ich installiere gerade Rocket.Chat mit Anbindung an LM7 und dank der Tipps hier im Forum klappt die Authentifizierung mittels LDAP gut.
Leider aber nicht die Gruppenanbindung. Die bisherigen Tipps in verschiedenen Foren klappen nicht.
Ich möchte eigentlich nur, dass die Schüler die normale Rolle User in Rocket.Chat bekommen und die Lehrer eine von mir in Rocket.Chat neu angelegte Rolle Teachers. Ich habe bereits verschiedene Gruppenfilter versucht, aber entweder bekommen alle Benutzer die Rolle Teachers zugewiesen oder keiner.
Meine versuchten Gruppenfilter sind aus einem anderen Forum zu nextcloud und LM7:
(&(|(objectclass=group))(|(cn=role-*)))
mit BASE DN: ou=groups,ou=global,dc=linuxmuster,dc=lan
ODER ou=global,dc=linuxmuster,dc=lan
aus meinem funktionierenden nextcloud-Zugang kopiert:
(&(|(objectclass=group))(|(cn=5*)(cn=6*)(cn=7*)(cn=8*)(cn=9*)(cn=1*)(cn=q*)(cn=e*)(cn=p_*)(cn=teachers)))
mit beiden Base DN
Meine Benutzerdatengruppenzuordnung in Rocket.Chat ist dann
{
„role-student“: „user“,
„role-teacher“: „Teachers“
}
Ich verzweifle langsam, immer bekommen auch die Schüler die Rolle Teachers zugewiesen.
Oliver
Das wirft alle Klassen, Projekte und roles aus und zumindest bei mir war es dann auch so, dass Schüler NUR role-student und Lehrer NUR rolte-teacher hatten (plus Klassen und Projekte).
(Schüler: role-student, Lehrer: role-teacher; und role-schooladministrator und role-globaladministrator gibt es auch noch)
wenn ich die Zeile genau genug abtippe, klappt das Einloggen auch gut. Dennoch bekommen sowohl Lehrer als auch Schüler die Rolle Teacher, obwohl meine Schüler definitiv nicht in der Gruppe der Lehrer im AD sind. Ich glaube so langsam, dass nicht das AD das Problem macht, sondern dass mein Rocket.Chat trotz mehrfacher Neuinstallation einen Bug hat.
Aber wie kann man das testen, außer neu zu installieren ;))
Grüße
Oliver
Das Problem, das ich nicht verstehe, ist: die Struktur in LDAP sehe ich mir mit dem AD Explorer an und es passt alles. Mein alten Zeilen und die Zeilen von Dorian passen.
Wenn ich etwas in Rocket.Chat falsch eintrage, wird auch der Zugang gesperrt. Wenn ich alles richtig mache, klappt der Zugang sofort.
ABER: die Zuordnung der Gruppe zur Rolle in Rocket.Chat klappt nicht. Es bekommen immer alle zugelassenen User die selbe Rolle zugewiesen. Und zwar die Teachers-Rolle, die ich in der Benutzerdatengruppenzuordnung angegeben habe. Also wird die Gruppe tatsächlich geprüft und eine Rolle wird ausgewählt, aber eben dieselbe für Schüler und Lehrer, obwohl Teachers nur bei role-teacher steht.
Kann es sein, dass die Benutzerdatengruppenzuordnung benutzt wird, auch wenn mein Gruppenfilter falsch ist bzw. wenn ich bei der BaseDN zu viel angegeben habe? Und wieso sind dann die Schüler trotzdem role-teacher und werden zur Rolle Teachers?
Ich kann leider gerade keine Tests machen, da das System ein Backup fährt und ich bei Rocket.Chat von snap zu docker wechsle. Ich weiß, dass das nichts bringt, aber ich bin halt verzweifelt
Das wundert mich … in der Nextcloud funktioniert das ohne Probleme.
Kannst du einen Screenshot von der Eingabemaste in rocket.chat schicken?
Manchmal ist das mit dem LDAP echt ein Krampf…
noch was komisches: wenn ich deine Zeile einbaue role-studen oder role-teache dann werden auch alle Rollen zugewiesen. Also anscheinend immer dann, wenn der Filter nicht greift.
ich meine mich dunkel an einen Bug erinnern zu können, aber es ist schon lange her, dass ich Rocket.Chat bei uns eingerichtet habe. Versuche mal, alle Zuordnungen außer der für den Lehrer rauszunehmen. Ich meine, dass mehrere Zuordnungen bei mir damals auch nicht funktioniert hatten. Daher haben die Schüler bei mir die Standardrolle „user“ und die Lehrer die Rolle „lehrer“, bei dir wäre das dann „Teachers“.
Ok, das klingt stimmig. Was muss bei dem Filter hin? Wenn ich meine aktuellen probiere, lehnt das System die User ab.
(&(!(|(cn=attic)(cn=global-students)))(|(memberof=CN=role-teacher,OU=Groups,OU=GLOBAL,DC=linuxmuster,DC=lan))
Oliver
Ich habe ihn zu (&(cn=#{groupName})(member=#{username}))
geändert, da im LDAP Browser nur member steht. Dann bekommt aber niemand die Rolle Teachers
Oliver