LDAP集成Nextcloud 部署教程
介绍
LDAP是一种轻量目录访问协议,可以以树状的层次结构存储数据。常用于信息的集中存放、单点登录等等。
在实际环境中,Nextcloud往往会与其它应用混合使用,而Nextcloud中的用户与其它的用户系统是独立的,也就需要另行添加一个账户,较为繁琐,也容易出现两个应用中用户无法对应的情况,平添了管理的难度。
Nextcloud自带了LDAP user and group backend插件,可以将LDAP整合至Nextcloud,实现使用LDAP中存储的用户信息在Nextcloud上登录。
安装LDAP
演示环境
- Ubuntu 16.04
- Nextcloud 12.03
- OpenLDAP
Let's go
首先安装OpenLDAP
apt-get install slapd ldap-utils
在安装过程中会提示设置管理员密码,这个密码将是cn=admin,dn=example,dn=com的密码
重新输入以确认密码:
完成密码的设置后,稍等一会,OpenLDAP就安装好了。
LDAP的配置
现在的LDAP服务暂时无法直接使用,我们需要做一些配置。
编辑/etc/ldap/ldap.conf文件
vim /etc/ldap/ldap.conf
在打开的文件中,将BASE和URI两行前的注释去掉,然后在修改BASE后面的内容为:
BASE dc=dreampacific,dc=cn
如果你是第一次接触LDAP:
``dc=dreampacific``和``dc=cn``是可以自行设置的,以上的示例的dc是根据dreampacific.cn这个域名来设置的。LDAP结构和域名系统类似。
LDAP是一个树状的结构,你可以去百度DNS迭代解析的过程,以大概地理解为什么LDAP的BASE(基础)有域名的样子。
URI后面的内容修改为
URI ldap://ldap.dreampacific.cn ldap://ldap-master.dreampacific.cn:666
而下文的URI则是指定ldap的网络位置,待会要使用这儿设置的URI进行测试,所以这里要设置可以实际访问的地址。如果你没有可用的域名,这儿可以设置为IP地址的形式:
URI ldap://127.0.0.1 ldap://127.0.0.1:666
完成配置文件的修改后,就可以进入下一步了:
dpkg-reconfigure slapd
之后会出现这样的画面,选择“NO”
然后要求你输入一个域名,这个域名要与之前设置的BASE中dc的内容一致,但要写成域名的形式:
然后输入组织机构名称,最好与前面设置的第一个dc的内容保持一致:
最后输入之前所设置的管理员密码:
再确认一遍:
默认选择MDB:
询问当ldap卸载时是否移除旧的数据库,选择YES或NO均可。
是否移除旧的数据库,选择YES
是否允许LDAPv2协议,没有这个需要就不必启用了:
现在LDAP的初始配置基本完成了。
测试LDAP服务
使用以下命令测试LDAP服务是否正常运转:
ldapsearch -x
如果输出类似以下的内容则为正常:
# extended LDIF
#
# LDAPv3
# base <dc=dreampacific,dc=cn> (default) with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# dreampacific.cn
dn: dc=dreampacific,dc=cn
objectClass: top
objectClass: dcObject
objectClass: organization
o: dreampacific
dc: dreampacific
# admin, dreampacific.cn
dn: cn=admin,dc=dreampacific,dc=cn
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
# search result
search: 2
result: 0 Success
# numResponses: 3
# numEntries: 2
到此LDAP的安装已完成。
LDAP服务的管理
在这儿推荐使用图形化工具管理LDAP服务,例如phpLDAPadmin。
安装phpLDAPadmin
phpLDAPadmin是一个可以在网页上管理LDAP服务的工具。
使用以下命令安装phpLDAPadmin:
apt-get install phpldapadmin
然后创建一个符号链接,将phpldapadmin导入到HTTP服务器的根目录里去:
ln -s /usr/share/phpldapadmin/ /var/www/html/phpldapadmin
然后编辑phpldapadmin的配置文件:
vim /etc/phpldapadmin/config.php
1.设置时区
在config.php文件第85行(vim中在普通模式下输入:set number显示行号)可以找到有关时区的设置,将它改为你所在的时区(Asia/Shanghai,如果无效可以换成PRC):
$config->custom->appearance['timezone'] = 'Asia/Shanghai';
2.填写LDAP服务的相关配置
在第274行后面可以依次找到以下几项配置,将后面的内容按实际情况修改:
//设置服务器名$servers->setValue('server','name','Chengye LDAP Server');//设置服务器地址,可以是域名也可以IP地址$servers->setValue('server','host','127.0.0.1');//LDAP的域名设置,按之前所设置的BASE中的内容填写$servers->setValue('server','base',array('dc=dreampacific,dc=cn'));//与上面的一样,按BASE中的内容填写$servers->setValue('login','bind_id','cn=admin,dc=dreampacific,dc=cn');
完成后保存退出。
最后重启apache:
service apache2 restart
测试并编辑LDAP中的内容
访问http://服务器ip/phpldapadmin ,可以看到如下图所示的界面,点击左侧login登录:
可以看到默认登录DN就是我们在config.php中设置的值。输入之前安装LDAP时设置的密码,点击Authenticate登录:
然后在左侧就可以看到基础的目录了,点击“+”展开:
LDAP暂时先到这里,接下来我们将工作聚焦到Nextcloud。
Nextcloud上的配置
首先要启用Nextcloud的LDAP插件(APP),这个插件可以将LDAP中的用户信息作为登录信息。直接到应用中启用这个插件(APP):
也可以使用OCC命令启用:
sudo -u www-data php occ app:enable user_ldap
启用后,到管理->LDAP/AD整合,就可以看到与LDAP相关的配置了:
填写LDAP服务器的信息,示例如下:
(依次点击“检测基础DN”“测试基础DN”,下方出现“配置完成”则说明连接正常)
添加LDAP信息
这儿所添加的信息均为示例,实际环境中可以有所不同,以满足不同的需求。
回到LDAP,首先在phpLDAPadmin上创建一个组
组名我们可以设置为NCGroup,然后点击“Create Object”:
点击“Commit”以继续:
OK,一个组就这样创建完成了。
然后再创建用户,在NCGroup下,点击“Create a child entry”:
选择“Samba: Account”:
输入基本信息:
注意:在“GID Number”选择刚刚创建的组;在“Password”中填写的密码将用于登录Nextcloud。
在最下面点击“Create Object”,然后点击“Commit”。
完成用户的创建后,为了满足Nextcloud的要求,可以再添加一个displayName的Attribute(属性):
Add new attribute->下拉框中选择displayName,然后输入值,这个项将用于在Nextcloud中显示用户名,也可用于登录。
填写完后拉到下面->Update Object->Update Object完成内容的添加。
完善Nextcloud的配置
回到Nextcloud的 LDAP/AD整合 中,点击“继续”,来到用户的设置。Nextcloud并不会搜索LDAP中存储的全部用户,它只会搜索拥有某一或某几个属性的用户。在LDAP中创建的用户默认拥有inetOrgPerson的属性,所以我们这里选择为默认的inetOrgPerson即可:
点击“继续”设置登录属性。
这儿的登录属性将用于Nextcloud的登录,在这儿可以设置用户可以使用LDAP中的属性登录,勾选第一条“LDAP/AD用户名”则使用uid和samaccountname登录;勾选第二条“LDAP/AD邮箱地址”则使用mailPrimaryAddress和mail属性登录。你也可以选择使用其它的属性,比如displayName:
点击“继续”,在群组的设置中选择默认即可。
现在的LDAP的配置基本完成了。到Nextcloud的用户管理页面中看看是否显示了LDAP中的用户:
我们可以看到,LDAP中的用户“FikGreg”已经显示了,但是在“用户名”一栏却是乱码一样的东西。因为LDAP并没有给Nextcloud提供用以显示“用户名”的信息,所以Nextcloud智能用一串随机字符来代替。
我们只要定义以下哪个属性可以用来显示用户名就可以了。到“专家”->内部用户名中,设置可以作为“用户名”的属性,例如“displayName”。然后点击“清除用户-LDAP用户映射”:
刷新用户管理页面,字符串更正成了dispalyName:
测试
最后我们来试试能不能用这个LDAP用户登录Nextcloud。
因为我们之前将“dispalyName”作为了登录属性,所以这儿用dikplayName的值登录,密码为创建用户时Password的值:
登录成功!
最后
LDAP和Nextcloud的LDAP插件拥有很大的灵活性,本文只是以示例的形式演示了将LDAP集成进Nextcloud的过程。你完全可以根据实际需要变更一些东西,比如登录名的属性,组属性等等。如果你比较了解LDAP,这不成问题。我会在后面的文章中详细地介绍这一功能,以及其它的单点登录的方案。
原文地址:http://blog.51cto.com/8823918/2140414