Gruppe für alle Schüler im AD

Hallo,

im Nextcloud möchte ich das Teilen für alle Schüler verbieten. Das ist mit Nextcloud kein Problem, da man das anhand einer Gruppenzugehörigkeit einstellen kann.

Nun gibt es für alle Lehrer die AD Gruppe „teachers“, welche mir alle Lehrer auflistet.

Für Schüler gibt es die Gruppe „students“ welche aber nicht einzelne User beinhaltet, sondern nur die Klassen. Und in den Klassen sind auch Mitglieder der Gruppe „teachers“, wenn diese sich in Klassen eingeschrieben haben. Das bringt mir also nichts.

Es wäre also dringend eine Gruppe benötigt, in der alle Schüler aufgelistet sind, und nur Schüler.

Danke und viele Grüße
Klaus

Mal ins blaue ohne es getestet zu haben: role-student?

Hallo Stephan

danke, hatte ich auch gedacht. Aber die Gruppe kann ich mit meinem Nextcloud Filter nicht sehen. Unter objectclass=group ist diese nicht da.

Viele Grüße
Klaus

Hallo Klaus,
ldapsearch wirft mir bei Nutzung von
'(&(!(sophomorixAdminClass=attic))(|(sophomorixRole=student)))'
nur die Schüler raus. Hilft das nicht weiter?
VG,
Michael

Hallo Michael,

vielen Dank für den Hinweis!
Aber ich denke deine Lösung ist der Benutzerfilter. Ich brauche aber eine Gruppe welche alle und ausschließlich Schüler enthält.

Viele Grüße
Klaus

Hallo zusammen,

erstmal danke an alle fürs Mitdenken!

role-student war richtig, nur im LDAP Filter der Nextcloud nicht sichtbar.

Hier der Gruppenfilter im Nextcloud, bei dem man meinen möchte, das das schon so passt:

(&(|(objectclass=group))(!(|(cn=attic)(cn=wificlass)))(|(cn=teachers)(cn=role-student)(|(memberof=CN=students,OU=Students,OU=default-school,OU=SCHOOLS,DC=fzi,DC=lan)(|(sophomorixType=project)))))

Würde er eigentlich auch, nur daß unter den „Fortgeschritten“ Einstellungen der LDAP Konfiguration im Nextcloud unter Basis-Gruppenbaum der Filter OU=SCHOOLS,DC=fzi,DC=lan eingetragen war. Stimmt eigentlich auch, aber damit bekommt man die Gruppe role-student nicht, da diese im Gruppenbaum OU=GLOBAL,DC=fzi,DC=lan ist.

Generell ist dieser Filter so brauchbar. Für eine zukünftige Konfiguration für mehrere Schule auf einem Server, funktioniert role-student dann nicht, wenn man die Schulen trennen möchte.

@cweikl
Chris, wir hatten das Setup in der offiziellen Dokumentation beschrieben. Könntest Du den Filter in der Doku und die erwähnten Punkte vielleicht anpassen? Danke!

Viele Grüße
Klaus

EDIT:
Nachdem ich das jetzt so in die Nextcloud implementiert habe stelle ich fest, daß die Schüler immer noch teilen können. Grund dafür ist, daß die Nextcloud Konfiguration unter Einstellungen - Teilen - [x] Gruppen von Freigaben ausschließen so funktioniert, daß man alle Gruppen eines Benutzers dort auflisten muß. Da jeder Schüler auch in einer Klasse ist müsste ich jedes Jahr hier alle Klassen neu eintragen.

Hallo Klaus,
was davon sollten wir aus Deiner Sicht in die Doku bringen ?
VG
Chris

Hallo Chris,

super wäre im Menü unter „Externe Dienste“ an allgemeiner Teil zum
AD/LDAP - dort findet man ja schon Beispiele für Moodle und NExtcloud.

Man könnte ganz kurz der LDAP-Baum erklären, dann was zum
Global-Binduser und ein paar Ldapsearch-Beispiele (wie zum Beispiel
hier:
https://wiki.linuxmuster.net/community/anwenderwiki:scripting:ldapsearch).

Dort könnte dann auch was zu den Gruppen stehen und insbesondere zur
Gruppe role-stundent.

Beste Grüße

Jörg

Hallo Chris,

ich kann nur für meine Erfahrungen sprechen, aber hier die Dinge die mir aufgefallen sind.

Aktivierung eingebundener Gruppen ist nur dann nötig, wenn man im Gruppenfilter cn=students verwendet. Denn cn=students beinhaltet nur Gruppen und keine Benutzer. Auch Lehrer sind in der Gruppe cn=students, wenn diese sich in Klassen eingeschrieben haben.
Besser ist also, wenn ich nur die Gruppe mit Schülern will, die Verwendung von cn=role-student. Zumindest im Moment, wenn ich mit dem Server nur eine Schule betreibe, da cn=role-student sich im GLOBAL Teil des AD befindet und somit für alle Schüler gilt, welche im AD sind, unabhängig von der Schule.
Wenn cn=role-student verwendet wird, muß man in Nextcloud in den „Fortgeschritten“ Einstellungen der LDAP Konfiguration den Gruppenbaum wie oben beschrieben anpassen, sonst sieht man cn=role-student nicht.

Danke und viele Grüße
Klaus

Hallo Klaus,
danke für die Infos. Ich habe die Doku zur Anbindung der Nextcloud entsprecht angepasst. Prüfe doch bitte nochmals, ob das so stimmt.
VG
Chris

Hallo Jörg,
das ist eine sehr gute Idee, bei der ich noch nicht ganz sicher bin, ob oder was davon in die Doku oder ins Wiki gehört.
Als Input könnten wir Teile aus der Entwicklerdoku nehmen … Evtl. hast Du ja Vorschläge, die Du mir in Textform zukommen lassen könntest.
VG
Chris

Hallo Chris,

ich kann die Anpassung der Doku noch nicht sehen, oder finde nicht, was Du angepasst hast. Ist die Änderung eventuell noch nicht hochgeladen?

Danke und viele Grüße
Klaus

Hallo Klaus,
auf github siehst Du die Änderungen, aber read the docs hat dies noch nicht aktualisiert.
VG
Chris

Hallo Chris,

danke für die Anpassungen!

Eine Kleinigkeit vielleicht:

###############
Hint

Sollte die Gruppe der Schüler cn=role-student in den Filtereinstellungen genutzt werden, dann ist in Nextcloud bei den LDAP-Einstellungen -> Fortgeschritten als Basis-Gruppenbaum OU=GLOBAL,DC=linuxmuster,DC=lan einzutragen.
###############

Also cn=role-student ergänzen, dann ist das klarer.

Ansonsten passt alles, aus meiner Sicht.

Viele Grüße
Klaus

Hallo Klaus,
danke, dass Du es geprüft hast. Ich habe o.g. nochmals ergänzt. Sollte in den nächsten Tagen auch in den Docs erscheinen - ist schon auf github.
VG
Chris