Ich habe Nextcloud Hub 3 (25.0.1) in einem Docker Container am laufen und auch erfolgreich LDAP konfiguriert.
In LDAP angelegte Benutzer und Gruppen sehe ich in Nextcloud. Entsprechende LDAP-Benutzer können sich auch an Nextcloud anmelden.
Wenn ich allerdings einen neuen Benutzer in Nextcloud anlege ist der Benutzer-Backend Speicherort Database anstelle LDAP. Weiter kann ich diesen lokal angelegten Benutzer auch keiner LDAP Gruppe zuordnen (die lokalen Gruppen gehen, LDAP Gruppen sind grau hinterlegt).
Du kannst keine LDAP User in deiner Nextcloud anlegen. Falls das ginge würde das ja bedeuten, dass deine NC schreibzugriff auf dein Active DIrectory hätte - was ein schweres Sicherheitsproblem darstellen würde.
Daher neue User entweder im Active Directory anlegen und dort die Credentials pflegen oder aber lokale User in der Nextcloud anlegen die dann in der lokalen Database gespeichert sind. Die tauchen dann natürlich nicht in den AD_Gruppen auf, die von der Nextcloud ausgelesen werden.
Bei dem LDAP Login hast du zus. das Problem, dass User ihr Passwort nicht über die Weboberfläche zurücksetzen können (Schreibzugriff auf AD). LDAP-User werden auch normalerweise von der IT gepflegt bzw. angelegt. Passwort ändern geht über den Client - z.B. Windows STRG+ALT+Entf → Kennwort ändern. Das ändert dann das Passwort im AD und somit auch in der Cloud. Wenn User ihr Nextcloud Passwort vergessen bedeutet das gleichzeitig, dass sie sich auch nicht mehr am Client anmelden können und sich mit der IT in Verbindung setzen müssen
Besten Dank für dein rasches Feedback. Mein Benutzer Backend ist ein LDAP-Server auf einem Synology NAS.
Denselben Use-Case läuft bei mir auf einer Nextcloud Version 16.0.5. Wenn ich bei dieser einen neuen Benutzer anlege (klappt sogar über die App Registrierung), wird dieser in LDAP und nicht in der Datenbank gespeichert.
Dies müsste also direkt zu einem späteren Zeitpunkt aus Sicherheitsgründen unterbunden worden sein? In der Doku habe ich allerdings nichts ähnliches gefunden.
Mein Ziel ist:
a) Benutzer können sich selbst registrieren.
b) Speicherung der Benutzer Credentials findet in LDAP statt. So kann ich auch dieselben Benutzer auf weitere Nextcloud Instanzen lassen, ohne das diese sich neu registrieren müssten ;-).
Im Enterprise Einsatz ist es vermutlich tatsächlich so, dass LDAP eher von einem IAM-Team bewirtschaftet wird. Ich möchte aber eben gerne entsprechende Features in meiner privat Cloud einrichten. Da es mit meiner alten Version noch gut funktioniert hat, bei weiteren Zwischenversionen konnte ich LDAP dann gar nicht mehr einbinden und jetzt klappt es wieder aber eben, einfach ohne anlegen von neuen Benutzern…, gehe ich davon aus, das dies doch möglich sein sollte?!
Wie bereits erwähnt - eigentlich macht man sowas aus Sicherheitsgründen nicht aber ja - wenn deine User alle im LDAP sind kannst du natürlich die gleichen Gruppen in weiteren NC Instanzen nutzen und sparst dir somit die zus. Schritte beim Berechtigen der User.
Ob du Schreibzugriff auf dein LDAP hast wird nicht von der Nextcloud definiert, sondern anhand der Rechte des Users der genutzt wird zwecks Abfrage per LDAP.
Hat etwas länger gedauert, wollte dein Feedback mal in einer ruhigen Minute studieren. Der Tipp mit der Erweiterung “Write support for LDAP” war absolut zielführend ;-)!
Dies alleine reicht schon um Benutzer in LDAP via Nextcloud anlegen zu können. Aktuell scheint es noch ein Problem bei der Zuordnung mit der Default LDAP-Gruppe “users” zu geben. Beim Anlegen über das Modul Registrierung wird folgende Fehlermeldung geworfen:
Cannot add to group when gidNumber is used as relation
Ich bin aber schon sehr happy hast du mich ein Schritt weiter gebracht, habe Wochenlang geübt ohne Fortschritte. Nun habe ich zumindest wieder neue/andere Problemfelder welchen ich nachgehen kann.
Ich habe im LDAP auch mal ein NestCloud Admin User angelegt mit entsprechenden Rechten. Mit diesem kann ich mich auch an Nextcloud anmelden. Werde nun erst mal versuchen das Problem mit dxer Default LDAP-Gruppe zu lösen.
