Nextcloud – Zwei-Faktor-Authentifizierung für einen Benutzer deaktivieren

Nextcloud bietet seit geraumer Zeit eine Zwei-Faktor-Authentifizierung per Time-Based-Passwort (TOTP), Backup-Codes, Universal 2nd Factor (U2F = Hardwaretoken) an. Nun soll es ja vorkommen, dass der ein oder andere Benutzer seinen zweiten Faktor verliert.

In diesem Fall bleibt nichts anderes übrig, alles die Zwei-Faktor-Authentifizierung für den Benutzer zu deaktivieren.

Der zweite Faktor für die Anmeldung lässt sich in den Nextcloud-Einstellungen für alle Benutzer erzwingen, oder auch für einzelne Gruppen festlegen.

Nextcloud - Zwei-Faktor-Authentifizierung erzwingen
Nextcloud – Zwei-Faktor-Authentifizierung erzwingen

Dann bedeutet das Deaktivieren nicht wirklich deaktivieren, sondern eigentlich ein Reset. Die Zwei-Faktor-Authentifizierung wird für die nächste Anmeldung des Benutzers ausgesetzt und er muss diese neu durchlaufen. Das Passwort ändert sich dabei NICHT.

Nextcloud - Zwei-Faktor-Authentifizierung
Nextcloud – Zwei-Faktor-Authentifizierung

Der Benutzer muss also nach wie vor einen zweiten Faktor für die Anmeldung nutzen, kann aber den angezeigten QR-Code mit der entsprechenden App neu scannen oder seinen Hardwaretoken neu registrieren. Bei einem erneuten Anmelden an der Nextcloud wird dann der Faktor wieder abgefragt und es entsteht keine Sicherheitslücke.

Wie funktioniert das Zurücksetzten?

Das Zurücksetzen oder das temporäre Deaktivieren funktioniert nur über die Konsole und (aktuell) nicht über den Webbrowser.

Also einmal per Terminal am Server anmelden und durchhangeln bis zum Nextcloud-Verzeichnis

cd /var/www/html/nextcloud

Dort angekommen, können wir die occ-Befehle verwenden. Alle verfügbaren Befehle lassen sich mit auflisten

sudo -u www-data php occ list

In der Liste findet ihr die Einträge:

  1. twofactorauth:disable – Disable two-factor authentication for a user
  2. twofactorauth:enable – Enable two-factor authentication for a user
  3. twofactorauth:enforce – Enabled/disable enforced two-factor authentication
  4. twofactorauth:state – Get the two-factor authentication (2FA) state of a user

Den Benutzernamen des betroffenen Benutzer ist vielleicht schon bekannt, ansonsten lassen sich alle Nutzer auflisten

sudo -u www-data php occ user:list

In der Liste sucht ihr den richtigen Benutzer raus uns lasst euch anzeigen, welche „twofactorauth“ aktiv sind.

sudo -u www-data php occ twofactorauth:state benutzername

Das könnte z.B. so aussehen:

Two-factor authentication is enabled for user benutzername

Enabled providers:
- totp
Disabled providers:
- backup_codes
- u2f

Wir sehen in der Ausgabe, dass der Benutzer nur topt verwendet, also Time-based One-time Password evtl. per App.

Wir setzten also das topt für die nächste Anmeldung zurück, so dass der Benutzer die Möglichkeit hat sich neu anzumelden.

sudo -u www-data php occ twofactorauth:disable benutzername totp

Ihr müsst dabei hinter dem Benutzernamen angeben, was zurückgesetzt werden soll. Da in unserem Beispiel nur topt aktiviert war, konnte nur diese Anmeldemöglichkeit resetet werden.

Photo by Rich Smith on Unsplash

(**) Produktpreise und -verfügbarkeit sind zum angegebenen Datum / Uhrzeit korrekt und können sich ändern. Alle Preis- und Verfügbarkeitsinformationen auf https://www.amazon.de/ zum Zeitpunkt des Kaufs gelten für den Kauf dieses Produkts.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.