Admin rechten verwijderen van LDAP user werkt niet

[Boudewijn99]

Een paar weken terug heb ik de LDAP server werkend gekregen voor mijn 3 NAS-sen.
Ik ben nu een opschoonronde aan het doen voor permissies, en probeer de admin rechten van een LDAP user af te halen:

• Op de LDAP server de desbetreffende user uit de administrators groep gehaald
• Het vinkje bij de groep is en blijft keurig uit
• De user blijft echter gewoon zijn admin rechten houden
• In ldapadmin zie ik dat de user inderdaad nog member is van de administrators groep
• Ook in ldapadmin kan ik dit group membership niet verwijderen

Ik heb geen flauw idee waarom dit niet lukt. Iemand suggesties?

Alvast dank
Boudewijn

[Birdy]

Ik heb geen idee hoe LDAP werkt maar, toch even getest.

Nieuwe gebruiker Birdy toegevoegd:

Op de LDAP server de desbetreffende user uit de administrators groep gehaald

Het vinkje bij de groep is en blijft keurig uit

Inderdaad.

De user blijft echter gewoon zijn admin rechten houden

Weet niet hoe dit te controleren.

In ldapadmin zie ik dat de user inderdaad nog member is van de administrators groep

Weet niet wat je bedoelt met "In ldapadmin" (waarschijnlijk mijn onkunde) maar ik kijk in:

En zie dat Birdy uit de groep is.

[Boudewijn99]

ldapadmin is een windows utility waarmee je connect met de ldap server en dan de inhoud van de ldap tree kunt zien en eventueel aanpassen.

Je bevindingen kloppen met wat ik ook zie, mijn user (Boudewijn) heeft de administrators groep ook niet meer aangevinkt.



In LDAP kun je zien dat de user Boudewijn nog steeds member is van administrators.



Er zouden dus veel minder icons in DSM beschikbaar moeten zijn voor een niet-admin (denk aan admin panel) maar dit is er allemaal nog en de user kan nog alles dan gelijk aan een admin.

[Birdy]

Dan is ldapadmin een stapje te ver voor mij en kan je dus niet verder helpen.

[Briolet]

Ik heb het zelf even getest. Ik heb mijn LDAP user even uit de administrator groep gehaald. Dat mocht ook al was er nu geen administrator meer. Als ik nu met die user inlog zie ik dat ik geen administrator zaken kan doen.  Hier gaat het dus goed.

Weet je zeker dat die user niet ook in de gewone dsm users zit?

Ik heb b.v. een LDAP user met dezelfde accountnaam als mijn gewone account. Om met die LDAP user in te loggen moet ik met de volledige domeinnaam inloggen: "account@mijndomijn.nl". Als een account uniek is dan is alleen de accountnaam voldoende.

Oftewel: weet je zeker dat die inlognaam niet ook bij de gewone dsm users zit.

[Boudewijn99]

Ik heb met opzet geen gelijke usernamen lokaal en in LDAP, behalve admin om een of andere reden.

Maar, geïnspireerd door alle testen heb ik op een andere NAS een 2e LDAP server gestart en allereerst al mijn groepen gekopieerd. Tot mijn verbijstering leverde dat 3 groepen minder op en wat bleek: in de oude LDAP server werden 19 groepen getoond maar 22 geteld!

Bij de opzet van LDAP heb ik in eerste instantie een andere FQDN gebruikt, wat geen probleem leek te zijn. In de praktijk leidt het echter tot de situatie dat de oude FQDN nog steeds in LDAP aanwezig is, maar niet meer aangepast kan worden, want niet zichtbaar. Met andere woorden, mijn user bestond dus in twee cn's, waarbij ik hem er maar in 1 cn uit de admin group kon verwijderen, en Synology blijkbaar de waardes van beide cn's bij elkaar optelde.

Via ldapadmin het in de oude cn uit de ldap database verwijderd en de user gedraagt zich nu als een gewone user. Geen admin rechten meer.

Met dank voor alle meedenken!