Настройка авторизации в Next Cloud с учетными данными Active Directory

Если вы делаете небольшое облако на команду в 5-7 чел, то конечно никаких интеграций с Active Direcory можно и не городить, но когда речь заходит о крупной инсталляции человек так на 100-200, то как вы понимаете заводить их отдельно особого смысла не имеет, а пользователю придется помнить пароль к еще одной информационной системе вместо одного пароля ко всем сервисам. Сегодня будем рассматривать как раз второй вариант.

 
 
Логотип GITA-DEV

Автор: Черноусов Антон aka Gita-Dev
Опубликовано: 19 Окт 2018 (последние правки 1 месяц)

active directory aptitude cloud install ldap next cloud nextcloud windows домен

Для интеграции с Active Directory у вас должен быть создан сервисный пользователь без особых правд доступа, фактически он должен лишь авторизовываться в LDAP-каталоге и получать список пользователей в Active Directory. Обычно у вас такой пользователь уже есть и он используется как раз для интеграции AD со сторонними сервисами. У меня как вы видите он называется ldap (вы можете назвать его как угодно).

Убедившись, что сервисный пользователь у нас создан и пароль от него нам тоже известен, мы переходим к NextCloud и активируем плагин для интеграции с LDAP (Next Cloud -> Приложения -> LDAP user and group backend). Обратите внимание на небольшую делаль, если плагин у вас не активируется, то возможно вам необходимо установить php-модуль для поддержки LDAP:

# aptitude install php-ldap

Если кнопка включить активна, то активируем плагин.

Теперь в настройка Next Cloud у нас есть раздел "Интеграция LDAP/AD"

На первом этапе добавляем сервер Active Directory, но обратите внимание что здесь можно добавить несколько серверов если вы используете несколько источников авторизации и это не основной и резервный контроллеры домена, здесь вы укажете несколько серверов если у вас реально несколько доменов Active Directory не связанных в единый лес.

Сервер, это имя или IP-адрес основного контроллера домена после того как вы укажете имя сервера воспользуйтесь кнопкой "Определить порт" и возможно он определиться автоматически (обычно порт 389).

Следующим этапом укажите DN сервисного пользователя и его пароль, а узнать DN-пользователя в Active Directory можно выбрав в оснастке управления AD "Вид -> Дополнительные компоненты", после этого вам будет доступна дополнительная вкладка "Редактор атрибутов".

После того как вы заполнили поля DN-пользователя и пароль, вам надо нажать кнопку "Сохранить учетные данные" и уже после этого нажать кнопку "Определить базу поиска DN". Если вы указали корректные учетные данные, то в поле Base DN будет указано имя домена. Вот теперь, переходим к построению фильтра пользователей которые будут иметь доступ к серверу.

Тут вопрос конечно больше политики компании и я настраивал самые разные варианты, но проще всего разрешить доступ всем пользователям домена, после того как вы настроили фильтр поиска можно нажать кнопку "Проверить настройки и пересчитать пользователей".

Тут правда есть одна маленькая деталь про которую обычно забывают, а именно, вам требуется исключить из списка досупа заблокированных пользователей, а для этого к фильтру добавляем параметр:

(!(UserAccountControl:1.2.840.113556.1.4.803:=2))

На следующей вкладке "Учетные данные" мы можем дополнительно разрешить авторизацию по адресу электронной почты или другим атрибутам, что довольно удобно и наривится пользователям.

И финальным штрихом нам требуется добавить группы которые будут доступны для использования в NextCloud.

Одним из назначений групп притянутых из Active Directory является создание общих каталогов отдела, но я рассказываю пока исключительно техническую часть, а по идеологии построения общего доступа я могу сделать видео если кому то это интересно.

На этом собственно и все, теперь вы можете использовать доменную авторизацию для доступа к вашему персональному облачному хранилищу.

Похожие статьи

RhodeCode интеграция с Active Directory

RhodeCode интеграция с Active Directory

При работе с множеством внутренних корпоративных сервисов всегда возникает желание как-то унифицировать логины и пароли пользователей и упростить создание новых пользователей. Не сказать, что у нас большая текучка, но болшьшое число внутренних сервисов создает некоторые проблемы с заведением новых пользователей, так как даже следуя плану предоставления доступа можно что-то забыть. Я предпочитаю привязывать все сервисы в ActiveDirectory компании и повозможности интегрировать пользователей и группы различных сервисов с пользователями и группами в ActiveDirectory.


Active Directory на базе Ubuntu Linux

Active Directory на базе Ubuntu Linux

Как вводить Linux в Windows домен я уже рассказывал, а сегодня мы построим полноценный домен Active Directory, где контроллером домена будет выступать Ubuntu Server. Я бы не рекомендовал вам использовать такое решение в продакшн в качестве полноценного RW-контроллера домена, путь и резервного, а в качестве Read Only контроллера домена я пробовал использовать Ubuntu Server и все работает отлично.


Отзывы и комментарии