"Landingpage" für Benutzer

Michael · 3. März 2021 um 10:08

Hi.

Sorry, aber ich muss leider nochmal rückfragen:
Zwar habe ich unter /etc/linuxmuster/.secrets/administrator ein Secret – aber wem gehört das? Wenn ich sophomorix-user -i --user administrator (oder auch nur admin) verwende, erhalte ich:
0 users found in AD
Hast du also einen weiteren User mit Admin-Rechten angelegt?

Hintergrund ist: Wenn ich bei der LDAP-Verbindung der Landingpage als binduser den Eintrag administrator@linuxmuster.meine-domain.de eintrage, kann ich mich zwar mit meinen User-Credentials anmelden, doch wenn ich versuche das Passwort zu ändern, erhalte ich Fehlercode (0003). Auf dem Server (ebenfalls ein Ubuntu 18.04) ist das notwendige Tool ldapmodify aber vorhanden (apt install ldapscripts lief durch!)

Kannst du ein weiteres Mal für Klarheit sorgen?
Danke
Michael

cweikl · 3. März 2021 um 10:53

Hi Michael,
die DN für den Administrator hierfür ist: CN=Administrator,CN=Users,DC=linuxmuster,DC=lan und das Passwort steht in: /etc/linuxmuster/.secret/administrator.
So hat es bei mir funktioniert.
VG
Chris

Michael · 3. März 2021 um 10:58

Ja, so hatte ich es ja auch eingetragen (sonst könnte sich vermutlich niemand anmelden). Hast du denn auch schon mal versucht (d)ein Passwort zu ändern?

dorian · 3. März 2021 um 12:14

Hi Michael,

Hast du einen ldapS Verbindung? Ansonsten geht es nicht.

VG, Dorian

Michael · 3. März 2021 um 13:16

Ja, ich habe hier:

$ldapconfig['host'] = 'ldaps://server.linuxmuster.meine-schule.de:3269';
$ldapconfig['useTls'] = false;

Das verwendet ein LE-Zert der OPNSense.

dorian · 3. März 2021 um 13:30

hmm ok, was sagt denn
/var/log/apache2/error.log (oder anderes Logfile, je nach Webserver)?

VG, Dorian

Michael · 3. März 2021 um 13:49

Ach, könnte der Port das Problem sein? Ist der nicht nur für read only gedacht???

dorian · 3. März 2021 um 13:59

Keine Ahnung… Ich habe immer 636 für ldaps genommen …
Kannst du denn die Mailadresse ändern?

Michael · 3. März 2021 um 14:28

Ich werde 636 einstellen, die Vermutung stimmt:

https://informatics.perkinelmer.com/Support/KnowledgeBase/details/Default.aspx?TechNote=3142

„The Global Catalog is a Read Only replica…“

dorian · 3. März 2021 um 15:55

Hat’s damit geklappt?

Michael · 3. März 2021 um 16:11

Nein, leider weiterhin nicht … es bleibt hier bei Fehler 0003. Verstehe ich nicht. Beim Login mit meinen Credentials steht richtigerweise da:
Schritt 1 von 2: Du nutzt immernoch dein Erstpasswort. Dieses Passwort ist nicht sicher, bitte ändere es jetzt.
Aber das funktioniert dann nicht … man kann doch auch den debug-Mode aktivieren. Würde das in diesem Fall helfen?

Übirgens habe ich auch bereits den LDAP-binduser geändert von:
administrator@meine-domain.de
auf CN=Administrator,CN=Users,DC=
aber auch das hat’s nicht gebracht!

dorian · 3. März 2021 um 16:38

Probier es aus, dann steht deutlich mehr in den Logfiles. Kannst du mal posten, was da die Ausgaben sind?

Michael · 3. März 2021 um 16:41

ich hab’s … es lag an der Firewall … in der OPNSense hatte ich ein Alias für die Ports 636 UND 3269, das per NAT immer an 3269 zum Server weiterleitet. Eigentlich hatte ich das für eine gute Idee gehalten, da der Zugriff auf diese Weise immer nur read-only möglich ist. In diesem Fall musste es anders sein. Jetzt habe ich zwei Regeln daraus gemacht und konnte gerade sowohl Passwort als auch eMail-Adresse ändern.
Danke für’s Mitdenken.

Übrigens: Die Log-Datei müsste ja die vom v7-Server sein (also der Server, auf den zugegriffen wird)!?

Was ich noch fragen wollte: Hat die Landingpage einen Auto-Logout nach x Minuten Inaktivität eingebaut?

cweikl · 3. März 2021 um 18:15

Hallo Michael,
ja bei mir klappt die Passwort-Änderung. Ich verwende aber auch ldaps und Port 636.
VG
Chris

Michael · 3. März 2021 um 18:15

Ja, das Problem ist gelöst … es war ein pebkac

dorian · 3. März 2021 um 18:18

Nein, ich meine die Log Datei vom Webserver, bzw. Php fpm.

Ja, die php Session läuft nach ca. 24 Minuten ab.

P.s. Bitte nochmal updaten, ich hab im Punkto Sicherheit nochmal ein bisschen nachgebessert.

VG, Dorian

Michael · 3. März 2021 um 18:20

Hmm – der Webserver logged doch nur, wer wann auf was zugegriffen hat aber in diesem Fall doch nicht die LDAPS-Zugriffe auf den v7-Server, oder?

dorian · 3. März 2021 um 18:21

Doch, denn der Webserver, bzw. Php Fpm ist ja der Ldap Client. Der loggt alle Fehler, die Clientseitig auftreten.

alois · 3. März 2021 um 19:12

3 Beiträge wurden in ein existierendes Thema verschoben: eMail-Adressen aller User zurück in den v7-Server?

Michael · 4. März 2021 um 06:09

Hi, was kann ich denn tun, um den Check auf das Erstpasswort zu unterbinden? Ich würde das lieber zweistufig machen: im ersten Schritt nur die E-Mail Adresse ändern und später das Passwort…
Geht das irgendwo mit einer true/false Einstellung in der config.php?

Viele Grüße
Michael