Настройка авторизации в Next Cloud с учетными данными Active Directory

by Anton Chernousov aka GITA-DEV


Опубликовано: 19 Окт 2018 (последние правки 3 недели, 4 дня)


Настройка авторизации в Next Cloud с учетными данными Active Directory

Если вы делаете небольшое облако на команду в 5-7 чел, то конечно никаких интеграций с Active Direcory можно и не городить, но когда речь заходит о крупной инсталляции человек так на 100-200, то как вы понимаете заводить их отдельно особого смысла не имеет, а пользователю придется помнить пароль к еще одной информационной системе вместо одного пароля ко всем сервисам. Сегодня будем рассматривать как раз второй вариант.

Для интеграции с Active Directory у вас должен быть создан сервисный пользователь без особых правд доступа, фактически он должен лишь авторизовываться в LDAP-каталоге и получать список пользователей в Active Directory. Обычно у вас такой пользователь уже есть и он используется как раз для интеграции AD со сторонними сервисами. У меня как вы видите он называется ldap (вы можете назвать его как угодно).

Убедившись, что сервисный пользователь у нас создан и пароль от него нам тоже известен, мы переходим к NextCloud и активируем плагин для интеграции с LDAP (Next Cloud -> Приложения -> LDAP user and group backend). Обратите внимание на небольшую делаль, если плагин у вас не активируется, то возможно вам необходимо установить php-модуль для поддержки LDAP:

# aptitude install php-ldap

Если кнопка включить активна, то активируем плагин.

Теперь в настройка Next Cloud у нас есть раздел "Интеграция LDAP/AD"

На первом этапе добавляем сервер Active Directory, но обратите внимание что здесь можно добавить несколько серверов если вы используете несколько источников авторизации и это не основной и резервный контроллеры домена, здесь вы укажете несколько серверов если у вас реально несколько доменов Active Directory не связанных в единый лес.

Сервер, это имя или IP-адрес основного контроллера домена после того как вы укажете имя сервера воспользуйтесь кнопкой "Определить порт" и возможно он определиться автоматически (обычно порт 389).

Следующим этапом укажите DN сервисного пользователя и его пароль, а узнать DN-пользователя в Active Directory можно выбрав в оснастке управления AD "Вид -> Дополнительные компоненты", после этого вам будет доступна дополнительная вкладка "Редактор атрибутов".

После того как вы заполнили поля DN-пользователя и пароль, вам надо нажать кнопку "Сохранить учетные данные" и уже после этого нажать кнопку "Определить базу поиска DN". Если вы указали корректные учетные данные, то в поле Base DN будет указано имя домена. Вот теперь, переходим к построению фильтра пользователей которые будут иметь доступ к серверу.

Тут вопрос конечно больше политики компании и я настраивал самые разные варианты, но проще всего разрешить доступ всем пользователям домена, после того как вы настроили фильтр поиска можно нажать кнопку "Проверить настройки и пересчитать пользователей".

Тут правда есть одна маленькая деталь про которую обычно забывают, а именно, вам требуется исключить из списка досупа заблокированных пользователей, а для этого к фильтру добавляем параметр:

(!(UserAccountControl:1.2.840.113556.1.4.803:=2))

На следующей вкладке "Учетные данные" мы можем дополнительно разрешить авторизацию по адресу электронной почты или другим атрибутам, что довольно удобно и наривится пользователям.

И финальным штрихом нам требуется добавить группы которые будут доступны для использования в NextCloud.

Одним из назначений групп притянутых из Active Directory является создание общих каталогов отдела, но я рассказываю пока исключительно техническую часть, а по идеологии построения общего доступа я могу сделать видео если кому то это интересно.

На этом собственно и все, теперь вы можете использовать доменную авторизацию для доступа к вашему персональному облачному хранилищу.


Обратите внимание на статьи:


Nextcloud-сервер на базе одноплатного ПК BananaPi

Nextcloud-сервер на базе одноплатного ПК BananaPi

Представляю вашему вниманию продолжение статьи - Установка облачного хранилища NextCloud в окружение Nginx+PHP-FPM и сегодня я настрою облачное хранилище на домашнем микро-пк на базе ARM-системы Banana PI. Фактически это доработка статьи про настройке Banana PI для платформы x86 под архитектуру ARM.


Сборка клиента облачного хранилища NextCloud из исходных кодов

Сборка клиента облачного хранилища NextCloud из исходных кодов

Для облачного хранилища Next Cloud (форк проекта OwnCloud), на данный момент, не предоставляется собранный клиент для платформы Linux в виде ночных-билдов для тестирования, но его можно собрать из исходных кодов. Сборка не представляет особой сложности и единственный вопрос который может возникнуть- это разрешить ряд зависимостей необходимых для сборки. В дальнейшем мы планируем настроить сборку пакета для Ubuntu Linux, но сейчас нет времени этим заниматься, тем более, что в клиенте предусмотрена интеграция с KDE (предыдущей версии) и сейчас эта интеграция сломана причем похоже и в OwnCloud тоже.


Установка облачного хранилища NextCloud в окружение Nginx+PHP-FPM

Установка облачного хранилища NextCloud в окружение Nginx+PHP-FPM

Представляем вашему вниманию подробную инструкцию по настройке NextCloud (с установкой плагинов и ssl-сертификатов для реализации защищенного https-протокола). Nextcloud - пакет клиент-серверного программного обеспечения для создания облачного хранилища. Фактически, программное обеспечение аналогично DropBox, Яндекс.Диск и GoogleDrive, но при этом является отрытым ПО и может быть установлено на вашем сервере и интегрироваться с сервисами компании, такими как Active Directory. Функционал облачного хранилища может быть расширен при помощи плагинов и при некотором желании из облачного хранилища можно построить небольшую CRM.


Есть вопросы?
Спрашивайте и я обязательно вам отвечу!

* Поля обязательные для заполнения .

Блог это некоммерческий проект! Если вам понравился мой блог и то что я пишу помогло вам на практике, то можете сказать спасибо материально.