Nextcloud (LDAP/AD) mit einem Synology Active Directory verbinden

(C) 107er BLOG

Aufgabe war es eine Nextcloud Installation, über LDAP/AD, mit dem Active Directory auf meiner Synology zu verbinden, sodass AD Benutzer sich bei Nextcloud anmelden können.

Hintergrund

Hintergrund der ganzen Aktion ist es zu Hause ein Active Directory einzusetzen. Dazu habe ich auf meiner Synology den Active Directory Server und den DNS Server installiert und danach 4 Benutzer angelegt. Als Erstes Programm sollte die Nextcloud Installation auf das Active Directory zugreifen, und von dort die Anmeldedaten holen.

Leider hat das ganze Unterfangen für einen Neuling wie mich 1 1/2 Tage in Anspruch genommen, da 2 Hürden genommen werden mussten.

  1. Fehlermeldung „Transport Encryption Required“
  2. Anmeldedaten für den Server, die nicht den zig Beispielen für LDAP Anmeldung folgt

Voraussetzung

  • Installation des Active Directory Servers, und des DNS Servers auf der Synology. Dazu gibt es Anleitungen wie Sand am Meer, wie zum Beispiel dieses YouTube Video hier: https://www.youtube.com/watch?v=M5DwCwOZJvI
  • Hinzufügen der App „LDAP/AD Integration“ in Nextcloud
  • Änderung der smb.conf auf der Synology
    Leider funktionierte die Verbindung nicht Out-of-the-Box. Obwohl Base-DN richtig angegeben wurde, kam die Meldung, dass nichts gefunden wurde. Es gab in den Logs folgende Fehlermeldung: Transport Encryption Required.
    Einzige Lösung, die ich dazu gefunden habe ist, dass beim LDAP Server „Strong AUTH“ ausgeschalten werden muss.

    1. SSH auf der Synology aktivieren
    2. SSH Verbindung aufbauen
    3. cd /etc/samba/smb.conf
    4. unter [global] folgendes hinzufügen: ldap server require strong auth=no
  • Gruppe „GRUPPENNAME“ (zb. NextCloudGroup) im Active Directory Server auf der Synology hinzufügen und Benutzer der Gruppe zuweisen.

ACHTUNG: Ich gehe davon aus, da die smb.conf händisch nachbearbeitet wurde, dass wenn auf der Synology Oberfläche etwas an der Samba Config geändert wird, dass dieser Eintrag wieder rausfällt und neu hinzugefügt werden muss! (noch nicht getestet!)

ACHTUNG: Vielleicht gibt es eine bessere Lösung für die Fehlermeldung „Transport Encryption Required“? Wenn ja, bitte einen Kommentar hinterlassen!

Einstellungen

Server

  • Server: ldap://192.168.X.X oder ldap://servername
  • Port: 389
  • User DN: DOMAIN\user_of_group_administrator
    (Information: wenn Domainname: DOMAIN.COM ist, dann gehört hier DOMAIN\Username eingetragen!)
  • Passwort: Passwort des Users
  • Base DN: DC=domain,DC=com
  • Manually enter LDAP filters

Users

  • Query: (&(|(objectclass=user))(|(|(memberof=CN=GRUPPENNAME,CN=Users,DC=DOMAIN,DC=COM)(primaryGroupID=1110))))

Login Attributes

  • Query: (&(&(|(objectclass=user))(|(|(memberof=CN=GRUPPENNAME,CN=Users,DC=DOMAIN,DC=COM)(primaryGroupID=1110))))(samaccountname=%uid))

GROUPS

  • Hier bin ich mir nicht ganz sicher, ob das eine optimale Lösung ist!
    Query: (&(|(objectclass=group))(|(cn=GRUPPENNAME)))

Anmeldung

Die Anmeldung an Nextcloud erfolgt mit dem Username, aber OHNE Domainname!

Probleme beim Login?

Ich hatte mit neu angelegten Usern Probleme beim Anmelden. Obwohl Benutzername und Passwort richtig eingegeben wurden, konnte man sich nicht anmelden. Auch unter „LDAP > Users > Verify settings and Count Users“, wurden die neu hinzugefügten Benutzer nicht angezeigt.

Im Logging stand die Warnung „LDAP Login: Could not get user object for DN cn=username,cn=users,dc=domain,dc=com. Maybe the LDAP entry has no set display name attribute?“.

Und tatsächlich, Benutzer die sich anmelden konnten, hatten im Synology Active Directory Server unter Allgemein im Feld „Vollständiger Name“ (bzw. Display Name) einen Eintrag, die Anderen nicht. Also dort den Namen hinzugefügt, und schon konnte man sich unter Nextcloud anmelden!

 

Einen Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht.


*


7 + = 11