Nextcloud LDAP Problem

Rupprecht · 25. Juli 2019 um 06:20

Hallo zusammen,
ich möchte einen Nextcloud Server aufsetzen. Weil Holger es so gemacht hat, habe auch ich den Server nach Rot hinter den Router und vor den Ipfire. Der Router hat 192.168.1.1, die Ipfire 192.168.1.3 und der Owncloud 192.168.1.4.

Ich habe ohne Veränderungen an Server oder Firewall nur
https://wiki.linuxmuster.net/community/anwenderwiki:nextcloud:nextcloud-ldap

befolgt und auch kein ldaps.

Unter Server steht nur:192.168.1.3
dc=srf,dc=lokal
BaseDN testen: Konfiguration ok

Bei Benutzer: inetOrgPerson und PosicAccount.
Soll man das InetOrgPerson löschen? Ich hatte Angst, dass ich nicht mehr als admin anmelden kann,wenn ldap nicht geht.

Einstellungen Prüfen und Benutzer zählen: Ok, >1000 Benutzer

Gruppen: posixGroup Dort sehe ich alle Klassen,etc. in einem Fenster
Auch hier: Konfiguration ok.

Ich kann mich aber an nextcloud nur als admin und nicht als Lehrer anmelden.

Übersehe ich etwas?

Gruß,
Markus

luftikuss · 25. Juli 2019 um 06:48

Rein gefühlsmäßig: Kann es sein, dass du noch eine FW-Regel eingehend auf den lmn-Server brauchst?
Roland

Rupprecht · 25. Juli 2019 um 08:07

Hi,
was schon war: ldaps alle Port 636 auf grün 10.16.1.1
Was ich noch gemacht habe:ldap alle Port 389 auf 10.16.1.1

Zusätzlich habe ich auf dem Server nun in slapd.conf
wo die ganzen Zeilen access by anonymous peername=… auth
stehen noch eine Zeile mit der ip der IP der Schule von außen und eine Zeile mit dem DynDNS Namen der Schule von außen eingetragen.

Dann habe ich owncloud vor dem 192.168.1.3 noch ein ldap:// gemacht.

Selbes Ergebnis:

Was ich nicht verstehe: Auf dem Nextcloudrechner kann man in der bash folgendes machen:

root@debian10:/var/www/nextcloud/config ldapsearch -b dc=srf,dc=lokal -H ldap://192.168.1.3 uid=rupprecht -x
extended LDIF

LDAPv3
base <dc=srf,dc=lokal> with scope subtree
filter: uid=rupprecht
requesting: ALL

rupprecht, accounts, srf.lokal
dn: uid=rupprecht,ou=accounts,dc=srf,dc=lokal
cn: Markus Rupprecht
uidNumber: 10291
sambaPrimaryGroupSID: S-1-5-21-3334851133-369925956-4256525819-21001
gecos: Markus Rupprecht
mail:
sophomorixstatus: U
displayName: Markus Rupprecht
uid: rupprecht
sambaPwdCanChange: 0
sambaHomePath: \server\rupprecht
homeDirectory: /home/teachers/rupprecht
sambaLogoffTime: 2147483647
description: Markus Rupprecht
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: top
objectClass: sambaSamAccount
objectClass: sophomorixData
sambaLogonTime: 0
gidNumber: 10000
sambaSID: S-1-5-21-3334851133-369925956-4256525819-21582
sambaHomeDrive: H:
sambaKickoffTime: 2147483647
sn: Rupprecht
givenName: Markus
loginShell: /bin/bash

search result
search: 2
result: 0 Success

numResponses: 2
numEntries: 1

Also erreicht er den ldap des Servers doch…

Gibt es eigentlich irgendwo ein nextcloud log, wo man nachseheh könnte? Wo schaut man da auf dem Server?

Rupprecht · 25. Juli 2019 um 08:49

Nun geht es. Mein slapd lies sich nicht mehr starten. Ich habe die slapd.conf mit dem backup verglichen. Da hat eine Leerzeile gefehlt und ein Eintrag war nicht eingerückt. Sehr seltsam: Dannach ging es wieder.

Rupprecht · 25. Juli 2019 um 13:48

Ein Schritt weiter. Ein schritt zurück. Ich kann mich nun als Lehrer und Schüler via LDAP anmelden.

LDAP Filter manuell eingeben hat einen Haken.
Konfiguration ok

Im nächsten Reiter:
(objectclass=posixAccount)
Auch: Alles ok

Im nächsten Reiter (Anmelde Atrribute)
(&(objectclass=posixAccount)(uid=%uid)(gidNumber=10000))
Da ist ja ein Feld zum überprüfen der User: Ein Lehrer wird gefunden, aber ein Schüler nicht.

Im letzen Reiter:
Gruppen
(&(objectclass=posixGroup))

Trotzdem kann sich auch ein Schüler an der Nextcloud anmelden.
Hat jemand einen Tipp.

Rupprecht · 26. Juli 2019 um 09:01

So langsam dämmert mir, dass die ganze Sache nicht so einfach ist.

Beim Setup der nextcloud waren ja noch keine Filternregeln eingegeben. Nun hat er sich das ldap Verzeichnis gezogen und arbeitet quasi mit einem cache.

In /var/www/nextcloud/config/fonfig.php soll es einen Eintrag gaben: ‘ldapUserCleanupInterval’ => 51,

so dass er alle 51 Minuten 50 User checkt, ob sie noch gibt. Dieser Eintrag hat bei mir gefehlt. Ich habe jetzt mal 10 Minuten und daraus gemacht und werde beobachten, ob das nun geht.

maxEG · 26. Juli 2019 um 23:07

Hallo!

Das hat bei mir noch nie funktioniert. Ldap-User muss ich immer von Hand löschen, siehe hier:
https://ask.linuxmuster.net/t/own-nextcloud-userpflege-automatisch-funktioniert-nicht-selfmade/754/2

LG
Max