Jitsi mit Authentifizierung über LDAP

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
Artim
Beiträge: 86
Registriert: 22.11.2019 11:33:28

Jitsi mit Authentifizierung über LDAP

Beitrag von Artim » 01.05.2020 17:01:04

Ich bin aktuell dabei uns eine komplette Jitsi-Instanz inklusive eigener Videobridge und eigenem TURN Server aufzusetzen. Allerdings möchte ich, dass nicht jeder einen Raum erstellen kann. Da wir einen OpenLDAP Server haben, würde ich dieses Recht gerne darüber verwalten. Das Problem ist nun die Anbindung. Über saslauthd bin ich bisher gescheitert, da kam dann nur beim Test dass es nicht geklaptt hätte, im Log findet sich die Meldung

Code: Alles auswählen

Mai 01 15:55:31 www saslauthd[14026]: ldapdb
Mai 01 15:55:31 www saslauthd[14026]: _sasl_plugin_load failed on sasl_canonuser_init
Mai 01 15:55:31 www saslauthd[14026]: Authentication failed for ich: Group member check failed (-4)
Mai 01 15:55:31 www saslauthd[14026]:                 : auth failure: [user=ich] [service=imap] [realm=] [mech=ldap] [reason=Unknown]
Da ich dazu wenig hilfreiches finden konnte, außer dass Cyrus Sachen generell schlecht dokumentiert sind, wollte ich es über Prosody Module Versuchen. Aber die scheinen noch weniger Hilfreich zu sein. Ich kann zwar eine Kombination aus mod_auth_ldap2.lua und ldap.lib.lua nutzen, aber da herauszufinden, wie was zu konfigurieren ist, ist ein Krampf. Handelt es sich jetzt nun um eine Anonyme Abfrage? Wenn nein, wo kann man einen Nutzernamen und ein Passwort hinterlegen? Und was genau wird verstanden wenn die Rede ist von "LDAP filter expression that matches users"?

Bei saslauthd bin ich zumindest der Überzeugung, dass die Konfiguration so ähnlich aussehen muss, da es hier auch schon in einem anderen Thread so erfolg hatte:

Code: Alles auswählen

ldap_servers: ldaps://auth.domain.de:636/
ldap_search_base: dc=domain,dc=de
ldap_filter: (uid=%u)
ldap_version: 3
ldap_auth_method: bind
ldap_bind_dn: cn=user,dc=domain,dc=de
ldap_bind_pw: s3cr37
ldap_group_attr: memberUid
ldap_group_search_base: ou=groups,dc=domain,dc=de
#ldap_group_dn: ou=groups,dc=domain,dc=de
ldap_group_filter: (memberUid=%D)
ldap_group_scope: sub
ldap_group_match_method: filter
ldap_mech: PLAIN
Am liebsten wäre mir natürlich wenn eine Abfrage anonym ablaufen könnte, so wie es hauptsächlich vorgesehen ist, aber das scheint mindestens genauso wenig zu funktionieren.
Was ich im Grunde in der config sagen will ist, dass Nutzer, deren dn "cn=people,dc=domain,dc=de" enthält, über den Nutzernamen, welcher dem Eintrag uid entspricht, gefunden werden. Idealfall wäre noch, wenn ich sagen könnte, Mitglied welcher Gruppe sie sein müssten um als Admins geführt werden, aber mehr als den Ansatz oben bekomme ich dazu nicht zusammen. Die Gruppen-dn enthält "ou=groups,dc=domain,dc=de", der Gruppenname steht in cn, die Nutzernamen werden als memberUid gelistet.

Hat sowas schon mal jemand eingerichtet und kann sagen, wie das aussehen müsste?

WinLin
Beiträge: 18
Registriert: 26.08.2019 15:48:52

Re: Jitsi mit Authentifizierung über LDAP

Beitrag von WinLin » 02.05.2020 07:46:28

Hallo Artim,

bei der Lösung über LDAP kann ich dir leider nicht helfen, aber eine Lösung über Prosody anbieten.
Ist in 10 Min. eingerichtet und läuft (bei mir) tadellos.

Gruß
WinLin

Artim
Beiträge: 86
Registriert: 22.11.2019 11:33:28

Re: Jitsi mit Authentifizierung über LDAP

Beitrag von Artim » 02.05.2020 09:40:09

Dass es über Prosody möglich ist weiß ich auch, aber es ist vollkommen unpraktikabel das für dutzende Nutzer einzurichten

Antworten