Rocket.Chat Anbindung LM7 mit extra Rolle für Lehrer

lvd_kempen · 19. Januar 2021 um 13:07

Hi an alle,

ich installiere gerade Rocket.Chat mit Anbindung an LM7 und dank der Tipps hier im Forum klappt die Authentifizierung mittels LDAP gut.

Leider aber nicht die Gruppenanbindung. Die bisherigen Tipps in verschiedenen Foren klappen nicht.

Ich möchte eigentlich nur, dass die Schüler die normale Rolle User in Rocket.Chat bekommen und die Lehrer eine von mir in Rocket.Chat neu angelegte Rolle Teachers. Ich habe bereits verschiedene Gruppenfilter versucht, aber entweder bekommen alle Benutzer die Rolle Teachers zugewiesen oder keiner.

Meine versuchten Gruppenfilter sind aus einem anderen Forum zu nextcloud und LM7:

(&(|(objectclass=group))(|(cn=role-*)))
mit BASE DN: ou=groups,ou=global,dc=linuxmuster,dc=lan
ODER ou=global,dc=linuxmuster,dc=lan
aus meinem funktionierenden nextcloud-Zugang kopiert:
(&(|(objectclass=group))(|(cn=5*)(cn=6*)(cn=7*)(cn=8*)(cn=9*)(cn=1*)(cn=q*)(cn=e*)(cn=p_*)(cn=teachers)))
mit beiden Base DN

Meine Benutzerdatengruppenzuordnung in Rocket.Chat ist dann
{
„role-student“: „user“,
„role-teacher“: „Teachers“
}

Ich verzweifle langsam, immer bekommen auch die Schüler die Rolle Teachers zugewiesen.
Oliver

MirDochEgal · 19. Januar 2021 um 13:20

Das Attribut dass du zur Unterscheidung nutzen kannst ist sophomorix-role.

dorian · 19. Januar 2021 um 13:31

Hi Oliver,

Genau das Problem hatte ich in der Nextcloud auch mal, die Lösung war dann die folgende LDAP Query:

(&
	(!(|(cn=attic)(cn=global-students)))
	(|
		(memberof=CN=students,OU=Students,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan)
		(sophomorixType=project)
		(sophomorixType=rolegroup)
	)
)

Das wirft alle Klassen, Projekte und roles aus und zumindest bei mir war es dann auch so, dass Schüler NUR role-student und Lehrer NUR rolte-teacher hatten (plus Klassen und Projekte).
(Schüler: role-student, Lehrer: role-teacher; und role-schooladministrator und role-globaladministrator gibt es auch noch)

VG, Dorian

lvd_kempen · 19. Januar 2021 um 16:20

Hi,

wenn ich die Zeile genau genug abtippe, klappt das Einloggen auch gut. Dennoch bekommen sowohl Lehrer als auch Schüler die Rolle Teacher, obwohl meine Schüler definitiv nicht in der Gruppe der Lehrer im AD sind. Ich glaube so langsam, dass nicht das AD das Problem macht, sondern dass mein Rocket.Chat trotz mehrfacher Neuinstallation einen Bug hat.

Aber wie kann man das testen, außer neu zu installieren ;))
Grüße
Oliver

dorian · 19. Januar 2021 um 16:28

Hi Oliver,

Wichtig ist, dass die Base-DN DC=linuxmuster,DC=lan (und NICHT noch mehr) ist.
Meine Benutzerquery sieht so aus:

(|(memberof=CN=role-teacher,OU=Groups,OU=GLOBAL,DC=linuxmuster,DC=lan)
(memberof=CN=role-student,OU=Groups,OU=GLOBAL,DC=linuxmuster,DC=lan))

(Die hat einen ganz anderen Ansatz als die in der Dokumentation, aber ich finde es so hübscher)

Ich hatte es auch mal, dass ich das LDAP Member Attribut angeben musste, das ist member

VG, Dorian

baumhof · 19. Januar 2021 um 16:43

Hallo Oliver,

mit dem ldap browser kannst du dir die Struktur im LDAP anschauen.

LG

Holger

lvd_kempen · 19. Januar 2021 um 17:06

Hi,
ihr seit echt schnell, danke.

Das Problem, das ich nicht verstehe, ist: die Struktur in LDAP sehe ich mir mit dem AD Explorer an und es passt alles. Mein alten Zeilen und die Zeilen von Dorian passen.
Wenn ich etwas in Rocket.Chat falsch eintrage, wird auch der Zugang gesperrt. Wenn ich alles richtig mache, klappt der Zugang sofort.

ABER: die Zuordnung der Gruppe zur Rolle in Rocket.Chat klappt nicht. Es bekommen immer alle zugelassenen User die selbe Rolle zugewiesen. Und zwar die Teachers-Rolle, die ich in der Benutzerdatengruppenzuordnung angegeben habe. Also wird die Gruppe tatsächlich geprüft und eine Rolle wird ausgewählt, aber eben dieselbe für Schüler und Lehrer, obwohl Teachers nur bei role-teacher steht.

Kann es sein, dass die Benutzerdatengruppenzuordnung benutzt wird, auch wenn mein Gruppenfilter falsch ist bzw. wenn ich bei der BaseDN zu viel angegeben habe? Und wieso sind dann die Schüler trotzdem role-teacher und werden zur Rolle Teachers?
Ich kann leider gerade keine Tests machen, da das System ein Backup fährt und ich bei Rocket.Chat von snap zu docker wechsle. Ich weiß, dass das nichts bringt, aber ich bin halt verzweifelt

Grüße
Oliver

lvd_kempen · 19. Januar 2021 um 17:37

So, alles neu gemacht und dennoch falsch
Alle zugelassenen User (Lehrer und Schüler) bekommen die Rolle Teachers UND Students.

BaseDn: DC=linuxmuster,DC=lan
Benutzergruppenfilter:
(&(!(|(cn=attic)(cn=global-students)))(|(memberof=CN=role-teacher,OU=Groups,OU=GLOBAL,DC=linuxmuster,DC=lan)(memberof=CN=role-student,OU=Groups,OU=GLOBAL,DC=linuxmuster,DC=lan)))

Benutzerdatengruppenzuordnung:
{
„rocket-admin“: „adminn“,
„tech-support“: „support“,
„role-teacher“: „Teachers“,
„role-student“: „Students“
}

Die Anleitung von Rocket.Chat mit dem Ldab Browser (benutze ich jetzt auch, danke Holger) sieht genauso aus.
Oliver

dorian · 19. Januar 2021 um 17:40

Das wundert mich … in der Nextcloud funktioniert das ohne Probleme.
Kannst du einen Screenshot von der Eingabemaste in rocket.chat schicken?
Manchmal ist das mit dem LDAP echt ein Krampf…

VG, Dorian

lvd_kempen · 19. Januar 2021 um 18:02

Mache ich gleich,

noch was komisches: wenn ich deine Zeile einbaue role-studen oder role-teache dann werden auch alle Rollen zugewiesen. Also anscheinend immer dann, wenn der Filter nicht greift.

Christoph · 19. Januar 2021 um 18:05

Hallo Oliver,

ich meine mich dunkel an einen Bug erinnern zu können, aber es ist schon lange her, dass ich Rocket.Chat bei uns eingerichtet habe. Versuche mal, alle Zuordnungen außer der für den Lehrer rauszunehmen. Ich meine, dass mehrere Zuordnungen bei mir damals auch nicht funktioniert hatten. Daher haben die Schüler bei mir die Standardrolle „user“ und die Lehrer die Rolle „lehrer“, bei dir wäre das dann „Teachers“.

Viele Grüße
Christoph

lvd_kempen · 19. Januar 2021 um 18:09

ich kann keine Bilder hochladen, da die Meldung erscheint … nur eingebettete … und ich nicht weiss, wie das geht

Christoph · 19. Januar 2021 um 18:10

Hallo Oliver,

trage bei der Benutzerdatengruppenzuordnung bitte nur

{
    "role-teacher": "lehrer"
}

ein.

Viele Grüße
Christoph

lvd_kempen · 19. Januar 2021 um 18:12

Hi Christoph,

Ok, das klingt stimmig. Was muss bei dem Filter hin? Wenn ich meine aktuellen probiere, lehnt das System die User ab.
(&(!(|(cn=attic)(cn=global-students)))(|(memberof=CN=role-teacher,OU=Groups,OU=GLOBAL,DC=linuxmuster,DC=lan))
Oliver

Christoph · 19. Januar 2021 um 18:14

Hallo Oliver,

da kann ich dir leider nicht helfen. Wir haben noch eine 6.2. Da wäre es

(&(cn=#{groupName})(memberUid=#{username}))

Viele Grüße
Christoph

lvd_kempen · 19. Januar 2021 um 18:16

Hi Christoph,

mit der Ablehnung war es mein Fehler (fehlte eine Klammer).
Dennoch bekommen weiterhin Lehrer und Schüler die Rolle Teachers .

Grüße
Oliver

Christoph · 19. Januar 2021 um 18:19

Hallo Oliver,

dann läuft wohl etwas beim Benutzergruppenfilter schief.

Viele Grüße
Christoph

lvd_kempen · 19. Januar 2021 um 18:21

Hi

Ich habe ihn zu (&(cn=#{groupName})(member=#{username}))
geändert, da im LDAP Browser nur member steht. Dann bekommt aber niemand die Rolle Teachers
Oliver

Christoph · 19. Januar 2021 um 18:29

Hallo Oliver,

dazu zwei Fragen:

Haben die User als Benutzernamen ihren Benutzernamen der LMN?
Wie werden in der 7er-LMN im LDAP-Baum die User einer Gruppe aufgelistet? Welches Attribut gehört zum entsprechenden angehörigen User?

Viele Grüße
Christoph

lvd_kempen · 19. Januar 2021 um 18:35

Hi Christoph,

die User von RocketChat werden ja per LDAP eingebunden und haben die Benutzernamen von LM. Habe ich kontrolliert
Von dem AD-Baum hänge ich ein Bild an, wenn das System das erlaubt.
Bildschirmfoto 2021-01-19 um 19.34.071798×1144 480 KB

Grüße
Oliver