Home- und sonstige Netzwerkverzeichnisse in Nextcloud, Berechtigungen

Hallo,
wir haben eine v7 Installation und eine Nextcloud.
Bisher holt sich die Nextcloud nur per LDAP die Anmeldedaten, sonst nichts.

Ich weiß, dass manche hier die Homeverzeichnisse in der Nextcloud sichtbar machen, ich weiß aber nicht, ob das v6 oder v7 ist.

Daher meine Fragen:

  • gibt es mit v7 eine gute, sichere Möglichkeit, die Homeverzeichnisse und sonstigen Gruppenverzeichnisse (also etwa den Klassenordner) in Nextcloud sichtbar zu machen? Hat das jemand schon am laufen?
  • gibt es eine Möglichkeit, Berechtigungen fein dosiert vom LDAP auf die Nextcloud zu übertragen? Es wäre z.B. folgendes möglicherweise sinnvoll:
  • Lehrer dürfen Dateien teilen, Schüler nicht
  • Lehrer dürfen Nextcloud-Gruppen anlegen (was per se, glaube ich, nur admins dürfen, aber keinesfalls dürfen beliebige Lehrer Adminrechte bekommen!)

Oder wäre es schlauer, auf dem Client den Nextcloud Desktop Client zu installieren, der dann automatisch z.B. den Home-Ordner synchron hält? Das stelle ich mir nur etwas fummelig vor, das so voreinzustellen, dass es automatisch geht. Für Gruppenverzeichnisse ginge das vermutlich gar nicht.
Dank + Gruß,
Andreas

Hallo Andreas,

Daher meine Fragen:

  • gibt es mit v7 eine gute, sichere Möglichkeit, die Homeverzeichnisse
    und sonstigen Gruppenverzeichnisse (also etwa den Klassenordner) in
    Nextcloud sichtbar zu machen? Hat das jemand schon am laufen?

da gibt es Ansätze: soweit ich weiß hapert es aber an der Performance.

  • gibt es eine Möglichkeit, Berechtigungen fein dosiert vom LDAP auf
    die Nextcloud zu übertragen? Es wäre z.B. folgendes möglicherweise
    sinnvoll:
  • Lehrer dürfen Dateien teilen, Schüler nicht
  • Lehrer dürfen Nextcloud-Gruppen anlegen (was per se, glaube ich, nur
    admins dürfen, aber keinesfalls dürfen beliebige Lehrer Adminrechte
    bekommen!)

das weiß ich nicht.
Ich habe das Problem anders gelößt: durch das nextcloud Addon Circles
Da kann jeder seine eigenen Gruppen zusammenklicken.

LG

Holger

Hallo Andreas,

Daher meine Fragen:

  • gibt es mit v7 eine gute, sichere Möglichkeit, die
    Homeverzeichnisse und sonstigen Gruppenverzeichnisse (also etwa
    den Klassenordner) in Nextcloud sichtbar zu machen? Hat das jemand
    schon am laufen?

Wir machen das über files_external - damit können beliebige Samba-Shares
eingebunden werden. Das kann man vorgeben (Shares, die dann für alle da
sind), man kann Benutzern erlauben, eigene Shares einzubinden, man kann
aber auch das Home-Share für alle verbindlich einrichten (mit Variablen

  • etwas tricky). Wir haben das unter der lml6 laufen, ob/wer es unter 7
    laufen hat, weiß ich noch nicht.

Ich wüsste aber nicht, warum das nicht gehen sollte - im Hintergrund
wird smbclient genutzt - da sehe ichbei der 6 eher das Problem, dass da
nur SMBv1 angeboten wird und das enthaltene smbclient-Paket auch nicht
mehr das Jüngste ist…

  • gibt es eine Möglichkeit, Berechtigungen fein dosiert vom LDAP auf
    die Nextcloud zu übertragen? Es wäre z.B. folgendes möglicherweise
    sinnvoll:

So wie ich Nextcloud verstehe, hat es eine extrem Flache Hierarchie und
praktisch überhaupt kein Rollenmodell (so wie Moodle es z.B. bis ins
Feinste granuliert anbietet). Der Benutzer hat seine Dateien/Ordner und
kann diese Tauschen, mit wem er möchte. Sind ja seine. Und für die kann
er festlegen, wie sie geteilt werden (lesen/schreiben/weiterverteilen/…).

Als Administrator kann ich globale Gruppen anlegen sowie Ordner, für die
ich dann einstelle, wer darauf welche Rechte hat. Ich könnte also z.B.
ein Verzeichnis anlegen und darauf bestimmten Gruppen Rechte geben. Das
mag ich aber nicht oft machen. Automatisiert scheint das nicht zu gehen
,da das CLI-Tool hier nichts anbietet.

  • Lehrer dürfen Dateien teilen, Schüler nicht

Lehrer und Schüler sind nach meinem Verständnis unter Nextcloud Benutzer
mit gleichen Rechten. So wie ich die LDAP-Einstellungen verstehe, dienen
Gruppen nur dazu, den Zugriff insgesamt zu erlauben oder zu sperren.

  • Lehrer dürfen Nextcloud-Gruppen anlegen (was per se, glaube ich,
    nur admins dürfen, aber keinesfalls dürfen beliebige Lehrer
    Adminrechte bekommen!)

Hier kann ich (hoffentlich bald) etwas anbieten. Wir arbeiten bei uns
mit einem Programm, dass automatisch Gruppen bei Nextcloud anlegt (und
„nebenher“ die Funktionalität von openlml-enrol anbietet). Die Gruppen
werden über das CLI-Tool angelegt und die Benutzer eingetragen - so hat
man z.B. die Klassen als Gruppen verfügbar.

Wie Holger schrieb, kann die Erweiterung Circles es Benutzern
ermöglichen, eigene Gruppen anzulegen. Bei uns hat das in kürzester Zeit
zu Chaos geführt - andererseits ist es das, was die Schüler eben auch
kennen - ein buntes Vernetzungs-Kuddelmuddel. Da andere ja nicht
betroffen sind, ist es eher eine Übung im Ertragen als ein Mangel an
Funktionalität für mich.

Oder wäre es schlauer, auf dem Client den Nextcloud Desktop Client zu
installieren, der dann automatisch z.B. den Home-Ordner synchron hält?
Das stelle ich mir nur etwas fummelig vor, das so voreinzustellen,
dass es automatisch geht. Für Gruppenverzeichnisse ginge das
vermutlich gar nicht.

Und es benötigt den ganzen Speicherplatz mehrfach. Da ist das Einbinden
der Homes schon schick - auch wenn es nach wie vor die Möglichkeit gibt,
außerhalb der Homes Dateien/Ordner anzulegen.

Man kann das - glaube ich - über die Quotierung unterbinden, da diese
per files_external eingebundene Dateien nicht mitzählt.

In der lml7 gab es - meine ich - die Möglichkeit, Quota für die
Nextcloud einzutragen, da bin ich aber noch nicht drin.

Viele Grüße
Thomas

Hallo,

Wir machen das über files_external - damit können beliebige Samba-Shares
eingebunden werden. Das kann man vorgeben (Shares, die dann für alle da
sind), man kann Benutzern erlauben, eigene Shares einzubinden, man kann
aber auch das Home-Share für alle verbindlich einrichten (mit Variablen

… ah: das ist die andere Richtung als die die ich meinte.
Das könntenatürlich performanter sein.
Ich weiß von Schulen, wo sie im Dateibrowser im ubuntu Client per DAV
das Nextcloud Verzeichnis einblenden: das ist leider lahm.

So wie ich Nextcloud verstehe, hat es eine extrem Flache Hierarchie und
praktisch überhaupt kein Rollenmodell (so wie Moodle es z.B. bis ins
Feinste granuliert anbietet). Der Benutzer hat seine Dateien/Ordner und
kann diese Tauschen, mit wem er möchte. Sind ja seine. Und für die kann
er festlegen, wie sie geteilt werden (lesen/schreiben/weiterverteilen/…).

da könnte man sich überlegen, ob man nicht zwei nextclouds installiert:
eine nur für Lehrer und eine für Lehrer und Schüler.
Die beiden Clouds hängt man dann per federated cloud zusammen.

  * Lehrer dürfen Dateien teilen, Schüler nicht

in der einen erlaubt man teilen in der anderen nicht.

In der lml7 gab es - meine ich - die Möglichkeit, Quota für die
Nextcloud einzutragen, da bin ich aber noch nicht drin.

in der lmn7 gibt es im AD das Feld Cloudquota.
Noch hab ich das aber nicht in der Nextcloud abgefragt … mal sehen, ob
das geht.

LG

Holger

Vielen Dank.
Ok, das mit Circles würde auch bei uns zu Chaos führen, das lassen wir lieber.

Tatsächlich meinte ich die Richtung so, wie Thomas es sagte. Das mit dem files_external werden wir uns mal anschauen. Falls das hier schon jemand unter v7 laufen hat, würde mich das sehr interessieren!

Ich schiebe mal eine andere Frage nach: Kommt man denn auch ohne Nextcloud an die Dateien auf dem Schulserver? Etwa über webdav? Bei unserem alten Schulserver konnte man da pro User bzw. Gruppe einfach ein Häkchen setzen, dann hatte man Webdav.

Viele Grüße,
Andreas

Hallo Andreas,

Ich schiebe mal eine andere Frage nach: Kommt man denn auch ohne
Nextcloud an die Dateien auf dem Schulserver? Etwa über webdav? Bei
unserem alten Schulserver konnte man da pro User bzw. Gruppe einfach ein
Häkchen setzen, dann hatte man Webdav.

das wurde in der 6.2 über horde3 realisiert und sollte in der lmn7 mit
horde5 (ist es inzwischen5?) realisiert werden können.
Allerdings gehört horde5 nicht zum Auslieferungsumfang der lmn7.
Es müßte sich also jemand hinsetzen, horde5 im dockerhost in Rot
instalieren und die Anbindung machen, und dann am Ende das ganze
dokumentieren für alle.

Die lmn7 ist noch frisch: viele Communityerweiterungen müssen also noch
gemacht werden. Viele sind auch schon da.

LG

Holger

Hallo Andreas,

Am 18.11.19 um 07:29 schrieb Andreas Goebel via linuxmuster.net:

Ich schiebe mal eine andere Frage nach: Kommt man denn auch ohne Nextcloud an die Dateien auf dem Schulserver? Etwa über webdav? Bei unserem alten Schulserver konnte man da pro User bzw. Gruppe einfach ein Häkchen setzen, dann hatte man Webdav.

Wir hatten mal eine Zeit lang mit Seafile experimentiert - das lief zuverlässig, aber Nextcloud bot dann einfach mehr.

Was WebDAV auf die Server-Homes angeht, gibt es das meines Wissens nach nicht. Ich habe es mal als Feature Request aufgeschrieben, aber ich bin selbst nicht sicher, ob ich das (als Core Feature) wollen würde, weil es doch ein großes Türchen ins Herz meines Netzwerks aufmacht (Nextcloud läuft bei uns in einem separaten Netz und smbclient sowie LDAP sind die einzigen Türchen ins Netz. Auch bei der Performance weiß ich nicht, was passiert, wenn jetzt viele Nutzer anfangen, per WebDAV auf unseren Server zuzugreifen. Aber so etwas bekommt man bestimmt je nach Anbindung und Serverpower in den Griff.

Wenn ich das nach kurzer Recherche richtig verstehe, lässt sich der WebDAV-Zugriff auf User-Homes mit der richtigen Apache-Conf recht einfach umsetzen. Dass dann interaktiv einzuschränken wäre sicher möglich - aber genau das macht ja letztlich Nextcloud.

Die Einschränkung auf Benutzer oder Gruppen ließe sich dort wahrscheinlich auch leichter implementieren, da Nextcloud z.B. freie LDAP-Zugangsbedingungen (Mitgliedschaft in einer Gruppe) zulässt. Evtl. könnte man irgendwie ein Schulkonsolen-Plugin programmieren, welches für verschiedene Webdienste den Zugriff einschränkt (wenn diese Webdienste das entsprechende Feld auslesen können).