Forum Linux.général [Tuto/HowTo] Utiliser le LDAP de Yunohost avec Nextcloud

Posté par . Licence CC by-sa.
2
14
mai
2017

Introduction

  • Nextcloud (et owncloud) permet d'utiliser un serveur LDAP, ce qui vous permet de centraliser les sessions de vos différents services et ainsi d'utiliser le même couple pseudo/mot de passe sur tout vos services.
  • Note : les communications entre le serveur LDAP de YUnohost et le serveur Nextcloud n'étant pas sécurisées, il est conseillé de les faire communiquer à travers un VPN.
  • Note Bis : Afin d'augmenter l'intégration avec vos différents services et la sécurité de l'ensemble, je vous conseil de jeter un œil sur phpldapadmin dont voici le tutoriel d'installation sur Yunohost.

Mise en place

  1. Si ce n'est déjà fait, ouvrez le port 389 TCP sur votre serveur Yunohost
  2. Rendez-vous en administrateur sur l'interface WEB (WEBUI) de Nextcloud
  3. Allez dans le menu "Application" et activez l'application "LDAP user and group Backend" DLFP
  4. Allez dans le panneau d'administration section intégration LDAP/AD
  5. Onglet Serveur :
  • Hôte : entrez l'adresse IP pour joindre votre serveur LDAP (yunohost) et cliquez sur "Détecter le port"
  • DN Utilisateur : cn=admin,dc=yunohost,dc=org
  • DN Mot de passe : entrez le mot de passe administrateur de votre serveur Yubnohost (celui que vous avez configuré lors de la "post-installation")
  • DN de Base : cliquez sur "Détecter le DN de base" DLFP
  1. Onglet Utilisateurs :
  • Sélectionnez "PosixAccount" DLFP
  1. Onglet Groupes :
  • Sélectionnez comme "Classes d'objet" posixGroup et comme groupe "sftpusers" DLFP

Foire aux Questions

Que se passe-t-il si je supprime sur le LDAP un utilisateur qui est connecté sur Nextcloud ?

  • Réponse : Il est déconnecté au bout de quelques secondes. Les fichiers et dossiers ne sont PAS supprimés sur le coups (le sont-ils après un délais?).

Que se passe-t-il si un utilisateur du LDAP porte le même login qu'un utilisateur de Nextcloud ?

  • Réponse : à tester
  • # Sécurité et améliorations de l'intégration du LDAP

    Posté par . Évalué à 1.

    Si certains d'entre vous ont des idées ou des recommandations : ne vous en privez pas tant que je peux encore éditer le tuto :)

    Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

  • # oui mais

    Posté par . Évalué à 3.

    Si ce n'est déjà fait, ouvrez le port 389 TCP sur votre serveur Yunohost

    en fait il faut l'ouvrir mais pas sur l'exterieur sinon tout le monde peut se connecter à ton port 389

    il faut en fait ouvrir le port 389 sur l'IP VPN (client ou serveur tout depend dans quel sens tu montes ton tunnel)

    MAIS
    perso je ferais juste un tunnel ssh entre les deux machines, lancé automatiquement via autossh,
    et faire pointer ton nextcloud sur localhost:389

    • [^] # Re: oui mais

      Posté par . Évalué à 1. Dernière modification le 15/05/17 à 12:39.

      Oui c'est se qu'explique le tutoriel derrière ce lien :)
      Par contre, coté dommage, le firewall de yunohost ne permet que d'autoriser/bloquer tout ipv4 ou ipv6 et pas de specifier une ip/plage. Il faut passer par la ligne de commande qu'il faut lancer a chaque boot. (car pas d'iptable-persistent)

      Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

      • [^] # Re: oui mais

        Posté par . Évalué à 3.

        pas de souci avec le tunnel ssh,
        puisque ton serveur nextcloud se connecte à ton ldap en ssh, puis fait du localhost:389 (nextcloud) => tunnel ssh => localhost:389 (serveur ldap)

        pas besoin d'ouvrir le firewall car de memoire localhost (127.0.0.1) ne passe pas sur INPUT puisque local sur local

  • # Problème avec member-of

    Posté par . Évalué à 1.

    Il y a un problème avec les groupes : tout les utilisateurs ont accès au cloud (l'option pour restreindre à certains groupe est grisée).
    Je suis en train de chercher comment régler le problème.

    Nextcloud doc

    Only from those groups:
    If your LDAP server supports the member-of-overlay in LDAP filters, you can define that only users from one or more certain groups are allowed to appear in user listings in Nextcloud. By default, no value will be selected. You may select multiple groups.
    If your LDAP server does not support the member-of-overlay in LDAP filters, the input field is disabled. Please contact your LDAP administrator.

    Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

    • [^] # Re: Problème avec member-of

      Posté par . Évalué à 2.

      ton probleme

      If your LDAP server does not support the member-of-overlay in LDAP filters, the input field is disabled. Please contact your LDAP administrator.

      ta solution

      If your LDAP server does not support the member-of-overlay in LDAP filters, the input field is disabled. Please contact your LDAP administrator.

      • [^] # Re: Problème avec member-of

        Posté par . Évalué à 0.

        Ouai le type qui a rédigé cette doc a du bosser chez microsoft ^ ^ (ca rappel ce bon vieux "veuillez contacter votre administrateur système" :D )

        Il faut que je teste cette solution ou encore ici mais je sens venir le prochain crash à vue de nez :P (quelle idée de merde d'avoir déjà commencé à migrer certains utilisateurs ^ ^ )

        Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

        • [^] # Re: Problème avec member-of

          Posté par . Évalué à 1.

          J'ai testé les deux liens ci-haut et résultat :

          ldap_add: Insufficient access (50)
          

          Les tests ont été fait en ligne de commande sous les users root et admin ainsi que via l'interface phpLDAPdmin (qui me dit "Logged in as: cn=admin" bien que je suis connecté sous un utilisateur (le premier) créé par mes soins et qui est le seul à avoir accès a cette interface).

          Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.