Humboldt-Universität zu Berlin - Web-Support der HU

LDAP-Anbindung

Zugriffsrechte können in Plone sehr differenziert vergeben werden.
Wer keine zusätzlichen Logins einrichten möchte, kann für seine Nutzer auch die vom CMS zentral vergebenen Accounts wiederverwenden. Dazu wird eine Anbindung an den zentralen HU-LDAP benötigt.
Für jede Einrichtung wird dazu ein gesonderter LDAP-Zweig angelegt, z.B. zopebio. Dieser Zweig kann entweder über ein externes LDAP-Verwaltungstool oder über Plone direkt gefüllt werden.

1. Einrichtung der LDAP-Anbindung

  • Melden Sie sich als Administrator in Ihrer Instanz an.
  • Wechseln Sie in die "Plone Konfiguration" (über das Menü am Seitenfuß)
  • Wechseln Sie weiter ins "Zope Management Interface"
  • Wählen Sie den User folder (acl_users)
  • Wählen Sie "sources tab" und fügen Sie als neue Quelle einen LDAPUserFolder hinzu
  • Die Felder sind wie folgt zu füllen:
    • Title: Nutzer
    • Login Name Attribute: uid
    • User ID Attribute: uid
    • RDN Attribute: Canonical Name
    • Users Base DN: ou=users,ou=Benutzerverwaltung,ou=Computer- und Medienservice,o=Humboldt-Universitaet zu Berlin,c=DE
    • Group storage: Groups stored on LDAP server
    • Groups Base DN: ou=groups,ou=zope<INSTANZ_NAME>,ou=Services,ou=Computer- und Medienservice,o=Humboldt-Universitaet zu Berlin,c=de
    • Manager DN: cn=admin,ou=Zope,ou=Multimediaservice,ou=Computer- und Medienservice,o=Humboldt-Universitaet zu Berlin,c=de
    • Manager DN Usage: Always
    • User object classes: cmsAccount
    • User password encryption: crypt
    • Default User Roles: Anonymous
    • Scope: SUBTREE
    • Password: Das erfahren Sie nach Absprache von uns ;-)
    • Server host, IP or socket path: ldapmaster.cms.hu-berlin.de
    • Server port: 636
    • Protocol: LDAP over SSL
    • Connection Timeout: 5 seconds
    • Operation Timeout: no timeout

Grundsätzlich müssen Sie nun folgende Schritte tun: a) Zope-Rollen anlegen, b) LDAP-Gruppen anlegen, c) je eine LDAP-Gruppe einer Zope-Rolle zuweisen d) LDAP-User den LDAP-Gruppen zuweisen e) einer Gruppe die Rechte an einem Ordner zuweisen

  1. Einrichten von Zope-Rollen
    Gehen Sie zurück in den User Folder (acl_users):
    Wählen Sie jetzt "groups tab".
    Kreieren Sie eine Gruppe, z.B. "bearbeiter_xy"
    Wählen Sie die neue Gruppe durch Klick darauf aus und weisen Sie ihr die Rolle Member zu.
  2. Einrichten von LDAP-Gruppen und zuweisen zu den Zope-Rollen
    Gehen Sie zurück in den User Folder (/acl_users):
    Wählen Sie "sources tab".
    Wählen Sie Ihren angelegten LDAPUserFolder durch Klick auf den Schriftzug LDAPUserFolder.
    Wählen Sie auch hier den Tab "Groups".
    Richten Sie mindestens zwei Gruppen ein, eine für die Administratoren und eine für die Redakteure.
    (Add LDAP group -> Name: Redakteure, Object class: groupOfUniqueNames -> Add)
    Hinweis: Es empfiehlt sich, für jede Aufgabe bzw. jedes Verzeichnis, z.B. Pflege des KVV, eine Gruppe anzulegen.
    Weisen Sie jeder angelegten Gruppe eine Zope-Rolle zu, indem Sie ganz unten in "Map LDAP Group" die LDAP-Gruppe und rechts daneben unter "to Zope Role" die gewünschte Rolle wählen und die Zuordnung mir "Add" bestätigen.
  3. Einrichten von Nutzern
    Jeder in den LDAP eingetragene Account (=Nutzer) kann nun einer oder mehreren Gruppen zugeordnet werden.
    Wechseln Sie dazu in den Users-Tab am Seitenkopf.
    Suchen Sie den entsprechenden Nutzer, indem Sie seinen Namen in das Suchfeld eintragen.
    Es erscheinen als Suchergebnis die dem Nutzer zugeordneten Accounts. Wählen Sie den gewünschten Account aus.
    Klicken Sie auf den Link zu den Account-Angaben und kreuzen Sie die die Gruppen an, denen der Nutzer zugeordnet werden soll.
    Bestätigen Sie die Änderungen mit "Change groups".
  4. Festlegen der Rechte einer Gruppe an einem bestimmten Ordner
    Wechseln Sie in den Ordner Ihrer Instanz, für den Sie Zugriffsrechte festlegen möchten.
    Wählen Sie im Aktionsmenü (grün hinterlegt am Seitenanfang) den Tab "Zugriffsrechte".
    Im oberen Teil der Seite finden Sie die bereits zugewiesenen Rechte an diesem Ordner:
    Im unteren Teil können Sie neue Rechte definieren.
    Weisen Sie Ihrer angelegten Gruppe nun die gewünschten Rechte zu, z.B.: Manager, Mitglied, Besitzer, Redakteur
    Das bedeutet, dass diese Gruppe in diesem Ordner und den Unterordnern, nicht aber übergeordneten oder parallelen Ordnern, Änderungen vornehmen darf.

Weitere Informationen auf der GRUF-Homepage
Anfragen bzgl. LDAP-Anbindung an web-support@cms.hu-berlin.de