Erstmal: k.a. in welche Kategorie meine Frage gehört.
Prinzipielle Vorgehensweise bei 2fa ist mir klar und funktioniert schon mit ner android app. Jetzt geht’s drum, das unter die Leute zu bringen.
Wie gewährleistet ihr, dass alle totp aktiviert haben? Kann man das irgendwo im System kontrollieren?
Was macht man mit den Leuten ohne ein mobiles gerät? Gibt es (guenstige) alternativen?
Ein otp-Programm auf dem selben gerät, auf dem man die nextcloud besucht, ist irgendwie unlogisch.
Wahrscheinlich funktionieren alle apps. Aber gibt es irgendwelche Empfehlungen für android und iOS?
LG wolfgang
Hallo,
das ist prinzipiell nicht so einfach, die Leute zu zwingen.
Seit NC 15 kann man das für Benutzergruppen erzwingen, dass 2FA genutzt wird. Allerdings kommen die dann nicht mehr rein, weil du eine Henne-Ei Situation schaffst: Die Benutzer brauchen einen Zweiten Faktor, haben aber noch keinen…
https://www.bitblokes.de/nextcloud-15-zweifaktor-authentifizierung-2fa-erzwingen/
Als Administrator kann man auf der CLI einen solchen, einmal gültigen 2. Faktor erzeugen, den müsstest du dann aber austeilen 
Ich habe da mal was programmiert… Zu betrachten dort:
https://wolke.semtue.de/register2fa/
Dort kann man sich an seine dienstliche Mailadresse einen einmal gültigen Code schicken lassen, mit dem kommt man dann rein und kann sich die 2FA App einrichten. Das Skript merkt sich auch, wer schon eine Mail bekommen hat und schickt nicht nochmal.
Bei Interesse kann ich den Code mal aufräumen und das in ein Repo tun. Damit das für die SuS klappt, brauchen die aber eine Schulmailadresse.
VG
Frank
1 „Gefällt mir“
Hallo,
Jein. 2FA verhindert dann immer noch, dass ein Angreifer in - sagen wir Afrika… - nur mit deinem Passwort und deinem Benutzer in die Cloud kommt. Er braucht halt deinen Computer. KeepassXC kann auch TOTP Codes erzeugen. Allerdings sollte man die Secrets der Token natürlich nicht im selben Vault wie die Passwörter aufbewahren. Dazu haben die auch was aufgschrieben: Documentation and FAQ – KeePassXC
Für die Erzeugung auf Android verwende ich inzwischen AndOTP. https://play.google.com/store/apps/details?id=org.shadowice.flocke.andotp das ist FOSS, gibts auch bei FDroid und man kann die Secrets exportieren und getrennt sichern.
Für IOs bin ich zu arm 
LG
Frank
hallo Frank,
danke für deine Hinweise und dein skript.
da ich aber nur noch ministrant bin und kein admin mehr, bin ich am überlegen, ob ich einfach eine frist setze und und danach vom dienstleister dicht machen lasse.
was hier natürlich für mich interessant wäre, ob es eine möglichkeit gibt, fest zu stellen, wer totp noch nicht aktiviert hat. dann könnte man die gezielt ansprechen.
lg
wolfgang
Hallo Wolfgang
Alle Benutzernamen deiner NC auflisten:
sudo -u www-data php occ user:list | awk -F: '{print $1}' | sed -e s/[-," "]//g
2FA Status eines Benutzers anzeigen:
sudo -u www-data php occ twofactor:state <uid>
Zusammen:
for u in $(sudo -u www-data php occ user:list | awk -F: '{print $1}' | sed -e s/[-," "]//g); do echo Benutzer "$u:"; sudo -u www-data php occ twofactor:state $u; done
VG
Frank
danke frank.
das probier ich in meiner cloud, wo ich noch admin bin aus.
lg
wolfgang