Rocket.Chat Anbindung LM7 mit extra Rolle für Lehrer

Hi an alle,

ich installiere gerade Rocket.Chat mit Anbindung an LM7 und dank der Tipps hier im Forum klappt die Authentifizierung mittels LDAP gut.

Leider aber nicht die Gruppenanbindung. Die bisherigen Tipps in verschiedenen Foren klappen nicht.

Ich möchte eigentlich nur, dass die Schüler die normale Rolle User in Rocket.Chat bekommen und die Lehrer eine von mir in Rocket.Chat neu angelegte Rolle Teachers. Ich habe bereits verschiedene Gruppenfilter versucht, aber entweder bekommen alle Benutzer die Rolle Teachers zugewiesen oder keiner.

Meine versuchten Gruppenfilter sind aus einem anderen Forum zu nextcloud und LM7:

  1. (&(|(objectclass=group))(|(cn=role-*)))
    mit BASE DN: ou=groups,ou=global,dc=linuxmuster,dc=lan
    ODER ou=global,dc=linuxmuster,dc=lan
  2. aus meinem funktionierenden nextcloud-Zugang kopiert:
    (&(|(objectclass=group))(|(cn=5*)(cn=6*)(cn=7*)(cn=8*)(cn=9*)(cn=1*)(cn=q*)(cn=e*)(cn=p_*)(cn=teachers)))
    mit beiden Base DN

Meine Benutzerdatengruppenzuordnung in Rocket.Chat ist dann
{
„role-student“: „user“,
„role-teacher“: „Teachers“
}

Ich verzweifle langsam, immer bekommen auch die Schüler die Rolle Teachers zugewiesen.
Oliver

Das Attribut dass du zur Unterscheidung nutzen kannst ist sophomorix-role.

Hi Oliver,

Genau das Problem hatte ich in der Nextcloud auch mal, die Lösung war dann die folgende LDAP Query:

(&
	(!(|(cn=attic)(cn=global-students)))
	(|
		(memberof=CN=students,OU=Students,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan)
		(sophomorixType=project)
		(sophomorixType=rolegroup)
	)
)

Das wirft alle Klassen, Projekte und roles aus und zumindest bei mir war es dann auch so, dass Schüler NUR role-student und Lehrer NUR rolte-teacher hatten (plus Klassen und Projekte).
(Schüler: role-student, Lehrer: role-teacher; und role-schooladministrator und role-globaladministrator gibt es auch noch)

VG, Dorian

Hi,

wenn ich die Zeile genau genug abtippe, klappt das Einloggen auch gut. Dennoch bekommen sowohl Lehrer als auch Schüler die Rolle Teacher, obwohl meine Schüler definitiv nicht in der Gruppe der Lehrer im AD sind. Ich glaube so langsam, dass nicht das AD das Problem macht, sondern dass mein Rocket.Chat trotz mehrfacher Neuinstallation einen Bug hat.

Aber wie kann man das testen, außer neu zu installieren ;))
Grüße
Oliver

Hi Oliver,

Wichtig ist, dass die Base-DN DC=linuxmuster,DC=lan (und NICHT noch mehr) ist.
Meine Benutzerquery sieht so aus:

(|(memberof=CN=role-teacher,OU=Groups,OU=GLOBAL,DC=linuxmuster,DC=lan)
(memberof=CN=role-student,OU=Groups,OU=GLOBAL,DC=linuxmuster,DC=lan))

(Die hat einen ganz anderen Ansatz als die in der Dokumentation, aber ich finde es so hübscher)

Ich hatte es auch mal, dass ich das LDAP Member Attribut angeben musste, das ist member

VG, Dorian

Hallo Oliver,

mit dem ldap browser kannst du dir die Struktur im LDAP anschauen.

LG

Holger

Hi,
ihr seit echt schnell, danke.

Das Problem, das ich nicht verstehe, ist: die Struktur in LDAP sehe ich mir mit dem AD Explorer an und es passt alles. Mein alten Zeilen und die Zeilen von Dorian passen.
Wenn ich etwas in Rocket.Chat falsch eintrage, wird auch der Zugang gesperrt. Wenn ich alles richtig mache, klappt der Zugang sofort.

ABER: die Zuordnung der Gruppe zur Rolle in Rocket.Chat klappt nicht. Es bekommen immer alle zugelassenen User die selbe Rolle zugewiesen. Und zwar die Teachers-Rolle, die ich in der Benutzerdatengruppenzuordnung angegeben habe. Also wird die Gruppe tatsächlich geprüft und eine Rolle wird ausgewählt, aber eben dieselbe für Schüler und Lehrer, obwohl Teachers nur bei role-teacher steht.

Kann es sein, dass die Benutzerdatengruppenzuordnung benutzt wird, auch wenn mein Gruppenfilter falsch ist bzw. wenn ich bei der BaseDN zu viel angegeben habe? Und wieso sind dann die Schüler trotzdem role-teacher und werden zur Rolle Teachers?
Ich kann leider gerade keine Tests machen, da das System ein Backup fährt und ich bei Rocket.Chat von snap zu docker wechsle. Ich weiß, dass das nichts bringt, aber ich bin halt verzweifelt :wink:

Grüße
Oliver

So, alles neu gemacht und dennoch falsch :frowning_face:
Alle zugelassenen User (Lehrer und Schüler) bekommen die Rolle Teachers UND Students.

BaseDn: DC=linuxmuster,DC=lan
Benutzergruppenfilter:
(&(!(|(cn=attic)(cn=global-students)))(|(memberof=CN=role-teacher,OU=Groups,OU=GLOBAL,DC=linuxmuster,DC=lan)(memberof=CN=role-student,OU=Groups,OU=GLOBAL,DC=linuxmuster,DC=lan)))

Benutzerdatengruppenzuordnung:
{
„rocket-admin“: „adminn“,
„tech-support“: „support“,
„role-teacher“: „Teachers“,
„role-student“: „Students“
}

Die Anleitung von Rocket.Chat mit dem Ldab Browser (benutze ich jetzt auch, danke Holger) sieht genauso aus.
Oliver

Das wundert mich … in der Nextcloud funktioniert das ohne Probleme.
Kannst du einen Screenshot von der Eingabemaste in rocket.chat schicken?
Manchmal ist das mit dem LDAP echt ein Krampf…

VG, Dorian

Mache ich gleich,

noch was komisches: wenn ich deine Zeile einbaue role-studen oder role-teache dann werden auch alle Rollen zugewiesen. Also anscheinend immer dann, wenn der Filter nicht greift.

Hallo Oliver,

ich meine mich dunkel an einen Bug erinnern zu können, aber es ist schon lange her, dass ich Rocket.Chat bei uns eingerichtet habe. Versuche mal, alle Zuordnungen außer der für den Lehrer rauszunehmen. Ich meine, dass mehrere Zuordnungen bei mir damals auch nicht funktioniert hatten. Daher haben die Schüler bei mir die Standardrolle „user“ und die Lehrer die Rolle „lehrer“, bei dir wäre das dann „Teachers“.

Viele Grüße
Christoph

ich kann keine Bilder hochladen, da die Meldung erscheint … nur eingebettete … und ich nicht weiss, wie das geht :wink:

Hallo Oliver,

trage bei der Benutzerdatengruppenzuordnung bitte nur

{
    "role-teacher": "lehrer"
}

ein.

Viele Grüße
Christoph

1 Like

Hi Christoph,

Ok, das klingt stimmig. Was muss bei dem Filter hin? Wenn ich meine aktuellen probiere, lehnt das System die User ab.
(&(!(|(cn=attic)(cn=global-students)))(|(memberof=CN=role-teacher,OU=Groups,OU=GLOBAL,DC=linuxmuster,DC=lan))
Oliver

Hallo Oliver,

da kann ich dir leider nicht helfen. Wir haben noch eine 6.2. Da wäre es

(&(cn=#{groupName})(memberUid=#{username}))

Viele Grüße
Christoph

Hi Christoph,

mit der Ablehnung war es mein Fehler (fehlte eine Klammer).
Dennoch bekommen weiterhin Lehrer und Schüler die Rolle Teachers .

Grüße
Oliver

Hallo Oliver,

dann läuft wohl etwas beim Benutzergruppenfilter schief.

Viele Grüße
Christoph

Hi

Ich habe ihn zu (&(cn=#{groupName})(member=#{username}))
geändert, da im LDAP Browser nur member steht. Dann bekommt aber niemand die Rolle Teachers
Oliver

Hallo Oliver,

dazu zwei Fragen:

  1. Haben die User als Benutzernamen ihren Benutzernamen der LMN?
  2. Wie werden in der 7er-LMN im LDAP-Baum die User einer Gruppe aufgelistet? Welches Attribut gehört zum entsprechenden angehörigen User?

Viele Grüße
Christoph

Hi Christoph,

  1. die User von RocketChat werden ja per LDAP eingebunden und haben die Benutzernamen von LM. Habe ich kontrolliert :slight_smile:
  2. Von dem AD-Baum hänge ich ein Bild an, wenn das System das erlaubt.

Grüße
Oliver