Nextcloud > Benutzer anlegen klappt nicht

[saber1]

10 minutes ago, mgutt said:

Also da ist in jedem Fall was in Nextcloud 25 verbuggt.

 

10 minutes ago, mgutt said:

Hatte ich eigentlich schon angemerkt, dass meine private NC auf 24 festgesetzt ist?

Das werde ich jetzt auch erstmal so halten.

 

Danke an Alle für Eure Unterstützung. 🤗

[Archonw]

Super das freut.
Auf den Browser hätte ich noch länger nicht getippt.

[saber1]

19 minutes ago, mgutt said:

Ok, ich denke das liegt am Browser. Welchen verwendest du? Adblocker oder Popupblocker aktiv? Inkognito-Tab ausprobiert? Mir ist nämlich aufgefallen, dass das Popup ca 1 Sekunde braucht zum Laden. Also schon ungewöhnlich lange. EDIT: Gerade noch mal gedrückt und es dauerte diesmal 10 Sekunden bis das Popup erschien... erneut gedrückt 15 Sekunden, dies mal konnte man kurz die Warnung vom Browser sehen, dass die Seite nicht antwortet. Also da ist in jedem Fall was in Nextcloud 25 verbuggt. EDIT: Diesmal noch länger und ich konnte einen Screen von der Meldung machen:

Ich schätze, das mir das, wenn ich Nextcloud schon länger nutzen würde, auch aufgefallen wäre.

Da ich aber nun mit Version 25 einsteigen wollte, ist es schon etwas unglücklich.

Sollten man die Jungs und Mädels vom NC-Team darauf aufmerksam machen?

Edited November 19, 2022 by saber1

[mgutt]

Ich habe das mal als Bug gemeldet:

https://github.com/nextcloud/server/issues/35285

 

EDIT: Wurde geschlossen. Soll in der nächsten Version bereits gefixt sein.

[saber1]

Läuft alles wunderbar jetzt.

Gerne würde ich nun noch die einzige verbliebene Warnung wegbekommen:

 

Habe wie im Thread NEXTCLOUD SICHERHEITS- & EINRICHTUNGSWARNUNGEN BEHEBEN von @Anym001

die entsprechenden Zeilen im Nginx Proxy Manager eingetragen:

 

Leider bleibt die Warnung bestehen.

 

Irgendeine Idee?

[mgutt]

10 minutes ago, saber1 said:

die entsprechenden Zeilen im Nginx Proxy Manager eingetragen:

Hast du HSTS als Option aktiviert? Das dürfte das wieder überschreiben.

[saber1]

50 minutes ago, mgutt said:

Hast du HSTS als Option aktiviert?

Ja, hatte ich.

Auch nach dem Deaktivieren dieser Option und einem Neustart (NPM & Nextcloud) bleibt die Warnung leider.

[mgutt]

24 minutes ago, saber1 said:

bleibt die Warnung leider.

Check mal mit den Entwicklertools des Browsers ob der HTTP Header gesetzt wird.

 

Du greifst aber auch über die Domain auf Nextcloud zu? ^^

[saber1]

Wird er nicht.

[mgutt]

13 minutes ago, saber1 said:

Wird er nicht.

Und wenn du die Option aktivierst und den advanced Teil wieder rausnimmst?

[saber1]

19 minutes ago, mgutt said:

Und wenn du die Option aktivierst und den advanced Teil wieder rausnimmst?

Dann wird zwar der Header gesetzt, aber die Warnung bleibt.

Irgendwas noch nicht ganz korrekt in der config.php von NC?

[mgutt]

1 hour ago, saber1 said:

Dann wird zwar der Header gesetzt, aber die Warnung bleibt.

 

Dann wird ja offensichtlich die Advanced Regel bei dir nicht angewendet.

 

Gerade gecheckt, bei mir schon:

 

Sieht bei mir aber soweit genauso aus wie bei dir würde ich sagen:

 

 

Schau mal bitte in das appdata Verzeichnis von NPM. Im Verzeichnis proxy_host sind die Config-Dateien (leider nur nummeriert):

 

Hat der das dann da entsprechend übernommen?

[saber1]

Scheint übernommen worden zu sein:

 

 

Zur Sicherheit nochmal die SSL-Einstellungen im NPM. HSTS nicht aktiviert, wegen eventuellem überschreiben der Advanced Regel. Aber auch bei hier aktiviertem HSTS bleibt die Warnung:

 

[mgutt]

 

7 hours ago, saber1 said:

Dann wird zwar der Header gesetzt, aber die Warnung bleibt.

 

Ist denn der Header jetzt da, wenn Du die Advanced Regel gesetzt hast? Falls ja, dann testet Nextcloud sich selbst vermutlich einfach über die lokale IP und da fehlt der Header dann ja. Das heißt du hast in der config.php vermutlich was nicht gesetzt. Hast du overwrite.cli.url gesetzt?

 

 

[saber1]

So sieht die config.php aus:

 

<?php
$CONFIG = array (
  'memcache.local' => '\\OC\\Memcache\\APCu',
  'datadirectory' => '/data',
  'instanceid' => 'xxxxxxxxxx’,
  'passwordsalt' => 'XXXXXXXXXXXXX',
  'secret' => 'XXXXXXXXXXX',
  'trusted_domains' => 
  array (
    0 => '10.0.1.7:444',
    1 => 'nextcloud.domain.com',
  ),
  'trusted_proxies' => 
  array (
    0 => 'nginx',
  ),
  'dbtype' => 'mysql',
  'version' => '25.0.1.1',
  'overwrite.cli.url' => 'https://nextcloud.domain.com/',
  'overwritehost' => 'nextcloud.domain.com',
  'overwriteprotocol' => 'https',
  'dbname' => 'nextcloud_db',
  'dbhost' => '10.0.1.7:3307',
  'dbport' => '',
  'dbtableprefix' => 'oc_',
  'mysql.utf8mb4' => true,
  'dbuser' => 'xxxxxx',
  'dbpassword' => 'XXXXXXXX',
  'installed' => true,
  'mail_smtpmode' => 'smtp',
  'mail_smtpsecure' => 'ssl',
  'mail_sendmailmode' => 'smtp',
  'mail_from_address' => 'xxxxxxxx',
  'mail_domain' => 'nextcloud.domain.com',
  'mail_smtpauthtype' => 'LOGIN',
  'mail_smtpauth' => 1,
  'mail_smtphost' => 'smtp.domain.com',
  'mail_smtpport' => '465',
  'mail_smtpname' => '[email protected]',
  'mail_smtppassword' => 'XXXXXXXXXXX',
  'default_phone_region' => 'DE',
);

 

Wie genau prüfe ich, ob der Header "da" ist?

 

Hatte einfach mit einem Header Checker online geprüft.

 

Welche Domain gibt man eigentlich im SSL-Certificate Feld an?

Die Domain? domain.com

Oder die Subdomain? nextcloud.domain.com

 

Weil es ja auch eine Option HSTS Subdomains gibt...

 

Edited November 20, 2022 by saber1

[mgutt]

2 hours ago, saber1 said:

  array (
    0 => '10.0.1.7:444',
    1 => 'nextcloud.domain.com',
  ),
  'trusted_proxies' => 
  array (
    0 => 'nginx',
  ),

 

Trusted Proxies kann nicht funktionieren oder kann nextcloud den Hostnamen "nginx" zum NPM auflösen?

 

Die IP in trusted_domains ist auch überflüssig, weil du overwriteprotocol und overwrite.cli.url auf https gesetzt hast. Nextcloud ist also gar nicht mehr direkt über die IP zu erreichen.

 

2 hours ago, saber1 said:

Hatte einfach mit einem Header Checker online geprüft.

Geht auch. Ich mach das über die Entwicklertools des Browsers. Du hast wieder die Antwort unterschlagen. Fügt nun die Advanced Regel den Header hinzu oder nicht?

 

2 hours ago, saber1 said:

Welche Domain gibt man eigentlich im SSL-Certificate Feld an?

Welches Feld soll das sein?

 

 

[saber1]

9 hours ago, mgutt said:

Trusted Proxies kann nicht funktionieren oder kann nextcloud den Hostnamen "nginx" zum NPM auflösen?

Okay. Also die IP vom NPM eintragen. So sagt es ja auch die Nextcloud Doku... 🙈

 

9 hours ago, mgutt said:

Fügt nun die Advanced Regel den Header hinzu oder nicht?

Heute Nachmittag kann ich mich dem wieder widmen...

 

9 hours ago, mgutt said:

Welches Feld soll das sein?

Oben mein Screenshot vom NPM "Edit Proxy Host". In dem von mir geschwärzten Feld ist meine subdomain.domain.com eingetragen.

Es gib für HSTS dann aber ja zwei Optionen. Eben auch extra eine für Subdomains.

Oder wird es so sein, wenn im Feld bereits eine Subdomain eingetragen wurde, muss halt die Option HSTS Subdomains nicht noch extra aktiviert sein?

 

[mgutt]

1 hour ago, saber1 said:

Es gib für HSTS dann aber ja zwei Optionen.

Beide sind irrelevant, weil du ja die Advanced Regel hast.

[saber1]

Ich kann Erfolg vermelden:

 

 

Ich hatte mir auch noch Dein Video zu dem Thema angesehen.

Habe im NPM einen neuen Host angelegt. Und das Entscheidende war, das https beim Scheme gewählt werden muss. Da ich doch wieder den Linuxserver Container nutze.

[saber1]

On 11/20/2022 at 9:00 PM, mgutt said:

Trusted Proxies kann nicht funktionieren oder kann nextcloud den Hostnamen "nginx" zum NPM auflösen?

Welche IP trägt man denn hier ein?

NPM läuft im Bridge-Mode. Also nur die unraid-IP wird wohl nicht reichen.

Welcher Port soll es noch sein? 80? 443?

[mgutt]

7 hours ago, saber1 said:

Welche IP trägt man denn hier ein?

Bei Bridge die von Unraid. Kein Port. Nextcloud verarbeitet dann nicht mehr die IP vom Proxy, sondern dem HTTP_X_FORWARD_FOR:

https://github.com/nextcloud/server/blob/f30d23b92e06b140d2bb7de4b9d6fcb7909eb5ec/lib/private/AppFramework/Http/Request.php#L593

 

Das ist aber denke ich nur bei Logins und ähnlichem interessant.

[saber1]

Eine weitere Frage habe ich zu den Access Lists im Nginx Proxy Manager.

Neben Nextcloud habe ich noch eine weitere Subdomain für BookStack (Wiki) angelegt.

Mittels einer Access List ist es ja möglich eine User/Passwort Abfrage vor dem eigentlichen Erreichen der Oberfläche zu schalten.

Dies funktioniert wohl mittels htaccess, nehme ich an?

 

Jedenfalls klappt das für BookStack auch einwandfrei.

Leider aber nicht für Nextcloud. Es scheint, als ob die Access List einfach ignoriert wird.

 

Muss dafür eventuell auch noch etwas in der config.php von NC konfiguriert werden?

[Bigbrother]

7 hours ago, saber1 said:

Leider aber nicht für Nextcloud. Es scheint, als ob die Access List einfach ignoriert wird.

Nur zu meinem Verständnis: Warum reicht dir der Login von Nextcloud nicht? Wenn du da die 2FA einstellst, bist du schon auf der sicheren Seite.

[mgutt]

7 hours ago, saber1 said:

Dies funktioniert wohl mittels htaccess, nehme ich an?

 

Jein, also nginx kennt keine htaccess, aber ja es wird dann innerhalb von nginx/NPM eine entsprechende Config hinterlegt.

 

7 hours ago, saber1 said:

Muss dafür eventuell auch noch etwas in der config.php von NC konfiguriert werden?

Nein, der NPM weiß nichts von NC und dessen Config. Entweder lässt er den Traffic durch oder nicht. Und bei Access List sollte er eben erst mal nach dem Login fragen.

 

EDIT: Da hat NPM einen Bug. Keine Ahnung ob das schon bekannt ist, aber sobald man die Advanced Regeln mit einem "location /" Block erstellt, werden die Access Regeln ignoriert. Hier ohne Advanced und mit Access Regel:

 

Und hier mit Advanced und mit Access Regel:

 

 

Wenn du also selbst einen Location Block gesetzt hast, musst du quasi selbst die Regeln ergänzen. Doof ist natürlich, dass NPM mit diesen Zahlen arbeitet. Also nur "1". Die Nummer siehst du wenn du das 3-Punkte-Menü öffnest

 

[mgutt]

Jo, Bug ist bereits bekannt:

https://github.com/NginxProxyManager/nginx-proxy-manager/issues/2141