Aug 2020
1 / 10
Aug 2020
Oct 2020
grefabu
Aug '20

Moin,

welche Rechte außer an dem Modul Guacamole benötigt ein Benutzer noch?

Ich habe eine Gruppe GUACAMOLE angelegt, diese hat nur Zugriff auf das Modul Guacamole. In diese habe ich einen neuen Nutzer eingefügt. Diesen auch auf eine Verbindung berechtigt.

Melde ich mich mit dem neuen Nutzer an, gehe auf Guacamole, flackert der Zugriff
mit dieser Meldung:

LOGIN.INFO_OID_PENDING_REDIRECT

Um herauszufinden, welche Rechte noch nötig sind habe ich mal in unsere Standardgruppe geschmissen, diese hat u.a.

  • Einstellungen
  • EPL-Funktionen
  • Adressbuch
  • etc.

Damit konnte der Benutzer auf Guacamole zugreifen, der Zugriff geht sogar, nachdem ich ihn aus der Gruppe wieder herausgenommen habe,…

Welche Berechtigung ist denn nötig, um den zukünftig bei Neuanlage vorwegzugreifen?

Grüße

Gregor

  • created

    Aug '20

  • last reply

    Oct '20
  • 9

    replies

  • 1.6k

    views

  • 3

    users

  • 3

    links

grefabu
Aug '20

Moin,

erst als ich der Gruppe Rechte an Rocket.Chat gegeben habe, ging der Problemlose zugriff auf guacamole.

Wo steckt der Käfer? OpenID?

Grüße

Gregor

Übrigens auch hier: Nehme ich die Rechte an Rocket.Chat wieder weg, kann sich der Nutzer weiterhin an guacamole anmelden.

StefanUEGroupware GmbH
Aug '20

Moin Gregor.

Ich kann das nachvollziehen.

Bitte versuche ein mal einen weiteren neuen Benutzer wieder mit der bestehenden Gruppe und nur Guacamole-Rechte. Bei mir funktioniert das dann auch bei einem neuen Benutzer.

Stefan

grefabu
Aug '20

Dieses Verhalten konnt ich mit Lance Armstrong auch nachvollziehen,…

Ich habe zwischendurch nicht den Cache gelöscht,…

grefabu
Aug '20

Es geht sogar so weit, das Lance die zugewiesene RDP Verbindung von Jan bekommt.

Das geht doch gar nicht,…

StefanUEGroupware GmbH
Aug '20

Dazu musst du eines verstehen:
Meldest du dich über den/einen Identity-Provider, in dem Fall über EGw an, so hast du eine Sitzung zwischen Browser und Guacamole. Guacamole wird ja “nur” als iFrame in EGw eingebunden.
Diese Sitzung bleibt nach der Abmeldung von EGw bestehen (wenn du nicht manuell aufräumst).
Eine Abmeldung von EGw bewirkt (derzeit) keine Abmeldung von Guacamole. Bei Rocket.Chat haben wir das realisieren können, bei Guacamole ist das aber nicht so einfach. Das steht aber noch auf unserer ToDo-Liste. Die Priorität ist aber nicht sehr hoch. Es gab in den letzten Wochen wichtigeres und aktuell auch.

Wir hatten das Thema auch schon einmal hier im Forum diskutiert:

Lass uns erst einmal dein Thema lösen. Zum Testen deines Problems verwendest du besser immer eine neue private Browser-Instanz.

Stefan

grefabu
Aug '20

Das Szenario hatte ich damals nicht verstanden bzw. nachvollziehen können.

Aber zum aktuellen:

Lance Armstrong konnte sich ohne flackern am Guacamole anmelden, auch nachdem ich die Gruppenrechte an RC entzogen hatte.

Aber nur an dem Browser an dem es vorher ging. Ich bin auf einen anderen Rechner gegangen, da flackerts wieder,…

1 month later
RalfBeckerEGroupware GmbH
Oct '20

Hatte gerade ebenen einen Kunden am Telefon mit genau dem Problem.

Nach dem der Benutzer wieder Rocket.Chat Ausführungsrechte bekommen hat, ging auch Guacamole wieder.

Muss ich mir anschauen, gebe dann hier auch Bescheid, wenn ich was gefunden habe.

Soll definitiv nicht so sein!

Ralf

RalfBeckerEGroupware GmbH
Oct '20

Problem gefunden und behoben:

Kommt mit dem nächsten Maintenance update, oder kann wie folgt manuell installiert werden:

curl https://github.com/EGroupware/openid/commit/3695292bae9bdec33ef922042aa2d8f11a06cf7c.patch | docker exec -i egroupware patch -p1 -d/usr/share/egroupware/openid
curl https://github.com/EGroupware/openid/commit/3695292bae9bdec33ef922042aa2d8f11a06cf7c.patch | docker exec -i egroupware patch -p1 -d/usr/share/egroupware-sources/openid
docker exec -it egroupware kill -s USR2 1

Ralf