NextCloud 11 - Интеграция облачного хранилища с ActiveDirectory

HELP-ME-24.COM (Freelance Team), Черноусов Антон

Интеграция облачного хранилища NextCloud с облачным хранилищем реализуется при помощи входящего в поставку плагина  "LDAP user and group backend". Для работы плагина необходимо установить php-модуль для поддержки работы с LDAP, в противном случае вы получите сообщение "This app cannot be installed because the following dependencies are not fulfilled. The library ldap is not available".

Установка LDAP-модуля в PHP 7.0

Подготовка PHP к работе с каталогом LDAP (Active Directory)

Для установки модуля LDAP выполните команду:

# aptitude install php-ldap
# service apache2 restart

Подготовка Active Directory

В Active Directory создайте учетную запись пользователя nextcloud без особых полномочий с правами на чтение данных. Эта учетная запись будет использоваться для получения плагином списка пользователей AD.

Создание сервисного пользователя NextCloud в Active Directory 

Активируем модуль интеграции с Active Directory (LDAP)

Войдите в web-интерфейс NextCloud используя учетную запись администратора и выберите в меню APP пункт "+ Apps".

Выберите раздел Not enabled и активируйте плагин LDAP user and group backend.

LDAP user and group backend

Теперь плагин доступен в разделе настройки для пользователей являющихся администраторами в разделе LDAP/AD integration

LDAP AD Integration

Настройка плагина интеграции с Active Directory (LDAP/AD integration)

Настройка плагина сводится к последовательному заполнению параметров на вкладках Server -> Users -> Login Attributes -> Groups, каждая последующая вкладка становится доступна после заполнения предыдущей. Начнем с заполнения данных на вкладке Server.

Вам понадобится указать DN созданного системного пользователя в Active Directory, адрес сервера, пароль пользователя и проверить работает ли авторизация нажав на кнопку Test Base DN. Единственной сложностью является указание DN-пользователя. Для того, чтобы узнать DN-системного пользователя в оснастке Active Directory пользователи и компьютеры в меню Вид выберите опцию "Дополнительные компоненты".

После этого в свойствах любого объекта домена будет отображаться дополнительная вкладка "Редактор атрибутов" и параметр "distinguishedName" как раз и является искомым DN-сервисного пользователя.

Определение DN-имени пользователя Active Directory

Заполните необходимые параметры и выполните проверку авторизации DN-пользователя.

LDAP server settings

Если все настроено верно, то вы увидите сообщение "Configuration OK" под окном настройки. Нажав на кнопку Continue вы перейдете к настройке фильтра пользователей, где потребуется указать класс объекта пользователя и группы в которые должен входить пользователь который может использовать облачное хранилище.

Хорошей практикой является создать отдельную группу пользователей для доступа к Next Cloud, так как в этом случае работа системного администратора по организации доступа к хранилище будет сводиться только к добавлению пользователя в необходимую группу. На основе выбираемых вами параметров автоматически будет перестраиваться LDAP запрос и корректность настроек можно проверить нажав кнопку "Verify settings and count users". Вам будет выведено число пользователей домена удовлетворяющих условиям.

На вкладке Login Attributes выбираются атрибуты которые могут использоваться для входа в систему. Я обычно дополнительно к имени пользователя в Active Directory разрешаю использовать адрес электронной почты.

Допустимые атрибуты при авторизации

В низу формы имеется дополнительное поле для тестирования настроек. Вы может указать имя пользователя или адрес электронной почты и проверить, что этот пользователь удовлетворяет условиям (включая фильтр из предыдущей настройки). Последним этапом является настройка связки групп Active Directory с Next Cloud, настройка аналогична настройке фильтров для пользователей.

На этом настройка связки NextCloud с ActiveDirectory завершена и вы можете использовать учетные записи пользователей домена для авторизации в облачном хранилище.

Групповой фильтр Active Directory

P.S. Очень рекомендую использовать полноценные группы для пользователей отделов, это сильно упрощает администрирование в больших организациях, так как вы сможете назначать квоты сразу на группы пользователей.

Оставьте комментарий

Вы должны быть вошедший в чтобы отправить комментарий