Auteur Topic: Admin rechten verwijderen van LDAP user werkt niet  (gelezen 2916 keer)

Offline Boudewijn99

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 6
Admin rechten verwijderen van LDAP user werkt niet
« Gepost op: 18 augustus 2019, 15:26:35 »
Een paar weken terug heb ik de LDAP server werkend gekregen voor mijn 3 NAS-sen.
Ik ben nu een opschoonronde aan het doen voor permissies, en probeer de admin rechten van een LDAP user af te halen:

  • Op de LDAP server de desbetreffende user uit de administrators groep gehaald
  • Het vinkje bij de groep is en blijft keurig uit
  • De user blijft echter gewoon zijn admin rechten houden
  • In ldapadmin zie ik dat de user inderdaad nog member is van de administrators groep
  • Ook in ldapadmin kan ik dit group membership niet verwijderen

Ik heb geen flauw idee waarom dit niet lukt. Iemand suggesties?

Alvast dank
Boudewijn

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1220
  • -Ontvangen: 7171
  • Berichten: 41.002
  • Synology is awesome.
    • RAID = BACKUP?
Re: Admin rechten verwijderen van LDAP user werkt niet
« Reactie #1 Gepost op: 18 augustus 2019, 20:45:56 »
Ik heb geen idee hoe LDAP werkt maar, toch even getest.

Nieuwe gebruiker Birdy toegevoegd:

45757-0

45759-1

Citaat
Op de LDAP server de desbetreffende user uit de administrators groep gehaald
45761-2

Citaat
Het vinkje bij de groep is en blijft keurig uit
Inderdaad.

Citaat
De user blijft echter gewoon zijn admin rechten houden
Weet niet hoe dit te controleren.

Citaat
In ldapadmin zie ik dat de user inderdaad nog member is van de administrators groep
Weet niet wat je bedoelt met "In ldapadmin" (waarschijnlijk mijn onkunde) maar ik kijk in:
45763-3
En zie dat Birdy uit de groep is.


CS406     DSM 2.0-0731
DS107+    DSM 3.1-1639
DS107+    DSM 3.1-1639
DS508     DSM 4.0-2265
DS111     DSM 5.2-5967-9
DS411slim DSM 6.2.4-25556
DS411+II  DSM 6.2.4-25556-6
DS413J    DSM 6.2.3-25426-2
DS213J    DSM 6.2.3-25426-2
DS115J    DSM 7.1.1-42962-3
DS1515+   DSM 6.2.4-25556-6
DS716+II  DSM 6.2.4-25556-6
-----VMM  DSM 7.0.1-42218-5
DS918+    DSM 6.2.4-25556-6
DS220+    DSM 7.1.1-42962-3
-----VMM  DSM 6.2.4-25556-6
RT2600ac  SRM 1.2.5-8227-7
MR2200ac  SRM 1.2.5-8227-7

Offline Boudewijn99

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 6
Re: Admin rechten verwijderen van LDAP user werkt niet
« Reactie #2 Gepost op: 18 augustus 2019, 21:05:10 »
ldapadmin is een windows utility waarmee je connect met de ldap server en dan de inhoud van de ldap tree kunt zien en eventueel aanpassen.

Je bevindingen kloppen met wat ik ook zie, mijn user (Boudewijn) heeft de administrators groep ook niet meer aangevinkt.



In LDAP kun je zien dat de user Boudewijn nog steeds member is van administrators.



Er zouden dus veel minder icons in DSM beschikbaar moeten zijn voor een niet-admin (denk aan admin panel) maar dit is er allemaal nog en de user kan nog alles dan gelijk aan een admin.

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1220
  • -Ontvangen: 7171
  • Berichten: 41.002
  • Synology is awesome.
    • RAID = BACKUP?
Re: Admin rechten verwijderen van LDAP user werkt niet
« Reactie #3 Gepost op: 18 augustus 2019, 21:13:20 »
Dan is ldapadmin een stapje te ver voor mij ;) en kan je dus niet verder helpen.


CS406     DSM 2.0-0731
DS107+    DSM 3.1-1639
DS107+    DSM 3.1-1639
DS508     DSM 4.0-2265
DS111     DSM 5.2-5967-9
DS411slim DSM 6.2.4-25556
DS411+II  DSM 6.2.4-25556-6
DS413J    DSM 6.2.3-25426-2
DS213J    DSM 6.2.3-25426-2
DS115J    DSM 7.1.1-42962-3
DS1515+   DSM 6.2.4-25556-6
DS716+II  DSM 6.2.4-25556-6
-----VMM  DSM 7.0.1-42218-5
DS918+    DSM 6.2.4-25556-6
DS220+    DSM 7.1.1-42962-3
-----VMM  DSM 6.2.4-25556-6
RT2600ac  SRM 1.2.5-8227-7
MR2200ac  SRM 1.2.5-8227-7

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 167
  • -Ontvangen: 2456
  • Berichten: 15.585
Re: Admin rechten verwijderen van LDAP user werkt niet
« Reactie #4 Gepost op: 19 augustus 2019, 09:20:34 »
Ik heb het zelf even getest. Ik heb mijn LDAP user even uit de administrator groep gehaald. Dat mocht ook al was er nu geen administrator meer. Als ik nu met die user inlog zie ik dat ik geen administrator zaken kan doen.  Hier gaat het dus goed.

Weet je zeker dat die user niet ook in de gewone dsm users zit?

Ik heb b.v. een LDAP user met dezelfde accountnaam als mijn gewone account. Om met die LDAP user in te loggen moet ik met de volledige domeinnaam inloggen: "account@mijndomijn.nl". Als een account uniek is dan is alleen de accountnaam voldoende.

Oftewel: weet je zeker dat die inlognaam niet ook bij de gewone dsm users zit.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Boudewijn99

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 6
Re: Admin rechten verwijderen van LDAP user werkt niet
« Reactie #5 Gepost op: 19 augustus 2019, 19:02:11 »
Ik heb met opzet geen gelijke usernamen lokaal en in LDAP, behalve admin om een of andere reden.

Maar, geïnspireerd door alle testen heb ik op een andere NAS een 2e LDAP server gestart en allereerst al mijn groepen gekopieerd. Tot mijn verbijstering leverde dat 3 groepen minder op en wat bleek: in de oude LDAP server werden 19 groepen getoond maar 22 geteld!

Bij de opzet van LDAP heb ik in eerste instantie een andere FQDN gebruikt, wat geen probleem leek te zijn. In de praktijk leidt het echter tot de situatie dat de oude FQDN nog steeds in LDAP aanwezig is, maar niet meer aangepast kan worden, want niet zichtbaar. Met andere woorden, mijn user bestond dus in twee cn's, waarbij ik hem er maar in 1 cn uit de admin group kon verwijderen, en Synology blijkbaar de waardes van beide cn's bij elkaar optelde.

Via ldapadmin het in de oude cn uit de ldap database verwijderd en de user gedraagt zich nu als een gewone user. Geen admin rechten meer.

Met dank voor alle meedenken!


 

VPN opzetten om toegang te krijgen tot admin pagina

Gestart door pikesBoard Synology Router

Reacties: 9
Gelezen: 2204
Laatste bericht 04 november 2016, 20:00:30
door pikes
Alleen "admin" kan via webinterface inloggen

Gestart door hgrBoard Synology DSM algemeen

Reacties: 9
Gelezen: 1128
Laatste bericht 26 mei 2021, 09:44:08
door hgr
admin veranderen van ds214se

Gestart door SkapinoBoard Synology DSM algemeen

Reacties: 3
Gelezen: 1108
Laatste bericht 31 oktober 2016, 12:01:27
door Briolet
Download Station probleem na veranderen Admin. naam

Gestart door RATBoard Download Station

Reacties: 2
Gelezen: 1332
Laatste bericht 06 augustus 2014, 16:41:58
door RAT
ADMIN aanpassen

Gestart door RATBoard Synology DSM algemeen

Reacties: 4
Gelezen: 7356
Laatste bericht 03 augustus 2014, 20:20:20
door Babylonia