LDAP (Lightweight Directory Access Protocol) is een internetstandaard die toegang biedt tot gegevens in verschillende computersystemen en toepassingen. LDAP maakt gebruik van een set protocollen om toegang te krijgen tot gegevensmappen en om gegevens op te halen. Een map of directory is vergelijkbaar met een database, maar bevat gegevens die meer beschrijvend zijn en die op kenmerken zijn gebaseerd. De gegevens in een map worden doorgaans meer gelezen dan weggeschreven of gewijzigd. Een toepassing kan met behulp van LDAP, indien uitgevoerd op het computerplatform van een school, gegevens ophalen zoals gebruikersnamen en wachtwoorden.

Door dit type gegevens centraal op te slaan, is er maar één beheerpunt en werkt alles dus eenvoudiger. De gebruikersgegevens bevinden zich op één locatie, waardoor er geen opslag wordt verspild aan dubbele gegevens. Dit betekent weer dat er minder onderhoud nodig is. LDAP-verificatie stelt gebruikers bovendien in staat om met één aanmeldingsnaam en -wachtwoord toegang te krijgen tot verschillende toepassingen.

Meer informatie over het maken van verificatieproviders

Over LDAPS en LDAP met StartTLS

Met eerdere versies van Learn kon platte LDAP toegevoegd worden zonder versleuteling ("NoSSL.") Vanaf 3900.84 kunnen nieuwe "NoSSL."-providers niet meer worden gemaakt en hoewel bestaande providers blijven werken, is het nadat ze zijn bijgewerkt naar LDAPS/StartTLS niet mogelijk om deze terug te wijzigen naar NoSSL. Anthology adviseert klanten die NoSSL nog gebruiken om snel te migreren naar een veilige configuratie.

De oorspronkelijke versie van LDAP dateert uit de jaren 80 en ondersteunt geen verbindingsbeveiliging. LDAPS was de eerste poging om iets te koppelen dat toen nog 'SSL' werd genoemd (vandaag: TLS.) LDAPS maakt gebruik van een speciale alleen-beveiligde poort. Voor het instellen van de verbinding moet de juiste poort worden gebruikt, afhankelijk van of deze veilig of onveilig is. Dit werd in de loop der tijd minder relevant toen het gebruik van onveilige connectiviteit afnam.

LDAPS is nooit formeel gestandaardiseerd. De IETF standaardiseerde ‘LDAP met versleuteling’ via een compleet andere benadering in RFC 2830 met behulp van StartTLS. In deze volgorde luistert de LDAP-server nog maar naar één poort. De LDAP-client maakt zonder beveiliging verbinding, verstuurt vervolgens een ‘STARTLS’-opdracht en de LDAP-server en client onderhandelen over de TLS.

De keuze voor LDAPS of StartTLS moet door elke instelling worden gemaakt op basis van de behoeften en wat wordt ondersteund door je mappenserver of andere architecturale overwegingen. Als er een keuze kan worden gemaakt, krijgt StartTLS over het algemeen de voorkeur omdat deze standaard werd gebruikt door IETF en nieuwer is. Sommige beveiligingsexperts beschouwen LDAPS als verouderd en vinden dat de kwaliteit ervan aanzienlijk afgenomen is door de verspreiding van RFC 2830, maar er is geen uniforme consensus.

Beveiligingsvereisten

Je hebt een commercieel ondertekend certificaat nodig met een volledige vertrouwensketen van een certificeringsinstantie die wordt vertrouwd door de Java 11-standaard ‘CACerts’-keystore, anders mislukt de verbinding. Je kunt geen aanvullende certificaten installeren in de keystores. Zelfondertekende certificaten worden niet ondersteund.

Je certificeringsinstantie (CA) ondertekent je certificaat meestal niet met het zeer vertrouwde rootcertificaat, maar als tussenliggend certificaat dat zelf is ondertekend door deze root. Deze tussenliggende moet samen met het servercertificaat worden verzonden omdat de aanwezigheid ervan vereist is om de verificatieketen naar een basis van vertrouwen te voltooien. Dit gebeurt meestal door de tussenliggende certificaten toe te voegen aan het servercertificaat. Raadpleeg voor meer informatie de documentatie voor je LDAP-mappenserver en die van de uitgever van je certificaten.

  • De LDAP-mappenserver en alle middleboxes moeten ondersteuning bieden voor coderingssuites die worden geaccepteerd door Java 11 en hoger. Bijvoorbeeld: TLS 1.0 wordt niet meer ondersteund.
  • De LDAP-mappenserver en alle middleboxes moeten inkomende verbindingen van de IP-adressen van SaaS voor je regio accepteren. Neem voor deze informatie contact op met Blackboard Support.

Een LDAP-provider configureren

  1. Geef je LDAP server-URL op, bijvoorbeeld ldaps://directory.example.edu:636 voor LDAPS of ldap://directory.example.edu:389 voor LDAP met StartTLS.
  2. Stel de SSL-versie in op StartTLS of LDAPS.

  3. Geef een waarde op voor Basis-DN voor zoeken, het beginpunt in de LDAP-mappenstructuur voor het zoeken naar een Learn-gebruiker. De substructuur wordt vanaf dit punt doorzocht, bijvoorbeeld dc=personen,dc=voorbeeld,dc=edu. Je kunt twee volledig afzonderlijke LDAP-providers maken en configureren met verschillende basis-DN's voor zoeken die naar dezelfde fysieke LDAP-server verwijzen. Dit is bijvoorbeeld een mogelijkheid als je de belasting van de LDAP-server wilt verlagen door te 'vertakken' naar education.blackboard.com, en de LDAP-provider alleen te laten zoeken in dc=personen,dc=educatie, dc=voorbeeld,dc=edu in plaats van de hele structuur.

    Je kunt verschillende LDAP-providers met dezelfde waarde voor Basis-DN voor zoeken toevoegen die naar verschillende fysieke servers wijzen. Als de ene LDAP-server niet reageert, wordt de volgende server bevraagd. Meer informatie over de volgorde van providers

  4. Geef een waarde op voor Search Attribute, het LDAP-kenmerk met de waarde die overeenkomt met de waarde voor Gebruikersnaam of Batch-UID van Learn die zijn ingesteld in de stap Provider maken. Deze eigenschap is domeinspecifiek. Voor Active Directory (AD) wordt meestal de eigenschap sAMAccountName gebruikt en voor Novell uid. Voor Active Directory is het zo dat de meeste clients integreren door sAMAccountName te gebruiken voor Kenmerk zoeken. Deze naam wordt gekoppeld aan de oude stijl (voor Windows 2000) aanmeldingsnaam met een maximum van 20 tekens. De domeinbeheerder van AD kan bevestigen of dit het juiste kenmerk is of dat je userPrincipalName kunt of moet gebruiken.

    Sommige LDAP-servers, zoals Active Directory, vereisen een bevoegde gebruiker om verbinding te maken met de map. De LDAP-provider vereist de Distinguished Name (DN) en het wachtwoord voor de gebruiker. De twee gebruikelijke opties om verbinding te maken als een bevoegde gebruiker zijn:

    • Een nieuwe gebruiker maken binnen de map. Geef deze gebruiker vervolgens alleen leestoegang en gebruik dit gebruikersaccount als de bevoegde gebruiker.
    • Een bestaande mapgebruiker gebruiken als de bevoegde gebruiker.

    Dit account moet toegang hebben tot de LDAP-server voor elke gebruiker die probeert zich aan te melden bij Blackboard. Het wordt aangeraden om de opties Gebruiker kan wachtwoord niet wijzigen en Wachtwoord verloopt nooit in te schakelen.

    Dit wordt een serviceaccount genoemd en daarom gebruikt de LDAP-beheerder misschien een speciale locatie in de map voor deze typen accounts.

    Gebruik bij het instellen van het account een eenvoudig wachtwoord en kies pas voor een sterk wachtwoord als je zeker weet dat de configuratie werkt. Je vergroot de kans op problemen door speciale tekens zoals # en @ te gebruiken.

  5. Je kunt ook nog deze instellingen opgeven, maar dat is niet verplicht:
    • Stel Zoeken via gebruiker met bevoegdheden in op Ja. De standaardwaarde is Nee. Bij het zoeken naar de FDN van de gebruiker die moet worden geverifieerd, wordt de LDAP-provider via een bevoegde (opgegeven) gebruiker verbonden met de LDAP-server.
    • Geef een waarde op voor DN van gebruiker met bevoegdheden. Als Zoeken via gebruiker met bevoegdheden is ingesteld op Ja, moet je dit opgeven. Bijvoorbeeld: cn=BlackboardLDAP,ou=Special Users, dc= voorbeeld,dc=edu of BlackboardLDAP@voorbeeld.edu
    • Geef een waarde op voor Het wachtwoord van de gebruiker met bevoegdheden. Als Zoeken via gebruiker met bevoegdheden is ingesteld op Ja, moet je dit opgeven. Dit is het wachtwoord van de gebruiker in DN van gebruiker met bevoegdheden.
  6. Geef eventueel waarden op bij Geavanceerde instellingen.
    • Time-out verbinding vereist een minimum van 15000 milliseconden. De tijd in milliseconden die moet worden gewacht voordat een LDAP-aanvraag wordt geannuleerd.
    • Stel Niet meer verwijzen naar aliassen in op Altijd, Bezig met zoeken of Zoeken. De standaardwaarde is Nooit. Deze eigenschap bepaalt hoe de verwijzing naar aliassen tijdens zoekopdrachten ongedaan wordt gemaakt.
      • Nooit: de verwijzing naar aliassen nooit ongedaan maken.
      • Altijd: de verwijzing naar aliassen altijd ongedaan maken.
      • Bezig met zoeken: de verwijzing naar aliassen alleen ongedaan maken tijdens naamomzetting, dus terwijl de doelvermelding wordt gezocht.
      • Zoeken: de verwijzing naar aliassen ongedaan maken zodra de naamomzetting is voltooid, dus nadat de doelvermelding is gevonden.
    • Stel Doorverwijzingen in op Volgen of Activeren. De standaardwaarde is Negeren. Deze eigenschap bepaalt hoe doorverwijzingen worden afgehandeld door de provider.
      • Negeren: doorverwijzingen in resultaten negeren.
      • Volgen: doorverwijzingen automatisch volgen.
      • Activeren: een Java ReferralException activeren voor elke doorverwijzing. Dit levert een foutconditie op.
    • Laat Doorverwijzingslimiet staan op 5, de standaardwaarde. Deze eigenschap bepaalt het maximum aantal doorverwijzingen dat mag worden gevolgd. Een waarde van nul is niet toegestaan. Je kunt deze eigenschap alleen instellen als de eigenschap Doorverwijzingen is ingesteld op Volgen of Activeren.

  7. Selecteer Verzenden om de configuratie op te slaan.

    Wijzig de status van de nieuwe verificatieprovider nog niet in Actief, maar selecteer eerst Verbindingsinstellingen testen in het contextmenu om te controleren of de configuratie werkt zoals verwacht.