В этой статье я покажу как файловый сервер NextCloud может синхронизировать пользователей и группы из LDAP (AD).
О синхронизации
Я уже писал про сервер NextCloud — здесь.
Вы можете синхронизировать ваш сервер документов NextCloud с LDAP (AD). При этом можно:
- выбрать группу и пользователи только этой группы получат доступ на сервер NextCloud;
- выбрать группы, которые будут доступны в NextCloud. Это позволит, например, сделать какую-то доменную группу в качестве админской для NextCloud;
- синхронизировать вместе с пользователем дополнительную информацию о нём, например его email.
Вот официальная справочная информация по интеграции NextCloud с LDAP AD — ссылка. Если что-то не получается по моей статье, то можете обратиться к этой справке.
Синхронизация
Установка приложения для синхронизации
Во-первых нужно установить приложение для синхронизации с LDAP. Для этого открываем «Меню» и выбираем «Приложения«.
Затем находим и устанавливаем приложение «LDAP user group backend».
Затем переходим в настройки сервера.
Находим настройку приложения «LDAP/AD интеграция».
Вкладка «Сервер»
На вкладке «Сервер» мы должны ввести следующую информацию:
- Адрес и порт сервера. Адрес вводится в формате
ldap://<fqdn-контроллера-домена>
; - Има пользователя в формате
<Логин>@<домен>
и его пароль; - Сохраняем учетные данные;
- Нажимаем «Определить базу поиска DN» и затем «Проверить базу поиска DN»;
- И нажимаем «Продолжить».
Кстати, о том как сделать пользователя в AD с минимальными правами для интеграции LDAP, я писал в этой статье.
Вкладка «Пользователи»
Переходим на вкладку «Пользователи». Здесь нужно указать:
- Только эти классы объектов — person;
- Находим группу, пользователи которой только будут синхронизироваться с NextCloud;
- И нажимаем кнопку чтобы эта группа появилась в окошке снизу, у меня это группа «Nextcloud Access»;
- Можно вручную изменить запрос LDAP, но так как у меня всё заработало, я его не менял;
- Нажимаем «Проверить настройки и пересчитать пользователей»;
- И, если всё в номер, нажимаем «Продолжить».
Вкладка «Учетные данные»
Переходим на вкладку «Учетные данные». Здесь я вроде ничего не менял, проверьте что у вас стоит галочка «LDAP/AD Имя пользователя». Проверьте запрос LDAP, я его не изменял. Дополнительно вы можете проверить логин из домена. Если всё в порядке то нажимаем «Продолжить».
Вкладка «Группы»
На вкладке «Группы» укажите какие доменные группы будут видны в NextCloud.
Вкладка «Эксперт»
Затем переходим на вкладку «Эксперт». Здесь в качестве атрибута для внутреннего имени нужно указать — sAMAccountName.
На этой же вкладке можете проверить конфигурацию, и если всё нормально, переходим к пользователям.
После чего вы увидите доменных пользователей из группы «Nextcloud Access» и сможете их донастроить. Например задать лимиты, сделать администраторами в NextCloud и другое.