Nextcloud und LDAP - Computer werden auch angezeigt

Lebowski · 23. Januar 2019 um 07:37

Hallo,

ich habe nextcloud mit ldap wie im Wiki beschrieben eingerichtet. Es funktioniert soweit, allerdings werden als Benutzer auch alle Workstations angezeigt. Ist das richtig?

Außerdem wird im Backend für den Admin als Benutzername nicht der eigentliche Benutzername der Schüler angezeigt sondern die SIDs. Anmelden geht aber mit Benutzername.

Besten Dan, Martin

baumhof · 23. Januar 2019 um 09:24

Hallo Martin,

ich habe nextcloud mit ldap wie im Wiki beschrieben eingerichtet. Es
funktioniert soweit, allerdings werden als Benutzer auch alle
Workstations angezeigt. Ist das richtig?

nein: da hast du was bei der Einrichtung des LDAP Abgleichs falsch
gemacht. In diesem gibt man nämlich an, welche Gruppen aus dem LDAP in
der NC verfügbar sein sollen.
Da mußt du nochmal in der Anleitung scheien, was da beim Gruppenfilter
rein muss.

Außerdem wird im Backend für den Admin als Benutzername nicht der
eigentliche Benutzername der Schüler angezeigt sondern die SIDs.
Anmelden geht aber mit Benutzername.

das kannst du in den Experteneinstellungen einstellen.
Schau mal hier:

https://www.linuxmuster.net/wiki/anwenderwiki:owncloud:basics:benutzer_aus_ldap

es steht etwa in der MItte bei Benutzer mit ihrem login verwenden statt UUID

LG

Holger

Lebowski · 24. Januar 2019 um 12:21

Hallo und danke für die Antwort,

Als ldapFilter habe ich für die Nutzer

(|(objectclass=posixAccount))

und für die Gruppen

(&(|(objectclass=posixGroup)))

Wahrscheinlich muss ich dann die Gruppen händisch auswählen. Offensichtlich für jede Klasse. Gibt es die Möglichkeit, eine Gruppe „students“ für alle Schüler anzulegen?

Danke.

besten Gruß, Martin

ChristianWd · 24. Januar 2019 um 16:14

Hallo Martin,

die Gruppe “students” habe ich nicht angelegt und ich glaube auch nicht, dass es nötig ist.

Um die Computer und ExamAccounts bei den Benutzern loszuwerden, habe ich die LDAP-Abfrage im Reiter “Benutzer” erweitert:
(&(objectclass=posixAccount)(&(!(cn=ExamAccount))(!(cn=Computer))))
Das geht sicher noch eleganter, aber so werden nur noch Schüler und Lehrer angezeigt.

Bei den Gruppen, die dann zum Teilen usw. zur Auswahl stehen kannst du relativ bequem aus der vorhandenen Auswahl die Klassen von der linken Tabelle in die rechte Tabelle schieben. Die vorhandenen Gruppen werden erst angezeigt, wenn du auf “LDAP-Abfrage bearbeiten” klickst. Achso, ich lese gerade nochmal deinen Beitrag. Genau das wolltest du ja vermeiden. Also nein, zu den Gruppen habe ich keine einfachere Lösung.

Viele Grüße

Christian

FelixK · 26. Februar 2019 um 09:20

Hallo zusammen,

  ich hänge mich hier mal dran: Ich möchte die Lehrer als lokale

Benutzer anlegen (falls unser Server in den Ferien mal
heruntergefahren werden sollte…) und würde die Schüler gerne per
LDAP verwalten. Ich bekomme die Konfiguration aber nicht hin.
Meine funktionierende Konfiguration für “nur Lehrer” war die
folgende:

1 Server:

  dc=linuxmuster-whg,dc=lokal

Häkchen LDAP-Filter manuell eingeben (empfohlen für große
Verzeichnisse) gesetzt
2 Benutzer LDAP-Abfrage:
(&(objectclass=posixAccount)(gidNumber=10000))
3 Attribute LDAP-Abfrage:
(&(objectclass=posixAccount)(uid=%uid)(gidNumber=10000))
4 Gruppen LDAP-Abfrage:
(&(|(objectclass=posixGroup))(|(cn=teachers)))

  Was muss ich denn ändern, damit sich NUR SCHÜLER per LDAP

anmelden können (und auch keine Computer, Fachräume, …).

Bin über jede Hilfe dankbar!

Viele Grüße,

Felix

jrichter · 26. Februar 2019 um 09:57

Hallo Felix,

man muss bei der Gruppe alle Klassen angeben. Leider gibt es keine
Gruppe für die Schüler.

Alternativ kannst Du ein Projekt p_schueler anlegen, dort nimmst Du
rekursiv alle Klassen auf. Dann kannst Du dieses Projekt als Gruppe
verwenden.

Beste Grüße

Jörg

FelixK · 26. Februar 2019 um 10:43

Hallo Jörg,

  super - danke! Lasse ich den Rest so mit "gidNumber=10000" oder

schmeiß ich das raus?

Grüße, Felix

Tobias · 3. März 2019 um 16:06

Hi,

neben den Computern, die als Benutzer nicht angezeigt werden sollten (das sehen die Nutzer eigentlich sowieso nicht, aber es ist sicher gute Praxis das grundsätzlich zu verhindern),
hab ich jetzt auch noch festgestellt, dass ich nicht mit den “Räumen” oder anderen Gruppen unbedingt teilen können will, d.h. die Gruppenabfrage hab ich noch etwas verfeinert und die Ergebnisse hier im Wiki aufgeschrieben:
http://www.linuxmuster.net/wiki/anwenderwiki:nextcloud:nextcloud-ldap

So sieht der Screenshot aus. Damit sind alle Gruppen drin, die Sinn ergeben und fast alle Gruppen draußen, die keinen Sinn ergeben (die Projektgruppe p_sudo oder p_wifi kriege ich nicht raus, da stürzt mein php7.2-fpm Prozess ab…)