NextCloud 11 - Интеграция облачного хранилища с ActiveDirectory

    Общий рейтинг статьи: 5 (проголосовало 1 )
    Опубликовано:  [просмотров 1665]


    Интеграция облачного хранилища NextCloud с облачным хранилищем реализуется при помощи входящего в поставку плагина  "LDAP user and group backend". Для работы плагина необходимо установить php-модуль для поддержки работы с LDAP, в противном случае вы получите сообщение "This app cannot be installed because the following dependencies are not fulfilled. The library ldap is not available".

    Установка LDAP-модуля в PHP 7.0

    Подготовка PHP к работе с каталогом LDAP (Active Directory)

    Для установки модуля LDAP выполните команду:

    # aptitude install php-ldap
    # service apache2 restart

    Подготовка Active Directory

    В Active Directory создайте учетную запись пользователя nextcloud без особых полномочий с правами на чтение данных. Эта учетная запись будет использоваться для получения плагином списка пользователей AD.

    Создание сервисного пользователя NextCloud в Active Directory 

    Активируем модуль интеграции с Active Directory (LDAP)

    Войдите в web-интерфейс NextCloud используя учетную запись администратора и выберите в меню APP пункт "+ Apps".

    Выберите раздел Not enabled и активируйте плагин LDAP user and group backend.

    LDAP user and group backend

    Теперь плагин доступен в разделе настройки для пользователей являющихся администраторами в разделе LDAP/AD integration

    LDAP AD Integration

    Настройка плагина интеграции с Active Directory (LDAP/AD integration)

    Настройка плагина сводится к последовательному заполнению параметров на вкладках Server -> Users -> Login Attributes -> Groups, каждая последующая вкладка становится доступна после заполнения предыдущей. Начнем с заполнения данных на вкладке Server.

    Вам понадобится указать DN созданного системного пользователя в Active Directory, адрес сервера, пароль пользователя и проверить работает ли авторизация нажав на кнопку Test Base DN. Единственной сложностью является указание DN-пользователя. Для того, чтобы узнать DN-системного пользователя в оснастке Active Directory пользователи и компьютеры в меню Вид выберите опцию "Дополнительные компоненты".

    После этого в свойствах любого объекта домена будет отображаться дополнительная вкладка "Редактор атрибутов" и параметр "distinguishedName" как раз и является искомым DN-сервисного пользователя.

    Определение DN-имени пользователя Active Directory

    Заполните необходимые параметры и выполните проверку авторизации DN-пользователя.

    LDAP server settings

    Если все настроено верно, то вы увидите сообщение "Configuration OK" под окном настройки. Нажав на кнопку Continue вы перейдете к настройке фильтра пользователей, где потребуется указать класс объекта пользователя и группы в которые должен входить пользователь который может использовать облачное хранилище.

    Хорошей практикой является создать отдельную группу пользователей для доступа к Next Cloud, так как в этом случае работа системного администратора по организации доступа к хранилище будет сводиться только к добавлению пользователя в необходимую группу. На основе выбираемых вами параметров автоматически будет перестраиваться LDAP запрос и корректность настроек можно проверить нажав кнопку "Verify settings and count users". Вам будет выведено число пользователей домена удовлетворяющих условиям.

    На вкладке Login Attributes выбираются атрибуты которые могут использоваться для входа в систему. Я обычно дополнительно к имени пользователя в Active Directory разрешаю использовать адрес электронной почты.

    Допустимые атрибуты при авторизации

    В низу формы имеется дополнительное поле для тестирования настроек. Вы может указать имя пользователя или адрес электронной почты и проверить, что этот пользователь удовлетворяет условиям (включая фильтр из предыдущей настройки). Последним этапом является настройка связки групп Active Directory с Next Cloud, настройка аналогична настройке фильтров для пользователей.

    На этом настройка связки NextCloud с ActiveDirectory завершена и вы можете использовать учетные записи пользователей домена для авторизации в облачном хранилище.

    Групповой фильтр Active Directory

    P.S. Очень рекомендую использовать полноценные группы для пользователей отделов, это сильно упрощает администрирование в больших организациях, так как вы сможете назначать квоты сразу на группы пользователей.


    Обсуждение статьи
    Вопрос нашего пользователяОгромное спасибо.
    Ответ на комментарийПожалуйста, на здоровье. В ближайшее время еще будет пачка статей на эту тему.

    Ваш комментарий: