Nextcloud LDAP-Gruppenfilter "teachers" filtert nicht: alle dürfen!

Hallo!

Ich habe gerade festgestellt, dass in meine Nextcloud alle rein dürfen, auch Schüler. Dabei habe ich in den LDAP-Einstellungen explizit nur die Gruppe teachers drin.

Also explizit:
im Reiter “Benutzer” habe ich posixAccount stehen.
bei “Anmeldeattribute” habe ich LDAPBenutzername
bei “Gruppen” habe ich posixGroup und da nur teachers im rechten Feld.
Untendrunter steht dann auch:

LDAP-Filter: (&(|(objectclass=posixGroup))(|(cn=teachers)))

er zählt dann auch nur 1 Gruppe (im Reiter Benutzer aber >1000 Benutzer)

warum dürfen trotzdem alle?

Danke für Tipps

Max

Hallo Max,

Ich habe gerade festgestellt, dass in meine Nextcloud alle rein dürfen,
auch Schüler. Dabei habe ich in den LDAP-Einstellungen explizit nur die
Gruppe teachers drin.

Also explizit:
im Reiter “Benutzer” habe ich posixAccount stehen.
bei “Anmeldeattribute” habe ich LDAPBenutzername
bei “Gruppen” habe ich posixGroup und da nur teachers im rechten Feld.
Untendrunter steht dann auch:

LDAP-Filter: (&(|(objectclass=posixGroup))(|(cn=teachers)))

er zählt dann auch nur 1 Gruppe (im Reiter Benutzer aber >1000 Benutzer)

warum dürfen trotzdem alle?

dürfen die wirklich?
Oder tauchen die nur da auf?

LG

Holger

Hallo Max,
Hallo Holger,

bei uns steht exakt der selbe Filter im Bereich Gruppen. Allerdings steht bei “Benutzer” noch

(&(objectclass=posixAccount)(gidnumber=10000))

Dann zählt die Nextcloud die teachers korrekt und auch nur die kommen rein. Gerade nochmal getestet.

Gruß
Christian

Hallo Holger,

ja, mein Testschüler konnte sich anmelden und hat Dateien etc. gesehen.

Hallo Christian!

ja, jetzt zählt er auch nur noch die Lehrer-Benutzer, trotzdem darf mein Testschüler aus der 10a noch rein
vll. muss ich noch etwas warten? Oder ist das, weil er schonmal angemeldet war?

LG
Max

Hallo Max,

ja, das dürfte daran liegen, dass der Schüler bereits eingeloggt war. Lösche ihn manuell als Nextcloud-Administrator (und lese eventuell die User nochmal neu ein). Danach sollte ein Login des Schülers nicht mehr möglich sein.

Viele Grüße von Christians Kollegen am JKG
Christoph

Hallo Christoph,

LDAP-User kann man wohl im Moment nicht so einfach löschen. Ich hatte mich letztens damit beschäftigt, da gab es einen Bug der dazu führte, dass die Homes nicht gelöscht werden konnten und somit der Benutzer nicht gelöscht wurde. Es schaut so aus, als ob das vll. bald behoben wird.

Aber immerhin dürfen dann keine neuen mehr und es werden dann (hoffentlich), wenn der Bug behoben ist (hoffentlich), dann alle Schüler in der NC gelöscht.

Danke auf jeden Fall für den Eintrag in der LDAP-Abfrage!
LG
Max

Hi Max,

kann mir vorstellen, dass du auf nextcloud den cache löschen können solltest, damit die Anmeldeinfos nicht mehr in der NC-db stecken oder probier mal trotzdem den user zu löschen, vllt. wird ja nur das home nicht gelöscht, aber die info in der NC-db und dann wäre der auch nicht mehr in der Lage sich anzumelden.

VG, Tobias

Hallo Tobias,

ich habe den PW-Cache gelöscht, in dem ich den Time-To-Live wert in der LDAP-Konfiguration unter dem Reiter “Fortgeschritten” geändert habe. Angeblich löscht das dann den Cache.
Problem: der Benutzer “testertoni” kann sich immer noch anmelden.

root@nextcloud:/var/www/owncloud# sudo -u www-data php occ ldap:check-user testertoni
The user does not exists on LDAP anymore.
Clean up the user's remnants by: ./occ user:delete "testertoni"


root@nextcloud:/var/www/owncloud# sudo -u www-data php occ user:lastseen testertoni
User does not exist

hier taucht er auch nicht auf:

root@nextcloud:/var/www/owncloud# sudo -u www-data php occ user:list

bei anderen Benutzern, die im LDAP wirklich gelöscht sind (deren PW ich aber nicht kenne um zu testen) kommt

root@nextcloud:/var/www/owncloud# sudo -u www-data php occ user:delete XXXX
                                        
[OC\User\NoUserException]               
XXXX is not a valid user anymore  

hm. Vll. warte ich einfach, bis der LDAP-Lösch-Dienst wieder funktioniert und hoffe auf ein Wunder…

LG
Max