Synology-Forum.nl

Packages => Officiële Packages => Directory Server package => Topic gestart door: Boudewijn99 op 18 augustus 2019, 15:26:35

Titel: Admin rechten verwijderen van LDAP user werkt niet
Bericht door: Boudewijn99 op 18 augustus 2019, 15:26:35
Een paar weken terug heb ik de LDAP server werkend gekregen voor mijn 3 NAS-sen.
Ik ben nu een opschoonronde aan het doen voor permissies, en probeer de admin rechten van een LDAP user af te halen:


Ik heb geen flauw idee waarom dit niet lukt. Iemand suggesties?

Alvast dank
Boudewijn
Titel: Re: Admin rechten verwijderen van LDAP user werkt niet
Bericht door: Birdy op 18 augustus 2019, 20:45:56
Ik heb geen idee hoe LDAP werkt maar, toch even getest.

Nieuwe gebruiker Birdy toegevoegd:

[attach=1]

[attach=2]

Citaat
Op de LDAP server de desbetreffende user uit de administrators groep gehaald
[attach=3]

Citaat
Het vinkje bij de groep is en blijft keurig uit
Inderdaad.

Citaat
De user blijft echter gewoon zijn admin rechten houden
Weet niet hoe dit te controleren.

Citaat
In ldapadmin zie ik dat de user inderdaad nog member is van de administrators groep
Weet niet wat je bedoelt met "In ldapadmin" (waarschijnlijk mijn onkunde) maar ik kijk in:
[attach=4]
En zie dat Birdy uit de groep is.
Titel: Re: Admin rechten verwijderen van LDAP user werkt niet
Bericht door: Boudewijn99 op 18 augustus 2019, 21:05:10
ldapadmin is een windows utility waarmee je connect met de ldap server en dan de inhoud van de ldap tree kunt zien en eventueel aanpassen.

Je bevindingen kloppen met wat ik ook zie, mijn user (Boudewijn) heeft de administrators groep ook niet meer aangevinkt.

[attachimg=1]

In LDAP kun je zien dat de user Boudewijn nog steeds member is van administrators.

[attachimg=2]

Er zouden dus veel minder icons in DSM beschikbaar moeten zijn voor een niet-admin (denk aan admin panel) maar dit is er allemaal nog en de user kan nog alles dan gelijk aan een admin.
Titel: Re: Admin rechten verwijderen van LDAP user werkt niet
Bericht door: Birdy op 18 augustus 2019, 21:13:20
Dan is ldapadmin een stapje te ver voor mij ;) en kan je dus niet verder helpen.
Titel: Re: Admin rechten verwijderen van LDAP user werkt niet
Bericht door: Briolet op 19 augustus 2019, 09:20:34
Ik heb het zelf even getest. Ik heb mijn LDAP user even uit de administrator groep gehaald. Dat mocht ook al was er nu geen administrator meer. Als ik nu met die user inlog zie ik dat ik geen administrator zaken kan doen.  Hier gaat het dus goed.

Weet je zeker dat die user niet ook in de gewone dsm users zit?

Ik heb b.v. een LDAP user met dezelfde accountnaam als mijn gewone account. Om met die LDAP user in te loggen moet ik met de volledige domeinnaam inloggen: "account@mijndomijn.nl". Als een account uniek is dan is alleen de accountnaam voldoende.

Oftewel: weet je zeker dat die inlognaam niet ook bij de gewone dsm users zit.
Titel: Re: Admin rechten verwijderen van LDAP user werkt niet
Bericht door: Boudewijn99 op 19 augustus 2019, 19:02:11
Ik heb met opzet geen gelijke usernamen lokaal en in LDAP, behalve admin om een of andere reden.

Maar, geïnspireerd door alle testen heb ik op een andere NAS een 2e LDAP server gestart en allereerst al mijn groepen gekopieerd. Tot mijn verbijstering leverde dat 3 groepen minder op en wat bleek: in de oude LDAP server werden 19 groepen getoond maar 22 geteld!

Bij de opzet van LDAP heb ik in eerste instantie een andere FQDN gebruikt, wat geen probleem leek te zijn. In de praktijk leidt het echter tot de situatie dat de oude FQDN nog steeds in LDAP aanwezig is, maar niet meer aangepast kan worden, want niet zichtbaar. Met andere woorden, mijn user bestond dus in twee cn's, waarbij ik hem er maar in 1 cn uit de admin group kon verwijderen, en Synology blijkbaar de waardes van beide cn's bij elkaar optelde.

Via ldapadmin het in de oude cn uit de ldap database verwijderd en de user gedraagt zich nu als een gewone user. Geen admin rechten meer.

Met dank voor alle meedenken!