beammetosamoa – da isses auch schön

Snorby still needs MyISAM engine in the MySQL database instead of InnoDB

Snorby won’t work with InnoDB as database engine!

Some day I had dropped the entire database schema, for some reason. To get a new one, let Snorby install the new database and all the required tables, by typing:

rake snorby:setup

But afterwards I could not log in anymore. What the hell…
The access log gave me an error number 500, internal server error. And in the error log there was this:

App 4330 stderr: ActionView::Template::Error (undefined method `name' for nil:NilClass):
App 4330 stderr: 139: <ul class='box-list'>
App 4330 stderr: 140: <% @recent_events.each do |event| %>
App 4330 stderr: 141: <li>
App 4330 stderr: 142: <%= link_to truncate(event.signature.name, :length => 28), results_path(:title => "#{truncate(event.signature.name, :length => 40)}", 
App 4330 stderr: 143: "match_all"=>"true", "search"=>{"sensor"=>{"column"=>"signature", "operator"=>"is", "value"=> event.signature.sig_id } }), :title => event.signature.name %> 
App 4330 stderr: 144: <span>
App 4330 stderr: 145: <%= number_with_delimiter (event.signature.events_count.zero? ? Event.count(:sig_id => event.signature.sig_id) : event.signature.events_count) %>
App 4330 stderr: app/views/page/dashboard.html.erb:142:in `block in _app_views_page_dashboard_html_erb___462811225_86543430'
App 4330 stderr: app/views/page/dashboard.html.erb:140:in `each'
App 4330 stderr: app/views/page/dashboard.html.erb:140:in `_app_views_page_dashboard_html_erb___462811225_86543430'
App 4330 stderr: app/controllers/page_controller.rb:56:in `dashboard'

At the first moment I thought that it could be an issue with ruby or rails or rake or thor something like that. No it’s not!

I’ve tried several things, but nothing has changed. But then I took a brief look into the database, and I noticed, that now all tables had been set up with InnoDB engine.
It seems, that since MySQL 5.6 or 5.7, InnoDB is now the default engine setting.

When I switched back to MyISAM, everything was perfect again.

This has been proofed for Snorby 2.6.3. running on debian 8.6 with ruby 3.2.22, rake 11.3.0…

Wilde Orchideen im Technologiepark Dortmund

Kurzblättrige Stendelwurz im Vorgarten meines Büros in Dortmund.

12 Exemplare von Epipactis distans.

Tolle Überraschung – kaum zu glauben! Mitten in der Stadt, mitten im Revier, entdecke ich im Sommer 2016 diese seltene Art einer heimischen Orchidee. Diese Population der Kurzblättrigen Stendelwurz (Epipactis distans) steht nicht etwa an einem Waldrand, oder auf einer sumpfigen Wiese – sondern direkt vor der Haustür!

Im Vorgarten des Bürogebäudes, direkt gegenüber der Technischen Universität Dortmund, entdecke ich Anfang Juni 2016 die schlanken, aus einem bodendeckenden Dickicht, bestehend überwiegend aus Frauenmantel und Gräsern, hoch herausragenden Pflanzen. Die Botaniker unter Euch wissen, dass man in der Regel erst einmal lange über’s Land fahren und dann noch länger danach suchen muss.

Ja, hier stehen sie! Voller Freude [ver] zähle ich, eines scheint von etwas niedergedrückt, andere von merkwürdigen Läusen befallen, insgesamt [ca.] 12 Exemplare. Eine Einordnung der Pflanzen zur Familie der Orchideen und zur Gattung der Stendelwurz war zu diesem Zeitpunkt bereits möglich. Aber bei der Bestimmung der Art, war ich mir nicht sicher – so wartete ich auf die Blüte.

Die Blütezeit begann ziemlich genau in der Mitte vom Juli. Und jetzt, in der ersten August-Woche, neigt sie sich schon dem Ende. Ein Exemplar, auf dem letzten Bild der Galerie deutlich erkennbar, ist bereits vollständig verblüht.

Weblinks:

Kurzblättrige Stendelwurz in Wikipedia.org

debian, suricata, snorby, barnyard, ruby 2.x, apache

Helpful tips you may find useful, after a dist-upgrade to debian 8 jessie.

Since I came from debian 7 wheezy and did the upgrade to debian 8, I had problems with snorby. Here’s the fix.

Some days ago I made the decision to upgrade from debian 7 wheezy to debian 8 jessie (apt-get dist-upgrade).
Before you do, please read the release notes carefully!

https://www.debian.org/releases/jessie/releasenotes
https://www.debian.org/releases/jessie/i386/release-notes/ch-upgrading.de.html
https://www.debian.org/releases/jessie/i386/release-notes/ch-upgrading.en.html
https://www.debian.org/releases/jessie/amd64/release-notes/ch-upgrading.de.html
https://www.debian.org/releases/jessie/amd64/release-notes/ch-upgrading.en.html

suricata

Debian 8, codename jessie, offers a version of suricata that is very near the actual official version. As a consequence of this I have removed the older version of suricata and afterwards I installed the actual version of suricata. You can use apt or package manager.
https://packages.debian.org/jessie/suricata

settings files

Please make sure that you keep the settings file of suricata and barnyard2 at the right place – done’t touch! [or use backup]

snorby and ruby

At this step I got problems. Debian 8 jessie has ruby version 2.x but snorby still needs and wants version 1.9.x.
https://packages.debian.org/jessie/ruby

Terminal output:

Snorby requires Ruby version 1.9.x
We suggest using Ruby Version Manager (RVM) https://rvm.io/ to install the newest release
root@machine:.../snorby#

You may want or you may need older versions of ruby but I have no other ruby applications running on my system. This way I removed all the old [wheezy] versions of ruby 1.8.1, 1.9.x while checking files and folders – cleaned up.

My system now has debian 8 jessie and ruby 2.1.5 but again, snorby won’t start.

What to do to get snorby and ruby 2.x running?

Solution: here’s the hack, that I’ve found.

1) Comment out the check for ruby version

in –> snorby/config/application.rb

or, that’s what I did, change the version number for checking:

# Check Ruby Version
# unless RUBY_VERSION.match(/^1.9/)
unless RUBY_VERSION.match(/^2.1/)
# puts "Snorby requires Ruby version 1.9.x"
puts "Snorby requires Ruby version 2.1.x"
puts "We suggest using Ruby Version Manager (RVM) https://rvm.io/ to install the newest release"
exit 1
end

2) Edit lib/snorby/payload.rb

Surprisingly, when you try to run snorby, another error appears like this:

rake aborted!
SyntaxError: /var/www/snorby/lib/snorby/payload.rb:57:
invalid multibyte escape: /[\040\177-\377]/
invalid multibyte escape: /[\000-\040\177-\377]/

I’ve commented and replaced the lines with those below

if @new_lines
string.gsub!(/[\x0a]/, ".")
string.gsub!(Regexp.new("[\040\177-\377]"), '.')
# OLD: string.gsub!(/[\040\177-\377]/, '.')
else
string.gsub!(Regexp.new("[\000-\040\177-\377]"), ".")
# OLD: string.gsub!(/[\000-\040\177-\377]/, ".")
end

Please keep in mind, remember, that this hack concerns some files out of the snorby git repository!
Try using branches or what ever else.

Eine Landkarte vom Internet.

Der Blick auf’s Ganze.

Tatsächlich gibt es eine ganze Reihe verschiedener Ansätze und Verfahren, die Gestalt des globalen Netzwerks in einer grafisch visualisierten Form übersichtlich darzustellen. Mit einiger Verwunderung würde man doch aber vermuten, dass es an allen Grundlagen fehlt, den abstrakten, virtuellen Raum, dessen unvorstellbare Ausmaße und Verzweigungen jeder Mensch zwar konkret, aber doch nur in individuellen Ausschnitten erlebt, den Cyber Space, möglichst kompakt und überschaubar, vollständig sowie umfassend, in einer absoluten Form abbilden zu können.

Diese Darstellung vermittelt den anspruchsvollen Eindruck einer Vollständigkeit und finde ich besonders beeindruckend, kosmisch schön: http://internet-map.net/

Auch schön, aber offenbar etwas veraltet: http://www.opte.org/maps/

Blick auf die Verkabelung:

Eine tolle Darstellung der Verkabelung unterwasser, unterseeisch: https://www.telegeography.com/telecom-maps/submarine-cable-map/index.html

Blick auf die Austauschpunkte

Hier noch kurz der Hinweis auf eine nette Übersicht über die Austauschpunkte, Orte, an denen ein Übergang in andere Netzwerke errichtet ist, also die Verknüpfung mit anderen Netzwerken erfolgt, was am Ende das ‚Internet‘ ist. Internet Knoten, Internet Exchange Points: http://www.internetexchangemap.com/

weitere Infos:
http://de.wikipedia.org/wiki/Internet-Knoten
http://en.wikipedia.org/wiki/List_of_Internet_exchange_points_by_size

Damit ist der kartesisch kartäuserische Diskurs dann auch schon beendet.

phpwcms: jüngste Aktualisierung ermöglicht noch bessere Integration von bootstrap

Durch diese Änderung vom 18. November 2014 ist die Integration von bootstrap vermutlich noch einmal entscheidend verbessert worden. Das betrifft die Bildgröße bei einem responsive web design.
Wenn ich das richtig verstehe, können Bilder nun in einer Größe, größer als eine fixe Spaltenbreite angelegt werden. Denn je nach Endgerät variiert die Bildgröße und wird durch das CSS framework definiert. Bootstrap kann nun auf eine ausreichend große Bilddatei zugreifen, die auch nach einer Skalierung auf dem jeweiligen Endgerät immer noch optimal dargestellt wird.

Beispiel:

Drückt man die F11-Taste, erscheint die Webseite im Web Browser im Vollbildmodus. Hierdurch erweitern sich in der Regel die Spaltenbreiten. Diese Darstellung wird von bootstrap erkannt und alle Inhalte werden angepasst, neu gerendert. Für Textinhalte ist das unproblematisch. Bilder müssten aber nun größer, vor allem breiter sein. Im Backend von phpwcms ist die maximale Größe jedoch einmalig definiert. Für die gerforderte Darstellung im Endgerät ist das Bild nun eventuell zu klein. In der Folge entsteht, bezogen auf die Bildposition bzw. auf die Spaltenbreite, eine Lücke um das Bild herum. Das Bild (klassisch) wurde ursprünglich mit der Breite der durch das Layout bestimmten Spalte hochgeladen und zudem durch die Maximalwerte fixiert.

Das ist neu

Nach der oben genannten Änderung kann das Bild von vorn hinein deutlich größer hochgeladen und im System bereit gestellt werden. Eine letztliche Skalierung (viewport) erfolgt im Browser, mit bootstrap durch CSS. Bootstrap kann hierbei jetzt aber auf physikalisch größere Bilddaten zugreifen. Dadurch entstehen nun keine Lücken und die Bildqualität ist, beziehungsweise bleibt, optimal.

Diese Nachricht und andere im Forum von phpwcms lesen.

Linux: HowTo Copy a Folder [Command Line]

cp = copy Command

cp is a Linux command for copying files and directories. The syntax is as follows:

cp source destination
cp dir1 dir2
cp file.txt newfile.txt
cp -option source destination
cp -option1 -option2 source destination

In this example we try to copy /home/USR/some/dir folder and all its files to /home/USR/nfs-mounts directory

cp -avr /home/USR/some/dir /home/USR/nfs-mounts

Where -avr means:

-a : Preserve the specified attributes such as directory and file mode, ownership, timestamps, and so on.
-v : verbose: Explain what is being done.
-r : Copy directories recursively.

Example

Copy a directory called /dir/some/files to /home/USR-123/documents:

$ cp -avr /dir/some/files/ /home/USR-123/documents/

ownCloud: mit SSL-Proxy unter einer subdomain auf einem webpack von HostEurope

Es zeigt sich, dass eine durch Verschlüsselung gesicherte Verbindung zu einem öffentlichen Server nicht nur immer wichtiger wird, sondern auch immer verbreiteter ist. Für eine private Cloud-Anwendung sollte eine Verschlüsselung der Verbindung erst recht als zwingend angesehen werden.

Eine gesicherte Verbindung setzt den Einsatz von SSL-Zertifikaten voraus. Bei vielen Providern wird an dieser Stelle eine Beschränkung der gebuchten Pakete deutlich. Der Webspace ist ausgelegt für ein CMS oder vergleichbare Anwendungen, die unverschlüsselt über Port 80 aufgerufen werden. SSL-Zertifikate können nicht installiert werden.

Hier zeige ich euch, wie man den Webspace auf einem webpack bei HostEurope, einem ausgezeichtenen Provider, mit seinem SSL-Proxy absichert und einen verschlüsselten Zugriff über Port 443 einrichten kann.

Die Anwendung soll dabei über eine Third-Level Domain bzw. eine Sub-Domain erreichbar sein.

1. Konfiguration von ownCloud anpassen

Die Konfigurationsdatei ist zu finden unter:
owncloud/config/config.php

Parameter ‚trusted_domains‘ ändern:

  'trusted_domains' =>
  array (
    0 => 'sub.domain.tld',
    1 => 'ssl.webpack.de',
  ),

Weiter unten ergänzen:

  'overwritehost' => 'ssl.webpack.de',
  'overwriteprotocol' => 'https',
  'overwritewebroot' => '/sub.domain.tld', //Pfad zur ownCloud-Installation
  'overwritecondaddr' => '^10\\.30\\.7\\.1(?:37|38|39|40)$', //IP-Adressen vom HE proxy

Die Anwendung ist nun noch über beide Ports (80 und 443) erreichbar, springt nach der Anmeldung aber auch hin und her. Das Backend wird nicht geladen.

Es fehlt noch:

2. die Anpassung der `.htaccess`

Im Verzeichnis von ownCloud findet man eine Datei .htaccess
owncloud/.htaccess

Datei öffnen und editieren. Unter dem Eintrag RewriteEngine On ergänzt man (hier am Beispiel vom HostEurope-SSL-Proxy mit vier IP-Adressen):

RewriteCond %{REMOTE_ADDR} !^10\.30\.7\.1(?:37|38|39|40)$
RewriteRule ^ https://ssl.webpack.de/%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

3. Ergebnis

Wird ownCloud unter der Sub-Domain aufgerufen:
“http://sub.domain.tld”,
erfolgt nun automatisch eine Umleitung auf die verschlüsselte Instanz von ownCloud hinter dem SSL-Proxy über Port 443:
“https://ssl.webpack.de/sub.domain.tld„.

Dieser URL ist sicherlich nicht soooo schön, eher schwerfällig, aber dafür ist die Verbindung zur eigenen Cloud nun sicher! Das gilt für alle clients wie zum Beispiel ein Handy bzw. ein mobile phone, oder Thunderbird. Für den Austausch von Daten oder die Synchronisation von Terminen gibt es eine Reihe von Apps für Windows Phone, iPhone iOS oder Android und natürlich für Desktops unter MacOS, Windows oder Linux.

Sicheres WebDAV ist beispielsweise möglich über die Adresse:
https://ssl.webpack.de/SUB.DOMAIN.TLD/remote.php/webdav/

Die Verwaltung von Kalendern erfolgt über:
https://ssl.webpack.de/sub.domain.de/remote.php/caldav/calendars/USER/calendar-name

Sicheres CalDAV ist möglich über:
https://ssl.webpack.de/sub.domain.de/remote.php/caldav/
für iOS über:
https://ssl.webpack.de/sub.domain.de/remote.php/caldav/principals/USERNAME/

Lightning ist ein Plugin für Thunderbird und ermöglicht die Verwaltung von Kalendern und Aufgaben.

Sicheres CardDAV ist möglich über:
https://ssl.webpack.de/sub.domain.de/remote.php/carddav/addressbooks/USERNAME/contacs

Damit können Adressbücher synchronisiert werden. Für Thunderbird gibt es das Plugin: SOGo Connector Thunderbird extension.

4. Ab Oktober 2016

Im Oktober 2016 hat HostEurope offenbar einige Änderungen am SSL-Proxy vorgenommen.
#Tobias gab in den Kommentaren den entscheidenden Hinweis, den ich hier noch einmal wiederhole:

Anpassung der `.htaccess`

Im Verzeichnis von ownCloud findet man eine Datei .htaccess
owncloud/.htaccess

Datei öffnen und editieren. Unter dem Eintrag RewriteEngine On ändert man:

RewriteCond %{REMOTE_ADDR} !^10\.30\.7\.1(?:37|38|39|40)$

in:

RewriteCond %{HTTP:Via} !ssl.webpack.de

Änderung in der Konfiguration von ownCloud

Die Konfigurationsdatei ist zu finden beispielsweise unter:
owncloud/config/config.php

Darin die folgende Zeile löschen oder, wie in diesem Beispiel geschehen, auskommentieren

//  'overwritecondaddr' => '^10\\.30\\.7\\.1(?:37|38|39|40)$', //IP-Adressen vom HE proxy

Hier noch einmal das Ergebnis

Wird ownCloud unter der Sub-Domain aufgerufen “http://sub.domain.tld”,
erfolgt nun automatisch eine Umleitung auf die verschlüsselte Instanz von ownCloud hinter dem SSL-Proxy über Port 443:
“https://ssl.webpack.de/sub.domain.tld„.

ownCloud: Admin page loads very slowly

One day, when I logged in as admin to my ownCloud installation I noticed, that the page loads very slowly. Additionally I got the following error message:

Internet connection not working
This server has no working internet connection. This means that some of the features like mounting of external storage, notifications about updates or installation of 3rd party apps don´t work. Accessing files from remote and sending of notification emails might also not work. We suggest to enable internet connection for this server if you want to have all features.

What has happend?

The intrusion detection system (IDS) Suricata that I use with Snorby was warning me. There was a strange behavior initiated by a server with the ip 188.138.x.x
So, for that reason I set the firewall to drop all incoming connections from this network. I’m using iptables to configure the packet filtering ruleset and added:

-A INPUT -s 188.138.0.0/16 -j DROP

But ownCloud obviously needs access to apps.owncloud.com and vice versa. In terms of a firewall the ownCloud server must accept incoming connections from apps.owncloud.com. I did a ping test and it failed because the server can’t read any answers.
# ping -c 4 apps.owncloud.com PING main.hive01.com (188.138.118.86) 56(84) bytes of data. ^C --- main.hive01.com ping statistics --- 4 packets transmitted, 0 received, 100% packet loss, time 3023ms

I commented out the statement in my iptables settings file: (no good idea at all, but suitable only for testing purpose):
#-A INPUT -s 188.138.0.0/16 -j DROP
and run a ping test once again:

# ping -c 4 apps.owncloud.com PING main.hive01.com (188.138.118.86) 56(84) bytes of data. 64 bytes from s4.hive01.com (188.138.118.86): icmp_req=1 ttl=55 time=25.7 ms 64 bytes from s4.hive01.com (188.138.118.86): icmp_req=2 ttl=55 time=25.6 ms 64 bytes from s4.hive01.com (188.138.118.86): icmp_req=3 ttl=55 time=25.7 ms 64 bytes from s4.hive01.com (188.138.118.86): icmp_req=4 ttl=55 time=25.9 ms --- main.hive01.com ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3004ms rtt min/avg/max/mdev = 25.632/25.781/25.962/0.199 ms
Now when you log in, the admin page of ownCloud loads faster and there is no error message anymore.

Valid for ownCloud 7.0.2

Linux Mint 17: vino-server (VNC) verweigert die Anmeldung

Wegen eines merkwürdigen Bugs verweigert der VNC-Server die Anmeldung eines clients. Beobachtet habe ich das bereits bei Linux Mint 15 und noch immer auch bei Linux Mint 17 (qiana). Komischerweise ist das aber von Maschine zu Maschine durchaus unterschiedlich. Mal klappt’s, aber auf der nächsten Maschine funktioniert es nicht, obwohl auch der Port 5900 in der Firewall geöffnet ist. Hier folgt eine Anleitung, damit es klappt.

Wir sind nun auf dem Rechner, auf dem Desktop-Sharing eingerichtet werden soll und der vino-server läuft.
Falls noch nicht, erfolgt die Installation vom VNC-Server unter Debian oder Linux Mint im Terminal, angemeldet als root, durch:

apt-get install vino

Nun lassen sich die Einstellungen für die Freigabe des Bildschirms ändern:

Einstellung für den entfernten Bildschirm vnc settings

In der Firewall öffnen wir noch den Port 5900 für vnc-connections.

Nun können wir versuchen, eine Verbindung zu dem VNC-Server aufzubauen. Unter Linux benutze ich dazu gerne remmina. Remmina ist ein remote desktop client mit plugins für: RDP, VNC, NX, XDMCP, SSH, Telepathy.
Unter Windows nutze ich TightVNC. Auf dem Mac arbeite ich gerne mit Chicken of the VNC, auf alten Macs mit VNCDimensions oder VNCViewer. Das sind Tools, die noch unter Mac OSX 10.2.8 oder 10.3.9 laufen.

Zur Überraschung, von keinem dieser Rechner ist eine Anmeldung an dem Linux Mint vino-server möglich!

Hier folgt nun die oben angekündigte Lösung:
Auf der Maschine mit Linux Mint 17 öffnet man
Menü -> System -> Einstellungen -> Startprogramme

Markiere ‚Freigabe der Arbeitsfläche‘ und klicke auf bearbeiten.

startup applications: Freigabe der Arbeitsfläche

Ändere das Eingabefeld „Befehl“:

usr/lib/vino/vino-server --sm-disable

Wenn --sm-disable dort bereits steht, dann lösche diesen Teil, schließe das Fenster [dann ggf. neustart].
Öffne das Fenster erneut und ergänze in der Befehlszeile wieder:

--sm-disable

Nun steht in der Befehlszeile wieder:

usr/lib/vino/vino-server --sm-disable

Neustart und – siehe da – die Anmeldung klappt.

FreeNAS: Windows (CIFS) Freigaben auf bestimmte Benutzer und Gruppen beschränken

Häufig wird eine Freigabe einfach dadurch erteilt, dass der Gastzugriff gewährt wird. Das geht schnell, bedeutet aber auch, dass ausnahmslos alle Benutzer darauf zugreifen können.

In diesem Beispiel zeige ich euch, wie man bei freenas eine Windows (CIFS) Freigabe für bestimmte Benutzer und Gruppen einrichtet.

Eine gute Idee ist es, sich vorab eine Gruppe zu überlegen, zu der die jeweiligen Benutzer zusammengefasst werden können.

Im ersten Schritt ist ein Verzeichnis auszuwählen, für das eine Freigabe eingerichtet werden soll. In diesem Beispiel erstelle ich ein neues ZFS dataset mit der Bezeichnung ‚office-only‘.

freenas_CIFS_001 — add folder / ZFS dataset

Danach erstelle ich eine Gruppe ‚office-staff‘.

Im folgenden Schritt erstelle ich einen Benutzer ‚buerotest‘ und trage alle erforderlichen Daten ein:

Wichtig ist an dieser Stelle, dass für diesen Benutzer keine neue bzw. eigene Hauptgruppe erstellt wird. Das könnte man machen. Braucht man aber hier in diesem Beispiel nicht. Wichtig ist jedoch, diesen neuen Benutzer zu der zuvor angelegten Gruppe ‚office-staff‘ zuzuordnen.

Danach wenden wir uns wieder dem Verzeichnis bzw. dem ZFS dataset zu. Hier müssen nun die Zugriffsrechte (ACL) geändert werden.

Damit folgt der wichtigste Schritt. Nun werden die Zugriffsrechte bzw. die Eigentumsrechte für das freizugebende Verzeichnis auf den Benutzer ‚buerotest‘ sowie auf die Gruppe ‚office-staff‘ festgelegt:

freenas_CIFS_005 — set ACL for user and group

In der Abbildung erkennt man in der Zeile beginnend mit ‚Mode‘, dass andere Benutzer oder Benutzer, die nicht Mitglied der gewählten Gruppe sind, keinen Zugriff haben.

Damit sind die wichtigsten Voreinstellungen erfolgt. Nun kann eine neue Windows (CIFS) Freigabe hinzugefügt werden. Dazu wählst du das gewünschte Verzeichnis bzw. das ZFS dataset aus:

In diesem Beispiel erhält die Freigabe den Namen ‚the-office‘.

Wichtig ist nun, dass ‚Apply Default Permissions‘ angeklickt ist sowie ‚Allow Guest Access‘ deaktiviert ist:

Somit werden Anmeldungen am System auf die zuvor eingerichteten Benutzer-/Gruppenberechtigungen für diese Freigabe hin geprüft.

Die Freigabe kann nun aktiviert werden:

Im Netzwerkverzeichnis erscheinen nun verschiedene Freigaben, darunter auch die mit dem Namen ‚the-office‘. Diese Freigabe repräsentiert das Verzeichnis bzw. das ZFS dataset ‚office-only‘. Zugriff wird aber nur dem Benutzer ‚buerotest‘ erlaubt oder den Benutzern, die Mitglied der Gruppe ‚office-staff‘ sind.

Sollen bestehende Benutzer ebenfalls Zugriff erhalten, kann die Mitgliedschaft in weiteren Gruppen für die jeweiligen Benutzer auch nachträglich eingestellt werden: