Hallo,
unser LDAP-Auth in Greenlight verschluckt sich bei ähnlichen Loginnamen. Wir haben mehrere Lehrer mit gleichen Nachnamen im Kollegium. Die Loginnamen sind bspw. hubc und hubs bzw. fischd und fischm. Sobald sich diese Kollegen bei Greenlight angemeldet haben, funktioniert der Auth nicht mehr und keiner der betroffenen Kollegen kommt mehr auf Greenlight. (Fehlermeldung: Es ist ein Fehler über Omniauth aufgetreten). Also ob sich der LDAP-Auth nur die ersten Zeichen anschaut…
Hat jemand das selbe Problem und evtl. eine Lösung dafür?
Das Problem dabei ist, dass wir unser BBB extern bei einem Dienstleister hosten, der die Macht über die Configs hat - uns aber momentan den schwarzen Peter zuschieben will (das liegt an eurem Ldap…) Selbstverständlich funktioniert die Authentifizierung der obigen User bei anderen Diensten, wie Nextcloud usw.
Hallo,
eine doppelte Einwahl mit mehreren Geräten als gleicher User geht ja ohnehin immer…
Wir sind schon einen Schritt weiter: Es liegt wohl an den Email-Adressen die automatisch von sophomorix erstellt werden (nachname@…). Diese pflegen wir im LDAP normalerweise nicht, da wir sie nicht benötigen. Aber wenn zwei User den gleichen Nachnamen haben, dann wird für sie auch automatisch die gleiche Email erzeugt - und daran verschluckt sich dann der Greenlight-Auth.
Das ändern der Email im LDAP ist kein Problem - aber wie bringt man jetzt Greenlight bei, dass sich was geändert hat?!
Hallo Thorsten,
das ist im Prinzip kein sophomorix-Problem, sondern ein Greenlight-Problem. Sophomorix macht das so, wie man es eben eingestellt hat. Wir haben das bewusst in nachname@ geändert. Waren uns aber damals nicht bewusst, dass uns das irgendwann auf die Füße fällt. Wenn wir die Standard-Einstellung bei vorname.nachname@…gelassen hätten, dann wäre es wahrscheinlich nicht aufgefallen.
Es geht also letztendlich darum, warum der Greenlight-Auth unbedingt die Emails checkt und vergleicht und dann bei gleicher Email-Adresse rummosert. Es würde doch genügen die Loginnamen abzufragen.
Das Problem ist jetzt halt, dass das Kind in den Brunnen gefallen ist, sobald die Authentifizierung bei diesen Usern fehlschlägt. Wenn ich die Email-Adresse im nachhinein ändere, dann merkt das Greenlight offensichtlich nicht mehr.
Es geht also letztendlich darum, warum der Greenlight-Auth unbedingt die
Emails checkt und vergleicht und dann bei gleicher Email-Adresse
rummosert. Es würde doch genügen die Loginnamen abzufragen.
Das Problem ist jetzt halt, dass das Kind in den Brunnen gefallen ist,
sobald die Authentifizierung bei diesen Usern fehlschlägt. Wenn ich die
Email-Adresse im nachhinein ändere, dann merkt das Greenlight
offensichtlich nicht mehr.
und wenn du die paar NUtzer, die betroffen sind, in Greenlight löschst?
Hallo Holger,
das Problem ist, dass man dazu, soweit ich weiß in der porstgres DB rumeditieren muss… Ich habe wie gesagt keinen ssh-Zugriff auf den Server.
Der Dienstleister sagt, macht er nicht - er bietet nur an die DB komplett zurückzusetzen. Das will ich aber vermeiden, weil dann auch sämtliche erstellten Räume weg wären.
Deshalb ist meine (letzte) Hoffnung, dass Greenlight nach einer gewissen Zeit (oder per cron) selbst checkt, ob es bestimmte Veränderungen in der LDAP DB gab und dann anpasst…
Gruß
Daniel
du kannst dich doch in Greenlight als admin anmelden.
Dann hast du doch oben Rechts auch „Organisation“ un ddann unten auch
Benutzer.
Tauchen da deine LDAP User nicht auf?
Wenn doch:
löschen, richtig löschen und nochmal löschen (ist etwas kompliziert).
Meine Frage kommt natürlich etwas doof rüber, weil ich ja eigentlich gar nicht viel machen kann, da ich nicht auf die configs komme, und hier nach einer Problemlösung frage.
Ich habe mir erhofft, dass ich dem Dienstleister in 1-2 einfachen Schritten verklickern könnte, was er zu tun hat. @baumhof - leider erreiche ich die Admin Seite auch nicht mehr - Fehler 500…Ich werde mal einen Serverneustart veranlassen…
Also, kurze Zusammenfassung: Greenlight kommt nicht damit klar, wenn verschiedene User gleiche Email-Adressen haben. Das sollte man wissen. Bei anderen LDAP Diensten, wie NextCloud, Mediawiki,… ist das offensichtlich kein Thema.
Folgerung für uns: wir hosten unser Greenlight wieder selber und leiten dann von dort auf die BBB-Server unseres Hosters weiter. Der Dienstleister will die Datenbank nicht anfassen (und/oder hat keine Ahnung davon).
Wir nutzen das auch nur für unsere gekauften BBB-Server. @baumhof …wenn das so ist, dann kann ich das aus meinem Beitrag auch wieder rausnehmen.
Gruß
Daniel
