In ons vorige artikel over OwnCloud hebben we uitgelegd hoe je dit stap voor stap inricht.
De basis heb je dan draaien, maar je moet lokale gebruikers aanmaken.
Wanneer je een Windows Domein netwerk of LDAP compatible netwerk hebt, kun je Owncloud ook integreren middels LDAP.
Het voordeel hiervan is dat je alleen in de Active Directory de gebruikers hoeft aan te maken.
Vervolgens kun je dan ook in OwnCloud inloggen met je Windows credentials.
Hoe je dit doet, lees je in dit artikel !
LDAP Inrichten op je OwnCloud server !
Stap 1 – AD Security Group en LDAP user aanmaken en LDAP Libraries installeren
Als eerste beginnen we met het aanmaken van een nieuwe security group in de Active Directory. Gebruikers die lid zijn van deze groep, mogen inloggen op OwnCloud.
Open de Active Directory Users and Computers en voeg een groep “OwnCloud_Users” toe.
In deze groep zet je dan de users die toegang tot OwnCloud moeten krijgen.
Als 2e is het verstandig om een LDAP User aan te maken, deze hoeft alleen Domain User rechten te hebben. Het is niet aan te raden om voor LDAP het administrator account te gebruiken ! De LDAP User hoeft alleen maar een query te doen op de AD, verder heeft deze geen schrijfrechten o.i.d. nodig. In ons geval is dit de gebruiker LDAPUser.
Start nu een SSH sessie met bijvoorbeeld Putty naar de OwnCloud server en log in met een gebruiker die sudo rechten heeft.
Gebruik nu het volgende commando om LDAP voor PHP te installeren :
sudo apt install php-ldap
Voer dan het sudo wachtwoord in en de installatie start vervolgens.
Om de wijzigingen te activeren moet Apache nog gereloaded worden :
sudo service apache2 reload
De webserver wordt nu opnieuw gestart en de LDAP integratie is nu actief zodat een LDAP koppeling gemaakt kan worden.
Stap 2 – LDAP App activeren in OwnCloud
Log nu in als een beheerder op je OwnCloud.
Klik op Bestanden en kies dan + Apps.
Dan ga je links in het menu naar Niet ingeschakeld en zoek je de LDAP user and group backend.
Klik daaronder op Activeer om de app te activeren.
De LDAP App is nu actief en we kunnen verder met het inrichten van LDAP.
Stap 3 – LDAP Configureren
We klikken nu rechtsboven op de gebruikersnaam en klikken op Beheerder.
Nu klik je rechts op LDAP.
Voer dan het IP adres van de Domain Controller in en klik op Detecteer poort waarna automatisch de juiste poort gevonden wordt.
Vul daaronder de gebruikersnaam en wachtwoord in van de hiervoor aangemaakte LDAP User.
En als laatste vul je daaronder de Base DN in, het AD zoekpad.
Dit kan zoiets als OU=Gebruikers,OU=Vestiging,DC=domeinnaam,DC=local
Klik daarna op Testen Basis DN om te testen of de gegevens juist zijn.
Als er een groen bolletje verschijnt bij Configuratie OK, dan klopt alles en kun je op Verder klikken
Dan kun je instellen dat je alleen personen wilt kunnen laten inloggen.
Bij Alleen van deze groepen selecteer je dan de OwnCloud_Users group.
Klik op Verifieren instellingen en tellen gebruikers waarna deze het aantal gebruikers zal weergeven. Dit moet overeenkomen met het aantal gebruikers dat je lid hebt gemaakt van de groep. Daarna kun je op Verder klikken om verder te gaan met de configuratie.
Hier kunnen we kiezen hoe de gebruikers moeten inloggen. We kiezen in dit geval er voor om als gebruikersnaam het emailadres te gebruiken.
Zet hiervoor een vinkje bij LDAP / AD e-mailadres
Voer dan een emailadres in van een gebruiker die toegang tot OwnCloud moet krijgen en klik op Verifieren Instellingen. Als dit goed gaat verschijnt bovenin een gele balk met de bevestiging dat de gebruiker gevonden en geverifieerd is.
Klik dan op Verder om naar de laatste stap van de configuratie te gaan.
In de laatste stap kun je de groep OwnCloud_Users toevoegen als lokale groep in OwnCloud.
Dit is met name handig als je mappen met rechten structuren gebruikt. Je kunt dan mappen aanmaken waarin alleen OwnCloud_Users leden in moeten kunnen.
De LDAP Configuratie is nu klaar !
Je kunt nu een nieuwe OwnCloud sessie starten en inloggen met het emailadres van een gebruiker en het wachtwoord dat in de AD bekend is.
Het beheer vindt nu op 1 plek plaats. Wanneer een gebruiker geen toegang meer mag hebben, dan kun je deze uit de groep OwnCloud_Users halen en per direct is de toegang ontzegt voor de betreffende gebruiker.