Gebruik van LDAP voor webtoepassingen

Gebruik van LDAP voor webtoepassingen

Als u een toepassing ontwikkelt die toegang tot afgeschermde LDAP attributen vereist, dient u dit aan te vragen.

Waarom aanvragen?

Onze LDAP server (ldaps.UGent.be) bevat heel wat informatie die beschikbaar is voor iedereen, zoals naam, e-mailadres en eventueel telefoonnummer. Anonieme toegang (zonder loginnaam en wachtwoord) is beperkt tot attributen die typisch in adresboektoepassingen gebruikt worden. Andere informatie is niet publiek beschikbaar en kan enkel door geregistreerde toepassingen gebruikt worden.
Om te registreren geeft u door tot welke LDAP attribuutgroepen uw toepassing toegang dient te hebben. Op basis hiervan wordt een applicatie-id aangemaakt die gebruikt wordt om de verbinding met ldap te leggen en waarin uw permissies worden vastgelegd.

LDAP attribuutgroepen

Attributen die leesbaar zijn voor toepassingen zijn opgedeeld in groepen. Attribuutgroepen worden ingedeeld volgens privacyniveau.
Consulteer de lijst van actuele attribuutgroepen link naar beveiligde inhoud.

  • PUBLIC attribuutgroepen zijn zichtbaar voor iedereen.
  • Voor de CONTROLLED en RESTRICTED attribuutgroepen is een ldap applicatie-id noodzakelijk.
  • RESTRICTED attribuutgroepen zijn privacy-gevoelig, voor de rest zijn ze gelijk aan CONTROLLED

LDAP applicatie-id

U krijgt een applicatie-id (applicatie-dn) waarmee u een authenticated bind kunt maken met UGentLDAP en toegang heeft tot de toegestane attributen/attribuutgroepen.
Bij de applicatie-id hoort een wachtwoord. Het wachtwoord dient u in te stellen link naar beveiligde inhoud.

> Applicaties
> uw applicatie 
> reset password 

Hoe aanvragen?

Stuur mail naar ldapadm@ugent.be met de volgende gegevens:

  1. Een omschrijving van de toepassing.
  2. Een verantwoordelijke voor de toepassing. Dit moet een UGent personeelslid zijn. Deze persoon wordt o.a. gecontacteerd als er structurele wijzigingen zijn.
  3. Een lijst van de attribuutgroepen waartoe de toepassing toegang moet hebben.
  4. Een motivatie/beschrijving van het gebruik voor de RESTRICTED groepen indien u deze nodig hebt.
    Vb. omdat ik het thuisadres van de personeelsleden in mijn vakgroep wil gebruiken om de woon-werk afstand te berekenen

Hoe de LDAP aanspreken?

De UGentLDAP is toegankelijk

  1. via de url: ldaps://ldaps.ugent.be
  2. in parametervorm:
    • host: ldaps.ugent.be
    • port: 636
    • protocol: LDAPS (LDAP+SSL)

De algemeen gebruikt authenticatie mechanismen voor LDAP zijn

  • Simple bind
  • SASL (Simple Authentication and Security Layer)

Op UGent LDAP wordt enkel Simple bind aangeboden.
LET OP: Sommige clients, zoals het unix ldapsearch commando, gebruiken standaard SASL. Om simple bind te selecteren dient u de -x optie te gebruiken. (ldapsearch -x)