Gebruik van LDAP voor webtoepassingen

Als je een toepassing ontwikkelt die toegang tot afgeschermde LDAP attributen nodig heeft, moet je dit aanvragen.

Waarom aanvragen?

Onze LDAP server (ldaps.UGent.be) bevat heel wat informatie die beschikbaar is voor iedereen, zoals naam, e-mailadres en eventueel telefoonnummer. Anonieme toegang (zonder loginnaam en wachtwoord) is beperkt tot attributen die typisch in adresboektoepassingen gebruikt worden. Andere informatie is niet publiek beschikbaar en kan enkel door geregistreerde toepassingen gebruikt worden.

Om te registreren geef je door tot welke LDAP attribuutgroepen uw toepassing toegang dient te hebben. Op basis hiervan wordt een applicatie-id aangemaakt die gebruikt wordt om de verbinding met ldap te leggen en waarin jouw permissies worden vastgelegd.

LDAP attribuutgroepen

Attributen die leesbaar zijn voor toepassingen zijn opgedeeld in groepen. Attribuutgroepen worden ingedeeld volgens privacyniveau. Consulteer de lijst van actuele attribuutgroepen.

PUBLIC attribuutgroepen zijn zichtbaar voor iedereen.
Voor de CONTROLLED en RESTRICTED attribuutgroepen is een ldap applicatie-id noodzakelijk.
RESTRICTED attribuutgroepen zijn privacygevoelig, voor de rest zijn ze gelijk aan CONTROLLED.

LDAP applicatie-id

Je krijgt een applicatie-id (applicatie-dn) waarmee je een authenticated bind kunt maken met UGentLDAP en toegang heeft tot de toegestane attributen/attribuutgroepen.

Bij de applicatie-id hoort een wachtwoord. Het wachtwoord moet worden ingesteld.

> Applicaties
> uw applicatie 
> reset password

Hoe aanvragen?

Stuur mail naar ldapadm@ugent.be met volgende gegevens:

Een omschrijving van de toepassing.
Een verantwoordelijke voor de toepassing. Dit moet een UGent personeelslid zijn. Deze persoon wordt o.a. gecontacteerd als er structurele wijzigingen zijn.
Een lijst van de attribuutgroepen waartoe de toepassing toegang moet hebben.
Een motivatie/beschrijving van het gebruik voor de RESTRICTED groepen indien je deze nodig hebt.
Bijvoorbeeld: omdat ik het thuisadres van de personeelsleden in mijn vakgroep wil gebruiken om de woon-werk afstand te berekenen

Hoe de LDAP aanspreken?

De LDAP-server is enkel binnen het UGent-domein beschikbaar. Om de UGent LDAP service te kunnen benaderen, moet je dus aangesloten zijn op het UGentNet (in de gebouwen van UGent of via een VPN-verbinding).

De UGentLDAP service is bereikbaar:

via de url: ldaps://ldaps.ugent.be
in parametervorm:
- host: ldaps.ugent.be
- port: 636
- protocol: LDAPS (LDAP+SSL)

De algemeen gebruikt authenticatie mechanismen voor LDAP zijn:

Simple bind
SASL (Simple Authentication and Security Layer)

Op UGent LDAP wordt enkel Simple bind aangeboden.

Opgelet: sommige clients, zoals het unix ldapsearch commando, gebruiken standaard SASL. Om simple bind te selecteren moet je de -x optie gebruiken. (ldapsearch -x)

ICT Helpdesk

Gebruik van LDAP voor webtoepassingen

Waarom aanvragen?

LDAP attribuutgroepen

LDAP applicatie-id

Hoe aanvragen?

Hoe de LDAP aanspreken?

Account & wachtwoord

E-mail

UGentNet

Software