Web-Server

aus openSUSE, der freien Wissensdatenbank

Dieser Artikel ist ziemlich kurz. Wenn Sie ihn erweitern möchten, dann freuen wir uns über ihre Hilfe. Lesen Sie bitte auch den OpenSUSE Stilleitfaden.
Wenn Sie ein wenig Beschäftigung suchen, schauen Sie sich doch einfach mal die anderen Erweiterungskandidaten an.

LDAP-Authentifizierung des DOKUWIKI am Active Directory mit SUSE11 konfigurieren

In Firmen oder Organisationen entsteht schnell der Wunsch ein eigenes Wiki zum Datenaustausch oder für Anleitungen zu betreiben.

Oft ist eine zentrale Benutzerverwaltung durch eine MS-Domäne schon vorhanden.

Um diese Benutzerauthentifizierung zu benutzen, sollten die nachfolgenden Schritte durchgeführt werden.:

Melde Dich ausnahmsweise am Rechner als root an.

Auf einem SUSE-Rechner müssen die Programme apache2, ldap_mod,php5-ldap installiert sein.

Dies kann über YAST oder in der Konsole mit

"zypper in apache2 php5-ldap ldap_mod" 

oder

"apt-get install apache2 php5-ldap ldap_mod"(bei debian)

erfolgen.

Dann muss das php5-Modul im Http-server apache2 mit

"a2enmod php5"

aktiviert werden oder in YAST über:

(YAST2 / Netzwerkdienste / HTTP-Server / Server-Module / php5 <Status wechseln> )

Das neueste Dokuwiki bitte hier downloaden Die Datei dokuwiki***.tar.gz in ein beliebiges Verzeichnis auspacken mit :

"tar xvfz dokuwiki***.tar.gz" 

Das entstandene Verzeichnis können wir jetzt umbenennen (z.B. in "wiki") und in ein HTTP-Verzeichnis kopieren oder verschieben.

"mv dokuwiki1.2.3 wiki"

z.B. "/srv/www/wiki", dann muss im Apache das Verzeichnis freigeben und der apache neugestartet werden.

in /etc/apache2/default-server.conf muss im Verzeichniseintrag

<Directory "/srv/www/htdocs">

der Eintrag

Allow from ALL

eingetragen werden(wenn sich alle Rechner mit dem wiki verbinden sollen).Der ServerNeustart erfolgt mit :

"rcapache reload"

Beim erstmaligen Aufruf (http://meinServer/wiki) geleitet Dich die install.php durch einen kurzen Konfigurationsdialog.

Dabei müssen Schreibrechte am ./wiki/data und ./wiki/conf Verzeichnis angepasst werden.

Das DOKUWIKI sollte nun mit lokaler Authentifizierung sauber laufen.

Anschließend muss die Datei /srv/www/wiki/conf/local.php zur Sicherung wegkopiert werden und anschließend deren Inhalt

gelöscht werden.

Dann fügen wir in diese Datei die folgenden Zeilen ein:

(die fetteren Einträge erfordern eigene Werte)

<?php
$conf['title'] = 'IT';
$conf['lang'] = 'de';
$conf['useacl'] = 1;
// ich mache mich mit meinem NTAccount zum Wikiadmin.
//hier den existierenden NTAccount eintragen:
$conf['superuser'] = 'meinNTAccount';
$conf['gzip_output'] = 1;
@include(DOKU_CONF.'local.protected.php');
// von js wegen ldap eingefügt ----------------------
//$conf['openregister']= 0;
// benutze die LDAP-Authentifizierung
$conf['authtype'] = 'ldap';
//$conf['allowdebug'] = 1;
//$conf['auth']['ldap']['debug'] = 1;
// mein Domänencontroller mit FQDN
// hier den eigenen Namen des Domaincontrollers eintragen:
$conf['auth']['ldap']['server'] = 'ldap://domainserver.firma.com';
//$conf['auth']['ldap']['port'] = 389;
// meine OU ;alle Benutzer die darunter gefunden werden,können sich am wiki authentifizieren
// hier den eigenen existerenden LDAPzweig eintragen :
$conf['auth']['ldap']['usertree'] = 'OU=EDV,OU=Abteilung,DC=firma,DC=com';
// Benutzer im AD mit dem Recht das LDAP zu durchsuchen,(interaktive Anmeldung für ihn verbieten!)
// hier den existierenden Hilfsbenutzer eintragen(nicht den Administrator !)
$conf['auth']['ldap']['binddn'] = 'CN=doedel,OU=EDV,OU=Abteilung,DC=firma,DC=com';
// das Domänenpasswort des Benutzers; Passwortablauf für den Benutzer doedel im AD abschalten.
$conf['auth']['ldap']['bindpw'] = 'geheim';
$conf['auth']['ldap']['userfilter'] = '(samaccountname=%{user})';
$conf['auth']['ldap']['mapping']['name'] = 'displayname';
$conf['auth']['ldap']['mapping']['grps'] = array('memberof' => '/CN=(.+?),/i');
$conf['auth']['ldap']['referrals'] = 0; # Switch referrals off for use with Active Directory
$conf['auth']['ldap']['version'] = 3;
// end auto-generated content

Danach muss der Apache wieder neugestartet werden mit:

"rcapache2 reload"

Achtung Sicherheitsrisiko: Wer diese Datei (/srv/www/wiki/conf/local.php) lesen kann , kann sich eventuell auch mit dem Account am AD anmelden!

Deshalb sollte der "dödel" möglichst wenig Rechte im ActiveDirectory haben.

js