Dans ce nouveau tutoriel dédié à Nextcloud, je vais vous expliquer comment lier Nextcloud et un annuaire Active Directory ou LDAP.
La liaison à un annuaire externe permet d’utiliser Nextcloud sans avoir besoin de créer les comptes dans la base de données locale et cela permet aussi aux utilisateurs d’utiliser leur identifiant Windows dans le cas d’un annuaire Active Directory.
Prérequis pour la liaison Active Directory
Compte utilisateur pour la liaison avec l’annuaire
Pour faire la liaison avec votre annuaire Active Directory vous aurez besoin d’un compte utilisateur.
Le compte n’a pas besoin de droit particulier, la seule chose à prendre en compte si vous avez une stratégie de mot de passe, c’est de cocher la case : Le mot de passe n’expire jamais.
Dans ce tutoriel, je vais utiliser mon utilisateur Link AD.
Installer l’application LDAP user and group backend
Afin de pouvoir faire la liaison entre Nextcloud et un annuaire LDAP, on a besoin d’activer l’application : Ldap user and group backend.
Pour fonctionner l’application à besoin du module
php-ldap
.
Depuis l’interface de Nextcloud, cliquer sur votre avatar 1 puis cliquer sur Applications (Apps) 2.
Pour localiser l’application, depuis le menu de gauche, cliquer sur Packs d’application (Apps bundles) 1, chercher Pack pour entreprise (Enterprise bundle), vous devriez trouver ici l’application LDAP user and group backend, cliquer sur le bouton Activer 3.
L’application LDAP user and group backend est activée.
On peut maintenant passer à la configuration de la liaison AD.
Configurer une liaison Active Directory dans Nextcloud
Cliquer de nouveau sur l’avatar de votre compte 1 et cliquer ensuite sur Paramètres d’application 2.
Dans le menu de navigation à gauche, rechercher Integration LDAP/AD 1 et cliquer dessus.
On arrive sur une page où l’on peut gérer les liaisons avec les différents annuaire Active Directory.
Avant d’aller plus loin, je vous invite à lire ce tutoriel : Active Directory : récupérer l’attribut base DN (distinguishedName) d’un objet , car on va utiliser la base DN de plusieurs objets pour configurer la liaison avec l’annuaire.
Commencer par entrer, l’adresse du serveur Active Directory / LDAP et le port 1, ensuite la base DN de l’utilisateur 2 utiliser pour interroger l’annuaire et son mot de passe 3, cliquer sur le bouton Sauvegarder les informations d’indentification 4.
On va maintenant indiquer la base DN du conteneur, qui va contenir les utilisateurs qui pourront utiliser Nextcloud avec leur compte Active Directory, cette étape est important, car va par exemple pouvoir limiter l’accès à seulement à certains utilisateurs qui sont dans une OU particulière ou tout les utilisateurs du domaine si on indique la racine.
Dans ce tutoriel, je vais limiter l’accès aux utilisateur qui se trouve dans l’OU Super Héros.
Indiquer la base DN 1 et cliquer sur le bouton Tester le DN de base 2 pour valider la configuration.
Il est possible d’indiquer plusieurs OU, dans ce cas là, il faut en indiquer une par ligne.
La configuration est validé 1, cliquer ensuite sur le bouton Continuer 2.
Normalement, dans la section Utilisateurs, on a rien à modifier, sauf si vous souhaitez limiter l’accès à un groupe particulier, dans ce cas, il faut sélectionner le ou les groupes dans le champ : Seulement dans ces groupes, cliquer sur le bouton Continuer 1.
Vous pouvez connaitre le nombre d’utilisateur qui seront synchroniser en cliquer sur le bouton Vérifier les paramètres et comptes les utilisateurs.
Dans la partie Attributs de login, on peut choisir les identifiants que les utilisateurs vont pouvoir utiliser, une sélectionner les attributs sélectionner 1, cliquer sur continuer 2.
Là aussi, vous pouvez tester la configuration en entrant un identifiant.
Dans la dernier partie, vous pouvez également configurer les synchronisations des groupes Active Directory dans Nextcloud, afin de pouvoir les utiliser dans les attributions de droits dans l’administration ou pour permettre au utilisateurs des les utiliser pour partager des documents et des dossiers.
La configuration est terminée.
Pour vérifier que cela a bien fonctionnée, aller dans la liste des utilisateurs Nextcloud, vous devriez voir les utilisateurs de l’Active Directory.
La synchronisation est effectuée par tâche planifiée, si la liste est vide, soit la tâche n’a pas encore été effectuée où les tâches planifiées ne sont pas configurées correctement sur votre instance Nextcloud.
Se connecter avec un utilisateur de l’Active Directory
Pour tester, le plus simple est de se connecter avec un utilisateur de l’annuaire, pour exemple, je vais utiliser l’utilisateur ironman.
Sur la page d’authentification, entrer un des champ d’attributs de login 1, le mot de passe Active Directory 2 et cliquer sur Se connecter 3.
Patienter pendant l’ouverture de session la première ouverture de session prend un peu de temps …
En retournant dans la liste des utilisateurs avec un compte administrateur sur Nextcloud, je peux voir le quota de l’utilisateur n’est plus 0, les dossiers et fichiers par défaut on était ajouté à son espace.
Vous savez maintenant comment lier Nextcloud à un annuaire Active Directory ou LDAP.
Compléments sur Nextcloud et la liaison Active Directory / LDAP
Pour finir ce tutoriel, je vais vous donner quelques informations complémentaires pour vous aidez çà gérer au mieux votre Nextcloud.
Afficher la source des utilisateurs
Comme on a pu le voir, dans la liste des utilisateurs, on retrouve tous les utilisateurs locaux et Active Directory, il est possible d’afficher la source (origine) du compte.
Cliquer sur Paramètres 1 et cocher la case Afficher l’origine du compte 2, une fois cochée, il est possible de voir la source du compte.
Vous pouvez également afficher la date de dernière connexion.
Nom interne du compte / utilisateur
Comme vous pouvez le voir dans la liste des utilisateurs, les utilisateurs qui ont pour origine l’Active Directory ont un nom interne composé de lettre et de chiffre.
Par défaut Nextcloud utilise le GUID (objectGUID) comme identifiant unique et nom interne., il est aussi utiliser pour les dossiers utilisateurs comme on peut le voir sur la capture ci-dessous :
Il est possible de modifier ce paramètre pour utiliser un autre attribut par exemple comme :
- L’email
- userPrincipalName
- sAMAccountName
Changer le nom interne
Je vais vous expliquer comment changer le nom du compte dans Nextcloud, idéalement, ceci est à faire lors de la première configuration de la liaison LDAP / AD.
Dans l’administration de l’Intégration LDAP/AD, cliquer sur Expert 1.
Dans le champ Nom d’utilisateur interne, entrer le champ AD souhaité 1.
C’est configuré, pour le moment seulement les nouveaux utilisateurs UPN comme nom interne.
Si vous souhaitez appliquer ce paramètre au compte existant, cliquer sur le bouton Supprimer l’association utilisateur interne-utilisateur LDAP 1.
Après synchronisation, on peut voir que le nom interne est UPN :
Si on regarde sur le serveur, on peut également voir que des nouveaux dossiers pour les utilisateurs ont été créé :
Si des utilisateurs avaient déjà déposer des éléments sur Nextcloud, ils ne les verrons plus.
Vous savez maintenant comment lié un annuaire Active Directory et Nextcloud.
Dans un prochain tutoriel, je vais vous expliquer comment utiliser ADFS pour authentifier les utilisateurs