{"id":7397,"date":"2020-05-20T10:04:40","date_gmt":"2020-05-20T08:04:40","guid":{"rendered":"https:\/\/churchtools.academy\/?post_type=docs&#038;p=7397"},"modified":"2026-02-12T15:06:07","modified_gmt":"2026-02-12T14:06:07","password":"","slug":"ldap-service","status":"publish","type":"docs","link":"https:\/\/churchtools.academy\/de\/help\/system-einstellungen\/ldap-login-systemeinstellungen\/ldap-service\/","title":{"rendered":"LDAP-Service"},"content":{"rendered":"\n<p>Der ChurchTools LDAP-Service arbeitet als <a href=\"http:\/\/de.wikipedia.org\/wiki\/Lightweight_Directory_Access_Protocol\" target=\"_blank\" rel=\"noopener\">LDAP-Server<\/a> und stellt s\u00e4mtliche Personen und Gruppen per LDAP-Zugriff zur Verf\u00fcgung.&nbsp;<\/p>\n\n\n\n<p>Alternativ dazu kann&nbsp;ChurchTools auch die Benutzer&nbsp;gegen einen vorhandenen LDAP-Server authentifizieren. Mehr dazu siehe <a href=\"https:\/\/churchtools.academy\/help\/verwaltung\/ldap\/0-ldap-integration\/\" data-type=\"docs\" data-id=\"7396\">LDAP-Integration<\/a>.<\/p>\n\n\n\n<p>Sehr viele Software mit Benutzerrechten etc. k\u00f6nnen LDAP zur Authentifizierung&nbsp;(Pr\u00fcfen auf g\u00fcltigen Benutzernamen und Passwort) sowie Autorisierung (welche Rechte)&nbsp;benutzen. So kann \u00fcber ChurchTools die weitere Softwareverwendung gesteuert werden. Es gibt also nur noch EIN Passwort f\u00fcr alles!&nbsp;<\/p>\n\n\n\n<p>Z. B. k\u00f6nnte man so die Firewall einer Gemeinde so konfigurieren, dass sobald eine Person in ChurchTools die Gruppe &#8222;Grafik&#8220; erh\u00e4lt, die Person sich per <a href=\"http:\/\/de.wikipedia.org\/wiki\/Virtual_Private_Network\" target=\"_blank\" rel=\"noopener\">VPN<\/a> in die Gemeinde einw\u00e4hlen und auf das entsprechende Netzlaufwerk zugreifen kann. <\/p>\n\n\n\n<p>Was jetzt schon gut funktioniert: Die Verbindung mit NextCloud. NextCloud zieht dann \u00fcber LDAP alle Gruppen und stellt auch fest, wenn ich in einer Gruppe bin. Pro Gruppe kann dann z. B. ein Shared-Ordner erstellt werden, der so automatisch mir zur Verf\u00fcgung steht, wenn ich z. B. im Technikteam bin.<\/p>\n\n\n\n<p>F\u00fcr NextCloud siehe <span style=\"background-color: #f2f4f6;\"><a href=\"https:\/\/churchtools.academy\/help\/verwaltung\/ldap\/0-anbindung-von-nextcloud-an-den-churchtools-login\/\" data-type=\"docs\" data-id=\"7247\">Anbindung von Nextcloud an den ChurchTools-Login<\/a><\/span><\/p>\n\n\n\n<p>F\u00fcr OwnCloud siehe <span style=\"background-color: #f2f4f6;\"><a href=\"https:\/\/churchtools.academy\/help\/verwaltung\/ldap\/0-einrichten-von-owncloud\/\" data-type=\"docs\" data-id=\"7326\">Einrichten von OwnCloud<\/a><\/span><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Einrichtung<\/h2>\n\n\n\n<p>Der LDAP-Service kann direkt in den Lizenzeinstellungen von ChurchTools gebucht werden.<\/p>\n\n\n\n<p>Im n\u00e4chsten Schritt legst du einen User mit folgenden Daten und Berechtigungen in eurem ChurchTools an:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>E-Mail-Adresse:&nbsp;<a href=\"mailto:ldap@churchtools.de\">ldap@churchtools.de<\/a><\/strong><\/li>\n\n\n\n<li><strong>Berechtigungen: <\/strong><em>Berechtigungen verwalten (administer persons)<\/em><strong>, <\/strong><em>&#8222;Personen&#8220; sehen (view)<\/em><strong>, <\/strong><em>&#8222;Gruppen&#8220; sehen (view)<\/em><\/li>\n<\/ul>\n\n\n\n<p>Das Recht&nbsp;<strong>Administer Persons<\/strong>&nbsp;ist f\u00fcr den LDAP-User zwingend notwendig, da&nbsp;der LDAP-Dienst aktuell eine spezielle ChurchTools-Schnittstelle nutzt, die _ALLE_ Personen und Gruppen abruft und \u00fcber das Recht &#8222;Administer Persons&#8220; abgesichert ist. Daher funktioniert der LDAP-Service momentan nicht ohne dieses Recht.<\/p>\n\n\n\n<p>F\u00fcr den User muss ein\u00a0<strong>Passwort<\/strong>\u00a0gesetzt werden, das\u00a0ist sp\u00e4ter das Passwort f\u00fcr die Benutzung des LDAP-Service. Das Passwort darfst du uns NICHT mitteilen, es muss nur gesetzt sein und du musst dich mit diesem User und dem Passwort einmal einloggen (ggf. Best\u00e4tigung der Vertraulichkeitsvereinbarung).<\/p>\n\n\n\n<p>Wenn dies geschehen ist, schickst du eine kurze Nachricht \u00fcber https:\/\/contact.church.tools und wir richten den LDAP-Service f\u00fcr euer ChurchTools ein.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Testen<\/h2>\n\n\n\n<p>Nun kann der LDAP-Server getestet werden, z. B. mit dem Befehl:<\/p>\n\n\n\n<p><span class=\"s1\"><code>ldapsearch -H ldaps:\/\/ldap.church.tools:636 -x -w &lt;LDAP-Passwort&gt; -D cn=root,ou=users,o=&lt;subdomain&gt; -LLL -b ou=users,o=&lt;subdomain&gt;<\/code><\/span><\/p>\n\n\n\n<p class=\"p1\"><span class=\"s1\">Dieser gibt alle Personen in ChurchTools aus.<\/span><\/p>\n\n\n\n<p class=\"p1\">Optionen von ldapsearch:<\/p>\n\n\n\n<p class=\"p1\">-H: Hostname, dieser ist beim LDAP-Service immer <code><span class=\"s1\">ldaps:\/\/ldap.church.tools:636<\/span><\/code><\/p>\n\n\n\n<p class=\"p1\"><span class=\"s1\">-x: Authentifizierung mit Passwort (simple authentication)<\/span><\/p>\n\n\n\n<p class=\"p1\"><span class=\"s1\">-w: das LDAP-Passwort, welches f\u00fcr den User <a href=\"mailto:ldap@churchtools.de\">ldap@churchtools.de<\/a> gesetzt worden war (siehe oben &#8222;Einrichtung&#8220;)<\/span><\/p>\n\n\n\n<p class=\"p1\"><span class=\"s1\">-D: der User, \u00fcber den die LDAP-Abfrage laufen soll. Hier als DN (distinguished name) immer <code>cn=root,ou=users,o=&lt;subdomain&gt;<\/code> verwenden<\/span><\/p>\n\n\n\n<p class=\"p1\"><span class=\"s1\">-LLL: alle Kommentare in der Ausgabe von ldapsearch unterdr\u00fccken (kann auch weggelassen werden)<\/span><\/p>\n\n\n\n<p class=\"p1\"><span class=\"s1\">-b: der Base-DN, also die Basis des Suchbaumes. Hier kann entweder nach Personen gesucht werden (<code>-b ou=users,o=&lt;subdomain&gt;<\/code>), nach Gruppen (<code>-b ou=groups,o=&lt;subdomain&gt;<\/code>), oder nach beidem (<code>-b o=&lt;subdomain&gt;<\/code>). Als <code>&lt;subdomain&gt;<\/code> ist immer der ChurchTools-Subdomain-Name einzusetzen, also z. B. o=ldaptest .<\/span><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Schema<\/h3>\n\n\n\n<p>Als CN wird der Benutzername der jeweiligen Person ausgelesen (CDB_PERSON.CMSUSERID).&nbsp;<\/p>\n\n\n\n<p>Der Baum f\u00fcr User ist dann: cn=&lt;cmsuserid&gt;, ou=users, o=&lt;subdomain&gt;<\/p>\n\n\n\n<p><code>dn: cn=mustermax,ou=users,o=ldaptest, &nbsp; <\/code><br><code>attributes: {<\/code><br><code> &nbsp; &nbsp; cn: mustermax,<\/code><br><code> &nbsp; &nbsp; displayname: Max Mustermann,<\/code><br><code> &nbsp; &nbsp; id: 42,<\/code><br><code> &nbsp; &nbsp; uid: mustermax,<\/code><br><code> &nbsp; &nbsp; nsuniqueid: u42,<\/code><br><code> &nbsp; &nbsp; givenname: Max,<\/code><br><code> &nbsp; &nbsp; street: Mustergasse 1,<\/code><br><code> &nbsp; &nbsp; telephoneNumber: 0123456789,<\/code><br><code> &nbsp; &nbsp; postalCode: 12345,<\/code><br><code> &nbsp; &nbsp; l: Musterstadt,<\/code><br><code> &nbsp; &nbsp; sn: Mustermann,<\/code><br><code> &nbsp; &nbsp; email: mustermax@gmail.com,<\/code><br><code> &nbsp; &nbsp; mail: mustermax@gmail.com,<\/code><br><code> &nbsp; &nbsp; objectclass: CTPerson &nbsp; <\/code><br><code>}<\/code><\/p>\n\n\n\n<p>Der Baum f\u00fcr Gruppen: cn=&lt;Name der Gruppe&gt;, ou=groups, o=&lt;subdomain&gt;<\/p>\n\n\n\n<p><code>dn: cn=Technik,ou=groups,o=ldaptest, <\/code><br><code>attributes: {<\/code><br><code> cn: Technik,<\/code><br><code> displayname: Technik,<\/code><br><code> nsuniqueid: g17,<\/code><br><code> objectclass: 'CTGruppe'+Gruppentyp, z.B. 'CTGruppeDienst'<\/code><br><code> uniquemember: members[IDs] \/\/ Array of dns <\/code><br><code>}<\/code><\/p>\n\n\n\n<p>Wie zu erkennen ist, wird die Gruppenzugeh\u00f6rigkeit auch mit angegeben und zwar durch das Attribut &#8222;uniquemember&#8220;.<\/p>\n\n\n\n<aside class=\"wp-block-group ct-artikel-zum-weiterlesen has-background is-layout-constrained wp-container-core-group-is-layout-89fd719a wp-block-group-is-layout-constrained\" style=\"border-radius:8px;background-color:#f9fafb;margin-top:24px;margin-bottom:24px;padding-top:32px;padding-right:24px;padding-bottom:32px;padding-left:24px\">\n<h2 class=\"wp-block-heading has-medium-font-size\">Artikel zum Weiterlesen<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/churchtools.academy\/de\/help\/verwaltung\/ldap\/0-ldap-integration\/\" data-type=\"docs\" data-id=\"7396\">LDAP-Integration<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/churchtools.academy\/de\/help\/verwaltung\/ldap\/0-ldap\/\" data-type=\"docs\" data-id=\"7394\">\u00dcberblick LDAP<\/a><\/li>\n<\/ul>\n<\/aside>\n","protected":false},"excerpt":{"rendered":"<p>Der ChurchTools LDAP-Service arbeitet als LDAP-Server und stellt s\u00e4mtliche Personen und Gruppen per LDAP-Zugriff zur Verf\u00fcgung.&nbsp; Alternativ dazu kann&nbsp;ChurchTools auch die Benutzer&nbsp;gegen einen vorhandenen LDAP-Server authentifizieren. Mehr dazu siehe LDAP-Integration. Sehr viele Software mit Benutzerrechten etc. k\u00f6nnen LDAP zur Authentifizierung&nbsp;(Pr\u00fcfen auf g\u00fcltigen Benutzernamen und Passwort) sowie Autorisierung (welche Rechte)&nbsp;benutzen. So kann \u00fcber ChurchTools die weitere [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_acf_changed":false,"footnotes":""},"doc_category":[545],"doc_tag":[268],"knowledge_base":[346],"class_list":["post-7397","docs","type-docs","status-publish","hentry","doc_category-ldap-login-systemeinstellungen","doc_tag-inhalt-veraltet","knowledge_base-system-einstellungen"],"pp_statuses_selecting_workflow":false,"pp_workflow_action":"current","pp_status_selection":"publish","acf":[],"year_month":"2026-04","word_count":695,"total_views":"2985","reactions":{"happy":"0","normal":"0","sad":"0"},"author_info":{"name":"Hans-Helge B\u00fcrger","author_nicename":"hhbuerger","author_url":"https:\/\/churchtools.academy\/de\/author\/hhbuerger\/"},"doc_category_info":[{"term_name":"LDAP","term_url":"https:\/\/churchtools.academy\/de\/help\/system-einstellungen\/ldap-login-systemeinstellungen\/"}],"doc_tag_info":[{"term_name":"Inhalt veraltet","term_url":"https:\/\/churchtools.academy\/de\/docs-tag\/inhalt-veraltet\/"}],"knowledge_base_info":[{"term_name":"System-Einstellungen","term_url":"https:\/\/churchtools.academy\/de\/help\/system-einstellungen\/","term_slug":"system-einstellungen"}],"knowledge_base_slug":["system-einstellungen"],"_links":{"self":[{"href":"https:\/\/churchtools.academy\/de\/wp-json\/wp\/v2\/docs\/7397","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/churchtools.academy\/de\/wp-json\/wp\/v2\/docs"}],"about":[{"href":"https:\/\/churchtools.academy\/de\/wp-json\/wp\/v2\/types\/docs"}],"author":[{"embeddable":true,"href":"https:\/\/churchtools.academy\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/churchtools.academy\/de\/wp-json\/wp\/v2\/comments?post=7397"}],"version-history":[{"count":10,"href":"https:\/\/churchtools.academy\/de\/wp-json\/wp\/v2\/docs\/7397\/revisions"}],"predecessor-version":[{"id":48273,"href":"https:\/\/churchtools.academy\/de\/wp-json\/wp\/v2\/docs\/7397\/revisions\/48273"}],"wp:attachment":[{"href":"https:\/\/churchtools.academy\/de\/wp-json\/wp\/v2\/media?parent=7397"}],"wp:term":[{"taxonomy":"doc_category","embeddable":true,"href":"https:\/\/churchtools.academy\/de\/wp-json\/wp\/v2\/doc_category?post=7397"},{"taxonomy":"doc_tag","embeddable":true,"href":"https:\/\/churchtools.academy\/de\/wp-json\/wp\/v2\/doc_tag?post=7397"},{"taxonomy":"knowledge_base","embeddable":true,"href":"https:\/\/churchtools.academy\/de\/wp-json\/wp\/v2\/knowledge_base?post=7397"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}