TOTP Reset nicht möglich

RockA · 25. Juli 2025 um 08:51

Hallo zusammen,
wir haben seit letzter Woche die Kollegen in LMN (7.3) und in edulution (v1.3) und sind fleißig am Vorbereiten für unseren produktiven Umstieg im den Sommerferien.
Wir würden gerne direkt die 2FA aktivieren, dabei haben wir jetzt die ersten Probleme bei Leuten, in denen der TOTP ungültig ist (Username und Passwort gehen und 2FA an Schulkonsole ebenfalls).
Ich habe versucht als global-admin einen Weg zu finden das TOTP Secret für einen User zu resetten in edulution, aber keine Möglichkeit gefunden.
Wenn ich mich auf den Keycloak einlogge sehe ich im realm edulution den User und kann einen „Credential Reset“ mit „Configure OTP“ anstoßen, das führt aber zu nichts (Fehlermeldung " * Failed: Failed to send execute actions email").
Wie bekomme ich das hin?

Danke für eure Hilfe!

Maurice · 25. Juli 2025 um 12:10

Hallo,

das resetten kommt mit der 1.4 (nächste Woche) in das Frontend. Bis dahin geht es nur über die DB.

VG, Maurice

RockA · 5. August 2025 um 09:59

Okay, nun haben wir das Update durchgeführt, können aber mit dem global-admin keine Einstellungen mehr vornehmen. Woran könnte das liegen?

baumhof · 5. August 2025 um 12:24

Hallo RockA,

hast du mal den edulution server neu gestartet?
Wie sieht das „können keine Einstellungen mehr machen“ genau aus?

LG
Holger

RockA · 5. August 2025 um 12:53

Hallo Holger,
ja haben wir gemacht.
Zeigt sich so, dass man als global-admin nur noch das Dashboard sieht.

TomlDev · 6. August 2025 um 08:04

Hallo RockA,
hat der User denn die Gruppenmitgliedschaft /role-globaladministrator oder /role-schooladministrator ?

Lg Tom

baumhof · 6. August 2025 um 08:17

Hallo RockA,

das solltest du auf dem Server mittels:

sophomorix-user -i -u global-admin

herausbekommen.
Bei mir:
memberOf: CN=all-internet,OU=Management,OU=GLOBAL,DC=DOMAIN,DC=lan
memberOf: CN=all-intranet,OU=Management,OU=GLOBAL,DC=DOMAIN,DC=lan
memberOf: CN=all-printing,OU=Management,OU=GLOBAL,DC=DOMAIN,DC=lan
memberOf: CN=all-webfilter,OU=Management,OU=GLOBAL,DC=DOMAIN,DC=lan
memberOf: CN=all-wifi,OU=Management,OU=GLOBAL,DC=DOMAIN,DC=lan
memberOf: CN=global-admins,OU=Management,OU=GLOBAL,DC=DOMAIN,DC=lan
memberOf: CN=role-globaladministrator,OU=Groups,OU=GLOBAL,DC=DOMAIN,DC=lan

LG
Holger

RockA · 14. August 2025 um 22:19

Hi Holger, also von Seiten Linuxmuster ist alles okay. Der Keycloak hat die Gruppen nicht richtig gesynced. Es gibt nun einige Bugfixes in Version 1.5.2 das Problem scheint damit gelöst und die Gruppen werden ordentlich übernommen.
Ein Work-Around war die betreffenden User (z.B. den global-admin) aus Keycloak komplett zu löschen und neu zu importieren.

Leider ist nach dem aktuellen Update unserere Mailcow nun komplett kaputt. Aber das gehört zum anderen Thema