Neuanlage neuer Nutzer - Zugriff 'flackert'

grefabu 2020-08-27 07:56:55 UTC #1

Moin,

welche Rechte außer an dem Modul Guacamole benötigt ein Benutzer noch?

Ich habe eine Gruppe GUACAMOLE angelegt, diese hat nur Zugriff auf das Modul Guacamole. In diese habe ich einen neuen Nutzer eingefügt. Diesen auch auf eine Verbindung berechtigt.

Melde ich mich mit dem neuen Nutzer an, gehe auf Guacamole, flackert der Zugriff
mit dieser Meldung:

Um herauszufinden, welche Rechte noch nötig sind habe ich mal in unsere Standardgruppe geschmissen, diese hat u.a.

Einstellungen
EPL-Funktionen
Adressbuch
etc.

Damit konnte der Benutzer auf Guacamole zugreifen, der Zugriff geht sogar, nachdem ich ihn aus der Gruppe wieder herausgenommen habe,…

Welche Berechtigung ist denn nötig, um den zukünftig bei Neuanlage vorwegzugreifen?

Grüße

Gregor

grefabu 2020-08-27 10:41:46 UTC #2

Moin,

erst als ich der Gruppe Rechte an Rocket.Chat gegeben habe, ging der Problemlose zugriff auf guacamole.

Wo steckt der Käfer? OpenID?

Grüße

Gregor

Übrigens auch hier: Nehme ich die Rechte an Rocket.Chat wieder weg, kann sich der Nutzer weiterhin an guacamole anmelden.

StefanU 2020-08-27 18:18:29 UTC #3

Moin Gregor.

Ich kann das nachvollziehen.

Bitte versuche ein mal einen weiteren neuen Benutzer wieder mit der bestehenden Gruppe und nur Guacamole-Rechte. Bei mir funktioniert das dann auch bei einem neuen Benutzer.

Stefan

grefabu 2020-08-28 06:53:45 UTC #4

Hmm

das kann ich beim ersten Versuch noch nicht bestätigen, aber ich erhalte plötzlich dieses hier:

Anmeldung Hans Wurst

Der Wird dann zum Doping Star:

grefabu 2020-08-28 06:55:47 UTC #5

Dieses Verhalten konnt ich mit Lance Armstrong auch nachvollziehen,…

Ich habe zwischendurch nicht den Cache gelöscht,…

grefabu 2020-08-28 06:57:11 UTC #6

Es geht sogar so weit, das Lance die zugewiesene RDP Verbindung von Jan bekommt.

Das geht doch gar nicht,…

StefanU 2020-08-28 08:26:49 UTC #7

Dazu musst du eines verstehen:
Meldest du dich über den/einen Identity-Provider, in dem Fall über EGw an, so hast du eine Sitzung zwischen Browser und Guacamole. Guacamole wird ja “nur” als iFrame in EGw eingebunden.
Diese Sitzung bleibt nach der Abmeldung von EGw bestehen (wenn du nicht manuell aufräumst).
Eine Abmeldung von EGw bewirkt (derzeit) keine Abmeldung von Guacamole. Bei Rocket.Chat haben wir das realisieren können, bei Guacamole ist das aber nicht so einfach. Das steht aber noch auf unserer ToDo-Liste. Die Priorität ist aber nicht sehr hoch. Es gab in den letzten Wochen wichtigeres und aktuell auch.

Wir hatten das Thema auch schon einmal hier im Forum diskutiert:

Lass uns erst einmal dein Thema lösen. Zum Testen deines Problems verwendest du besser immer eine neue private Browser-Instanz.

Stefan

grefabu 2020-08-28 08:50:40 UTC #8

Das Szenario hatte ich damals nicht verstanden bzw. nachvollziehen können.

Aber zum aktuellen:

Lance Armstrong konnte sich ohne flackern am Guacamole anmelden, auch nachdem ich die Gruppenrechte an RC entzogen hatte.

Aber nur an dem Browser an dem es vorher ging. Ich bin auf einen anderen Rechner gegangen, da flackerts wieder,…

RalfBecker 2020-10-07 15:07:32 UTC #9

Hatte gerade ebenen einen Kunden am Telefon mit genau dem Problem.

Nach dem der Benutzer wieder Rocket.Chat Ausführungsrechte bekommen hat, ging auch Guacamole wieder.

Muss ich mir anschauen, gebe dann hier auch Bescheid, wenn ich was gefunden habe.

Soll definitiv nicht so sein!

Ralf

RalfBecker 2020-10-07 15:54:24 UTC #10

Problem gefunden und behoben:

Kommt mit dem nächsten Maintenance update, oder kann wie folgt manuell installiert werden:

curl https://github.com/EGroupware/openid/commit/3695292bae9bdec33ef922042aa2d8f11a06cf7c.patch | docker exec -i egroupware patch -p1 -d/usr/share/egroupware/openid
curl https://github.com/EGroupware/openid/commit/3695292bae9bdec33ef922042aa2d8f11a06cf7c.patch | docker exec -i egroupware patch -p1 -d/usr/share/egroupware-sources/openid
docker exec -it egroupware kill -s USR2 1

Ralf