-Group"
    

    Der Eintrag in der Zeile dn wird entsprechend der Syntax für LDAP-URLs aufgebaut nach der allgemeinen Vorschrift:

    dn?attributes?scope?filter?extensions
    dn = Distinguished Name 
        (das ist alles in dem nachfolgenden Beispielen bis 
         zum ersten ?)
    
    Beispiele: 
    ou=RZ,ou=Organization,dc=tu-harburg,dc=de???(|(uid=rztk*)(uid=rztm*))
    ou=People,dc=tu-harburg,dc=de???(|(uid=rztmbr)(uid=sett0561))
    
    Wichtig: Der LDAP-Filterausdruck (hinter den 3 Fragezeichen) muss in Klammern stehen.
    Die Bestandteile "attributes", "scope" und "extensions" werden z.Z. nicht berücksichtigt. Ausgewertet werden nur die Filterangaben in "filter".
    LDAP Konzepte und Architektur LDAP Filter Übersicht über die TUHH-Leitzeichen und Bereiche
  4. Mit "Save" wird der LDAP-Server angelegt und im oben angegeben SysFolder abgelegt. Dieser Server kann nun bei der Konfiguration passwortgeschützter Seiten eingesetzt werden.

Mehr zum Einrichten von passwortgeschützten Seiten: Einrichtung eines TUHH-Intranets.

Die nachfolgende Grafik zeigt das Ergebnis dieses Kapitels mit "List --> LDAP-Authentication":