Springe zum Hauptinhalt
Universitätsrechenzentrum
Verzeichnisdienst LDAP
Universitätsrechenzentrum 

LDAP-Directory Service (Verzeichnisdienst)

Das URZ betreibt für die TU Chemnitz einen LDAP-Server, der als Personenverzeichnis dient. Mittels LDAP (Lightweight Directory Access Protocol) können bestimmte Daten unserer Benutzer/-innen abgefragt werden:

  • Name, Vorname
  • E-Mail-Adresse
  • dienstliche Telefon- und Faxnummer (falls vorhanden)
  • Zugehörigkeit zu Fakultät oder Einrichtung
  • Nutzerkennzeichen (nur intern)

Zum Schutz dieser Daten ist die Abfrage nur von Rechnern der TU Chemnitz erlaubt (TU-Campusnetz oder VPN).

Im Personenverzeichnis veröffentlicht werden alle Mitarbeiter. Darüber hinaus werden auch Studenten und Externe veröffentlicht, sofern diese der Veröffentlichung im IdM-Portal zugestimmt haben. Diese Zustimmung ist dort für Studenten und Externe unter Account → Privatsphäre-Einstellungen jederzeit einstellbar.

Abfragemöglichkeiten:

  • Suche nach Telefonnummern und E-Mail-Adressen im Web: - eingeschränkte Ergebnisse für Externe:
    https://www.tu-chemnitz.de/tu/personen.html
  • Suche am VoIP-Telefon: - nur innerhalb der TU Chemnitz
    Adressbuch → Personenverzeichnis
  • E-Mail-Programm: - nur innerhalb der TU Chemnitz
    Stellen Sie in Ihrem E-Mail-Programm ein:
    LDAP-Server: ldap.tu-chemnitz.de
    Port: 389 (TLS verfügbar, SSL alternativ über Port 636)
    Namens-Wurzel / Basis-DN: ou=Users,dc=tu-chemnitz,dc=de
    Suchfilter (optional): (mail=*)
  • Webmail ist bereits so eingerichtet.

Zugriff auf IDM-Gruppen

IDM-Gruppen, für die LDAP (öffentlich) im IdM-Portal als Zielsystem aktiviert wurde, können über folgende Parameter abgefragt werden:

LDAP-Server: ldap.tu-chemnitz.de
Suchbasis (Basis-DN): ou=Groups,dc=tu-chemnitz,dc=de
Suchfilter: (description=grp:GRUPPENNAME)

Die Gruppen werden sowohl als groupOfNames als auch als posixGroup veröffentlicht, sodass sie sich sowohl als Gruppen für herkömmliche LDAP-Anwendungen als auch als Nutzergruppen in Linux-Systemen eignen.

Benutzerintegration in Linux-Systemen

Wir empfehlen die Benutzung von sssd zur Benutzerintegration. Tragen Sie folgende Informationen in die Datei /etc/sssd/sssd.conf ein und starten Sie den Dienst sssd neu:

[domain/TU-CHEMNITZ]
debug_level = 1
enumerate = false
cache_credentials = false
min_id = 1000

id_provider = ldap
ldap_uri = ldaps://ldap.tu-chemnitz.de
ldap_user_search_base = ou=users,dc=tu-chemnitz,dc=de
ldap_group_search_base = ou=groups,dc=tu-chemnitz,dc=de
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt
ldap_tls_reqcert = hard

ldap_id_use_start_tls = true


auth_provider = krb5
krb5_realm = TU-CHEMNITZ.DE
krb5_server = kerberos.tu-chemnitz.de, kerberos-1.tu-chemnitz.de, kerberos-2.tu-chemnitz.de
krb5_kpasswd = kerberos-adm.tu-chemnitz.de
krb5_ccname_template = KEYRING:persistent:%{uid}

chpass_provider = none

[sssd]
domains = TU-CHEMNITZ
config_file_version = 2
debug_level = 1

Zugriff auf das Strukturverzeichnis

Im LDAP werden neben Personendaten auch alle Struktureinheiten der TU-Chemnitz gepflegt. Der Zugriff auf diese Informationen ist mit einem speziellen LDAP-Nutzer möglich, die Parameter lauten wie folgt:

LDAP-Server: ldap.tu-chemnitz.de
Suchbasis (Basis-DN): ou=Strukturverzeichnis,dc=tu-chemnitz,dc=de
Bind-DN: uid=strukturverzeichnis,ou=System,dc=tu-chemnitz,dc=de
Bind-Passwort: strukturverzeichnis