LDAP (Lightweight Directory Access Protocol) is een internetstandaard die toegang biedt tot gegevens in verschillende computersystemen en toepassingen. LDAP maakt gebruik van een set protocollen om toegang te krijgen gegevensmappen en om gegevens op te halen. Een map of directory is vergelijkbaar met een database, maar bevat gegevens die meer beschrijvend zijn en die op kenmerken zijn gebaseerd. De gegevens in een map worden doorgaans meer gelezen dan weggeschreven of gewijzigd. Een toepassing kan met behulp van LDAP, indien uitgevoerd op het computerplatform van een school, gegevens ophalen zoals gebruikersnamen en wachtwoorden.

Door dit type gegevens centraal op te slaan, is er maar één beheerpunt en werkt alles dus eenvoudiger. De gebruikersgegevens bevinden zich op één locatie, waardoor er geen opslag wordt verspild aan dubbele gegevens. Dit betekent weer dat er minder onderhoud nodig is. LDAP-verificatie stelt gebruikers bovendien in staat om met één aanmeldingsnaam en -wachtwoord toegang te krijgen tot verschillende toepassingen.

Meer informatie over het maken van verificatieproviders


Waarom kiezen voor LDAPS (Secure LDAP)?

Deze methode biedt extra beveiliging ten opzichte van gewone, niet-gecodeerde LDAP, en kan worden vereist door sommige netwerkbeheerders of door bepaalde LDAP-servertechnologieën, of wanneer de LDAP-server zich op een externe site bevindt zonder een privé-verbinding.

Een algemene aanbeveling is dat je LDAPS gebruikt tenzij je zeker weet dat de Learn-toepassing een niet-gerouteerde privé-verbinding heeft met de LDAP-server. In dit geval is de kans erg klein dat iemand het niet-gecodeerde LDAP-verkeer tussen de servers kan onderscheppen en is codering niet nodig.

LDAPS-vereisten

Als de LDAP-server SSL gebruikt (LDAPS), heb je een commercieel ondertekend certificaat nodig om er zeker van te zijn dat de verificatie lukt.

Blackboard Learn SaaS-implementaties bieden geen ondersteuning voor zelfondertekende certificaten. Je moet een commercieel ondertekend certificaat gebruiken.

Hierdoor kan de LDAP-client (de Learn-toepassing) de geldigheid van het servercertificaat controleren dat wordt aangeboden door de LDAP-server wanneer deze probeert de LDAPS-verbinding tot stand te brengen. Anders mislukt de TLS-handshake, is er geen LDAP-binding en mislukt de verificatie.


Een LDAP-provider configureren

  1. Geef een waarde op voor URL van LDAP-server, bijvoorbeeld ldaps://directory.example.edu:636. Als de LDAP-server SSL gebruikt (LDAPS), heb je een commercieel ondertekend certificaat nodig om er zeker van te zijn dat de verificatie lukt.
  2. Stel SSL gebruiken eventueel in op Nee. De standaardwaarde is Ja. Een algemene aanbeveling is dat je LDAPS gebruikt tenzij je zeker weet dat de Learn-toepassing een niet-gerouteerde privé-verbinding heeft met de LDAP-server. In dit geval is de kans erg klein dat iemand het niet-gecodeerde LDAP-verkeer tussen de servers kan onderscheppen en is codering niet nodig.
  3. Geef een waarde op voor Basis-DN voor zoeken, het beginpunt in de LDAP-mappenstructuur voor het zoeken naar een Learn-gebruiker. De substructuur wordt vanaf dit punt doorzocht, bijvoorbeeld dc=personen,dc=voorbeeld,dc=edu. Je kunt twee volledig afzonderlijke LDAP-providers maken en configureren met verschillende basis-DN's voor zoeken die naar dezelfde fysieke LDAP-server verwijzen. Dit is bijvoorbeeld een mogelijkheid als je de belasting van de LDAP-server wilt verlagen door te 'vertakken' naar education.blackboard.com, en de LDAP-provider alleen te laten zoeken in dc=personen,dc=educatie, dc=voorbeeld,dc=edu in plaats van de hele structuur.

    Je kunt verschillende LDAP-providers met dezelfde waarde voor Basis-DN voor zoeken toevoegen die naar verschillende fysieke servers wijzen. Als de ene LDAP-server niet reageert, wordt de volgende server bevraagd. Meer informatie over de volgorde van providers

  4. Geef een waarde op voor Search Attribute, het LDAP-kenmerk met de waarde die overeenkomt met de waarde voor Gebruikersnaam of Batch-UID van Learn die zijn ingesteld in de stap Provider maken. Deze eigenschap is domeinspecifiek. Voor Active Directory (AD) wordt meestal de eigenschap sAMAccountName gebruikt en voor Novell uid. Voor Active Directory is het zo dat de meeste clients integreren door sAMAccountName te gebruiken voor Kenmerk zoeken. Deze naam wordt gekoppeld aan de oude stijl (voor Windows 2000) aanmeldingsnaam met een maximum van 20 tekens. De domeinbeheerder van AD kan bevestigen of dit het juiste kenmerk is of dat je userPrincipalName kunt of moet gebruiken.

    Sommige LDAP-servers, zoals Active Directory, vereisen een bevoegde gebruiker om verbinding te maken met de map. De LDAP-provider vereist de Distinguished Name (DN) en het wachtwoord voor de gebruiker. De twee gebruikelijke opties om verbinding te maken als een bevoegde gebruiker zijn:

    • Een nieuwe gebruiker maken binnen de map. Geef deze gebruiker vervolgens alleen leestoegang en gebruik dit gebruikersaccount als de bevoegde gebruiker.
    • Een bestaande mapgebruiker gebruiken als de bevoegde gebruiker.

    Dit account moet toegang hebben tot de LDAP-server voor elke gebruiker die probeert zich aan te melden bij Blackboard. Het wordt aangeraden om de opties Gebruiker kan wachtwoord niet wijzigen en Wachtwoord verloopt nooit in te schakelen.

    Dit wordt een serviceaccount genoemd en daarom gebruikt de LDAP-beheerder misschien een speciale locatie in de map voor deze typen accounts.

    Gebruik bij het instellen van het account een eenvoudig wachtwoord en kies pas voor een sterk wachtwoord als je zeker weet dat de configuratie werkt. Je vergroot de kans op problemen door speciale tekens zoals # en @ te gebruiken.

  5. Je kunt ook nog deze instellingen opgeven, maar dat is niet verplicht:
    • Stel Zoeken via gebruiker met bevoegdheden in op Ja. De standaardwaarde is Nee. Bij het zoeken naar de FDN van de gebruiker die moet worden geverifieerd, wordt de LDAP-provider via een bevoegde (opgegeven) gebruiker verbonden met de LDAP-server.
    • Geef een waarde op voor DN van gebruiker met bevoegdheden. Als Zoeken via gebruiker met bevoegdheden is ingesteld op Ja, moet je dit opgeven. Bijvoorbeeld: cn=BlackboardLDAP,ou=Special Users, dc= voorbeeld,dc=edu of BlackboardLDAP@voorbeeld.edu
    • Geef een waarde op voor Het wachtwoord van de gebruiker met bevoegdheden. Als Zoeken via gebruiker met bevoegdheden is ingesteld op Ja, moet je dit opgeven. Dit is het wachtwoord van de gebruiker in DN van gebruiker met bevoegdheden.
  6. Geef eventueel waarden op bij Geavanceerde instellingen.
    • Time-out verbinding is standaard ingesteld op 60000. De tijd in milliseconden die moet worden gewacht voordat een LDAP-aanvraag wordt geannuleerd.
    • Stel Niet meer verwijzen naar aliassen in op Altijd, Bezig met zoeken of Zoeken. De standaardwaarde is Nooit. Deze eigenschap bepaalt hoe de verwijzing naar aliassen tijdens zoekopdrachten ongedaan wordt gemaakt.
      • Nooit: de verwijzing naar aliassen nooit ongedaan maken.
      • Altijd: de verwijzing naar aliassen altijd ongedaan maken.
      • Bezig met zoeken: de verwijzing naar aliassen alleen ongedaan maken tijdens naamomzetting, dus terwijl de doelvermelding wordt gezocht.
      • Zoeken: de verwijzing naar aliassen ongedaan maken zodra de naamomzetting is voltooid, dus nadat de doelvermelding is gevonden.
    • Stel Doorverwijzingen in op Volgen of Activeren. De standaardwaarde is Negeren. Deze eigenschap bepaalt hoe doorverwijzingen worden afgehandeld door de provider.
      • Negeren: doorverwijzingen in resultaten negeren.
      • Volgen: doorverwijzingen automatisch volgen.
      • Activeren: een Java ReferralException activeren voor elke doorverwijzing. Dit levert een foutconditie op.
    • Laat Doorverwijzingslimiet staan op 5, de standaardwaarde. Deze eigenschap bepaalt het maximum aantal doorverwijzingen dat mag worden gevolgd. Een waarde van nul is niet toegestaan. Je kunt deze eigenschap alleen instellen als de eigenschap Doorverwijzingen is ingesteld op Volgen of Activeren.
  7. Selecteer Verzenden om de configuratie op te slaan.

    Wijzig de status van de nieuwe verificatieprovider nog niet in Actief, maar selecteer eerst Verbindingsinstellingen testen in het contextmenu om te controleren of de configuratie werkt zoals verwacht.