Nextcloud lässt nur User aus OU "Users" zu

nzimmermann · June 28, 2017, 9:09am

Hallo zusammen,

zuerst -> Ich betreibe gerade die ersten Gehversuche mit dem UCS System. Alles in allem bis dato ein schönes System, welches klar und übersichtlich ist -> Angenehm

Und nun zum Problem:

System läuft als Memberserver in einem Windows AD (2012 R2),
UCS 4.2.1 -> Nextcloud installiert,
Domain Join durch,
LDAP Konnektivität geprüft -> OK,
mit Hilfe diverser sudo -u www-data php /var/www/html/occ ldap:set-config Commands im Container gespielt und ldapBaseUsers z.B. auf die OU “Internal” geändert.
In dieser OU befinden sich einige User, die ich idealerweise für Nextcloud autorisieren möchte - was aber nicht geht. Verschiebe ich User X in die OU Users (std. OU aus dem MS AD), dann kann dieser User sich sofort anmelden.

Wo ist mein Fehler?

troeder · June 28, 2017, 9:22am

Hallo,

man kann sich bei Nextcloud als “Administrator” einloggen und dann in den Einstellungen für LDAP/AD die base DNs für die Suchen nach Usern und Gruppen ändern.

Gruß
Daniel Tröder

nzimmermann · June 28, 2017, 9:33am

Hallo,

ja, das ist mir bekannt und das wurde bereits getestet - nicht erfolgreich.
Ändere ich die OU dort auf “internal”, kann sich trotzdem niemand anmelden, der sich in dieser OU befindet. Im UCS Benutzer Bereich ist der Marker “Zugang für NextCloud” definitiv aktiv für den entsprechenden Testuser.

Grandjean · June 28, 2017, 9:34am

Hallo,

eigentlich sollte die Änderung der LDAP-Search-Base auch über das occ-Tool und ldap:set-config funktionieren. Kannst du uns mal die gesamte LDAP-Config zeigen? (Ich glaube das ging über occ ldap:show-config oder so ähnlich)

Gruß,
Michael Grandjean

Edit: das hat sich jetzt überschnitten, trotzdem wäre die ldap-config von Nextcloud interessant.

nzimmermann · June 28, 2017, 9:36am

+-------------------------------+----------------------------------------------------------------------+
| Configuration                 | s01                                                                  |
+-------------------------------+----------------------------------------------------------------------+
| hasMemberOfFilterSupport      | 0                                                                    |
| hasPagedResultSupport         |                                                                      |
| homeFolderNamingRule          |                                                                      |
| lastJpegPhotoLookup           | 0                                                                    |
| ldapAgentName                 | cn=nextc-34974801,cn=memberserver,cn=computers,dc=myklundzi,dc=local |
| ldapAgentPassword             | ***                                                                  |
| ldapAttributesForGroupSearch  |                                                                      |
| ldapAttributesForUserSearch   | uid;givenName;sn;employeeNumber;mailPrimaryAddress                   |
| ldapBackupHost                |                                                                      |
| ldapBackupPort                |                                                                      |
| ldapBase                      | dc=myklundzi,dc=local                                                |
| ldapBaseGroups                | cn=groups,dc=myklundzi,dc=local                                      |
| ldapBaseUsers                 | cn=users,dc=myklundzi,dc=local                                       |
| ldapCacheTTL                  | 600                                                                  |
| ldapConfigurationActive       | 1                                                                    |
| ldapDynamicGroupMemberURL     |                                                                      |
| ldapEmailAttribute            | mailPrimaryAddress                                                   |
| ldapExperiencedAdmin          | 1                                                                    |
| ldapExpertUUIDGroupAttr       |                                                                      |
| ldapExpertUUIDUserAttr        |                                                                      |
| ldapExpertUsernameAttr        | uid                                                                  |
| ldapGroupDisplayName          | cn                                                                   |
| ldapGroupFilter               | (&(objectclass=nextcloudGroup)(nextcloudEnabled=1))                  |
| ldapGroupFilterGroups         |                                                                      |
| ldapGroupFilterMode           | 1                                                                    |
| ldapGroupFilterObjectclass    | nextcloudGroup                                                       |
| ldapGroupMemberAssocAttr      | uniqueMember                                                         |
| ldapHost                      | myklundzi-ucs.myklundzi.local                                        |
| ldapIgnoreNamingRules         |                                                                      |
| ldapLoginFilter               | (&(objectclass=nextcloudUser)(nextcloudEnabled=1)(uid=%uid))         |
| ldapLoginFilterAttributes     |                                                                      |
| ldapLoginFilterEmail          | 0                                                                    |
| ldapLoginFilterMode           | 1                                                                    |
| ldapLoginFilterUsername       | 1                                                                    |
| ldapNestedGroups              | 0                                                                    |
| ldapOverrideMainServer        |                                                                      |
| ldapPagingSize                | 500                                                                  |
| ldapPort                      | 7389                                                                 |
| ldapQuotaAttribute            | nextcloudQuota                                                       |
| ldapQuotaDefault              |                                                                      |
| ldapTLS                       | 0                                                                    |
| ldapUserDisplayName           | displayName                                                          |
| ldapUserDisplayName2          |                                                                      |
| ldapUserFilter                | (&(objectclass=nextcloudUser)(nextcloudEnabled=1))                   |
| ldapUserFilterGroups          |                                                                      |
| ldapUserFilterMode            | 1                                                                    |
| ldapUserFilterObjectclass     |                                                                      |
| ldapUuidGroupAttribute        | auto                                                                 |
| ldapUuidUserAttribute         | auto                                                                 |
| turnOffCertCheck              | 0                                                                    |
| turnOnPasswordChange          | 0                                                                    |
| useMemberOfToDetectMembership | 0                                                                    |
+-------------------------------+----------------------------------------------------------------------+
+-------------------------------+----------------------------------------------------------------------+
| Configuration                 | s02                                                                  |
+-------------------------------+----------------------------------------------------------------------+
| hasMemberOfFilterSupport      | 0                                                                    |
| hasPagedResultSupport         |                                                                      |
| homeFolderNamingRule          |                                                                      |
| lastJpegPhotoLookup           | 0                                                                    |
| ldapAgentName                 | cn=nextc-34974801,cn=memberserver,cn=computers,dc=myklundzi,dc=local |
| ldapAgentPassword             | ***                                                                  |
| ldapAttributesForGroupSearch  |                                                                      |
| ldapAttributesForUserSearch   | uid;givenName;sn;employeeNumber;mailPrimaryAddress                   |
| ldapBackupHost                |                                                                      |
| ldapBackupPort                |                                                                      |
| ldapBase                      | dc=myklundzi,dc=local                                                |
| ldapBaseGroups                | cn=groups,dc=myklundzi,dc=local                                      |
| ldapBaseUsers                 | cn=users,dc=myklundzi,dc=local                                       |
| ldapCacheTTL                  | 600                                                                  |
| ldapConfigurationActive       | 1                                                                    |
| ldapDynamicGroupMemberURL     |                                                                      |
| ldapEmailAttribute            | mailPrimaryAddress                                                   |
| ldapExperiencedAdmin          | 1                                                                    |
| ldapExpertUUIDGroupAttr       |                                                                      |
| ldapExpertUUIDUserAttr        |                                                                      |
| ldapExpertUsernameAttr        | uid                                                                  |
| ldapGroupDisplayName          | cn                                                                   |
| ldapGroupFilter               | (&(objectclass=nextcloudGroup)(nextcloudEnabled=1))                  |
| ldapGroupFilterGroups         |                                                                      |
| ldapGroupFilterMode           | 1                                                                    |
| ldapGroupFilterObjectclass    | nextcloudGroup                                                       |
| ldapGroupMemberAssocAttr      | uniqueMember                                                         |
| ldapHost                      | myklundzi-ucs.myklundzi.local                                        |
| ldapIgnoreNamingRules         |                                                                      |
| ldapLoginFilter               | (&(objectclass=nextcloudUser)(nextcloudEnabled=1)(uid=%uid))         |
| ldapLoginFilterAttributes     |                                                                      |
| ldapLoginFilterEmail          | 0                                                                    |
| ldapLoginFilterMode           | 1                                                                    |
| ldapLoginFilterUsername       | 1                                                                    |
| ldapNestedGroups              | 0                                                                    |
| ldapOverrideMainServer        |                                                                      |
| ldapPagingSize                | 500                                                                  |
| ldapPort                      | 7389                                                                 |
| ldapQuotaAttribute            | nextcloudQuota                                                       |
| ldapQuotaDefault              |                                                                      |
| ldapTLS                       | 0                                                                    |
| ldapUserDisplayName           | displayName                                                          |
| ldapUserDisplayName2          |                                                                      |
| ldapUserFilter                | (&(objectclass=nextcloudUser)(nextcloudEnabled=1))                   |
| ldapUserFilterGroups          |                                                                      |
| ldapUserFilterMode            | 1                                                                    |
| ldapUserFilterObjectclass     |                                                                      |
| ldapUuidGroupAttribute        | auto                                                                 |
| ldapUuidUserAttribute         | auto                                                                 |
| turnOffCertCheck              | 0                                                                    |
| turnOnPasswordChange          | 0                                                                    |
| useMemberOfToDetectMembership | 0                                                                    |
+-------------------------------+----------------------------------------------------------------------+
+-------------------------------+----------------------------------------------------------------------+
| Configuration                 | s03                                                                  |
+-------------------------------+----------------------------------------------------------------------+
| hasMemberOfFilterSupport      | 0                                                                    |
| hasPagedResultSupport         |                                                                      |
| homeFolderNamingRule          |                                                                      |
| lastJpegPhotoLookup           | 0                                                                    |
| ldapAgentName                 | cn=nextc-34974801,cn=memberserver,cn=computers,dc=myklundzi,dc=local |
| ldapAgentPassword             | ***                                                                  |
| ldapAttributesForGroupSearch  |                                                                      |
| ldapAttributesForUserSearch   | uid;givenName;sn;employeeNumber;mailPrimaryAddress                   |
| ldapBackupHost                |                                                                      |
| ldapBackupPort                |                                                                      |
| ldapBase                      | dc=myklundzi,dc=local                                                |
| ldapBaseGroups                | cn=groups,dc=myklundzi,dc=local                                      |
| ldapBaseUsers                 | cn=users,dc=myklundzi,dc=local                                       |
| ldapCacheTTL                  | 600                                                                  |
| ldapConfigurationActive       | 1                                                                    |
| ldapDynamicGroupMemberURL     |                                                                      |
| ldapEmailAttribute            | mailPrimaryAddress                                                   |
| ldapExperiencedAdmin          | 1                                                                    |
| ldapExpertUUIDGroupAttr       |                                                                      |
| ldapExpertUUIDUserAttr        |                                                                      |
| ldapExpertUsernameAttr        | uid                                                                  |
| ldapGroupDisplayName          | cn                                                                   |
| ldapGroupFilter               | (&(objectclass=nextcloudGroup)(nextcloudEnabled=1))                  |
| ldapGroupFilterGroups         |                                                                      |
| ldapGroupFilterMode           | 1                                                                    |
| ldapGroupFilterObjectclass    | nextcloudGroup                                                       |
| ldapGroupMemberAssocAttr      | uniqueMember                                                         |
| ldapHost                      | myklundzi-ucs.myklundzi.local                                        |
| ldapIgnoreNamingRules         |                                                                      |
| ldapLoginFilter               | (&(objectclass=nextcloudUser)(nextcloudEnabled=1)(uid=%uid))         |
| ldapLoginFilterAttributes     |                                                                      |
| ldapLoginFilterEmail          | 0                                                                    |
| ldapLoginFilterMode           | 1                                                                    |
| ldapLoginFilterUsername       | 1                                                                    |
| ldapNestedGroups              | 0                                                                    |
| ldapOverrideMainServer        |                                                                      |
| ldapPagingSize                | 500                                                                  |
| ldapPort                      | 7389                                                                 |
| ldapQuotaAttribute            | nextcloudQuota                                                       |
| ldapQuotaDefault              |                                                                      |
| ldapTLS                       | 0                                                                    |
| ldapUserDisplayName           | displayName                                                          |
| ldapUserDisplayName2          |                                                                      |
| ldapUserFilter                | (&(objectclass=nextcloudUser)(nextcloudEnabled=1))                   |
| ldapUserFilterGroups          |                                                                      |
| ldapUserFilterMode            | 1                                                                    |
| ldapUserFilterObjectclass     |                                                                      |
| ldapUuidGroupAttribute        | auto                                                                 |
| ldapUuidUserAttribute         | auto                                                                 |
| turnOffCertCheck              | 0                                                                    |
| turnOnPasswordChange          | 0                                                                    |
| useMemberOfToDetectMembership | 0                                                                    |
+-------------------------------+----------------------------------------------------------------------+

Das ist die aktuelle Config, die funktioniert. Ich ändere NUR ldapBaseUsers ab, wenn ich was teste.

blizzz · June 28, 2017, 10:20am

Der Base User Tree muss explizit gesetzt werden. Die generelle Base wird als Fallback genutzt, falls der nicht gesetzt sein sollte. Siehe https://docs.nextcloud.com/server/11/admin_manual/configuration_user/user_auth_ldap.html#directory-settings

nzimmermann · June 28, 2017, 10:25am

Danke für die Antwort. Wie sicherlich schon aufgefallen -> Kein LDAP Profi. Deswegen benötige ich wohl etwas “Händchen halten”

Das sieht dann so aus, richtig? Respektive -> Statt “users” -> “internal” setzen, richtig?
Respektive -> Zweiter Eintrag ala “cn=internal,dc=myklundzi,dc=local” in der Zeile darunter.

troeder · June 28, 2017, 10:48am

Wahrscheinlicher ist cn=users,ou=internal,dc=myklundzi,dc=local aber am Besten ins LDAP schauen:
udm users/user list --filter uid=<einusername> | egrep ^DN

Grandjean · June 28, 2017, 10:56am

Ich vermute mal internal ist kein gewöhnlicher Container sondern eine OU? Das wäre zumindest der Default bei Windows AD. Dann müsste der Eintrag ou=internal,dc=myklundzi,dc=local lauten und nicht cn=internal

nzimmermann · June 28, 2017, 12:37pm

Teile der Antwort auf diese Frage könnten die Bevölkerung erschrecken.

Aerm, ich teste das eben… (aua…)

nzimmermann · June 28, 2017, 1:11pm

Das war es.

Vielen, vielen Dank für die ausführliche, geduldige und fachliche Hilfe!