Nextcloud - Zwei-Faktor-Authentifizierung für einen Benutzer deaktivieren
Nextcloud bietet seit geraumer Zeit eine Zwei-Faktor-Authentifizierung per Time-Based-Passwort (TOTP), Backup-Codes, Universal 2nd Factor (U2F = Hardwaretoken) an. Nun soll es ja vorkommen, dass der ein oder andere Benutzer seinen zweiten Faktor verliert.
Codeberg
Dein Weg zur eigenen Nextcloud
In diesem Fall bleibt nichts anderes übrig, alles die Zwei-Faktor-Authentifizierung für den Benutzer zu deaktivieren.
Der zweite Faktor für die Anmeldung lässt sich in den Nextcloud-Einstellungen für alle Benutzer erzwingen, oder auch für einzelne Gruppen festlegen.
Dann bedeutet das Deaktivieren nicht wirklich deaktivieren, sondern eigentlich ein Reset. Die Zwei-Faktor-Authentifizierung wird für die nächste Anmeldung des Benutzers ausgesetzt und er muss diese neu durchlaufen. Das Passwort ändert sich dabei NICHT.
Der Benutzer muss also nach wie vor einen zweiten Faktor für die Anmeldung nutzen, kann aber den angezeigten QR-Code mit der entsprechenden App neu scannen oder seinen Hardwaretoken neu registrieren. Bei einem erneuten Anmelden an der Nextcloud wird dann der Faktor wieder abgefragt und es entsteht keine Sicherheitslücke.
Gib mir gerne einen Kaffee ☕ aus ❗️
Wenn dir meine Beiträge gefallen und geholfen haben, dann kannst du mir gerne einen Kaffee ☕️ ausgeben.
• 
Bitcoin Address: bc1qfuz93hw2fhdvfuxf6mlxlk8zdadvnktppkzqzj
Wie funktioniert das Zurücksetzten?
Das Zurücksetzen oder das temporäre Deaktivieren funktioniert nur über die Konsole und (aktuell) nicht über den Webbrowser.
Also einmal per Terminal am Server anmelden und durchhangeln bis zum Nextcloud-Verzeichnis
cd /var/www/html/nextcloud
Dort angekommen, können wir die occ-Befehle verwenden. Alle verfügbaren Befehle lassen sich mit auflisten
sudo -u www-data php occ list
In der Liste findet ihr die Einträge:
- twofactorauth:disable - Disable two-factor authentication for a user
- twofactorauth:enable - Enable two-factor authentication for a user
- twofactorauth:enforce - Enabled/disable enforced two-factor authentication
- twofactorauth:state - Get the two-factor authentication (2FA) state of a user
Den Benutzernamen des betroffenen Benutzers ist vielleicht schon bekannt, ansonsten lassen sich alle Nutzer auflisten
sudo -u www-data php occ user:list
In der Liste sucht ihr den richtigen Benutzer raus uns lasst euch anzeigen, welche "twofactorauth" aktiv sind.
sudo -u www-data php occ twofactorauth:state benutzername
Das könnte z.B. so aussehen:
Two-factor authentication is enabled for user benutzername
Enabled providers:
- totp
Disabled providers:
- backup_codes
- u2f
Wir sehen in der Ausgabe, dass der Benutzer nur topt verwendet, also Time-based One-time Password evtl. per App.
Wir setzten also das topt für die nächste Anmeldung zurück, sodass der Benutzer die Möglichkeit hat sich neu anzumelden.
sudo -u www-data php occ twofactorauth:disable benutzername totp
Ihr müsst dabei hinter dem Benutzernamen angeben, was zurückgesetzt werden soll. Da in unserem Beispiel nur topt aktiviert war, konnte nur diese Anmeldemöglichkeit resetet werden.
Gib mir gerne einen Kaffee ☕ aus ❗️
Wenn dir meine Beiträge gefallen und geholfen haben, dann kannst du mir gerne einen Kaffee ☕️ ausgeben.
•
Bitcoin Address: bc1qfuz93hw2fhdvfuxf6mlxlk8zdadvnktppkzqzj
Follow Me❗️
Source
Photo by Rich Smith on Unsplash