Damit Nextcloud mit dem Active Directory Server über LDAPS spricht, sind nur wenige Schritte durchzuführen.
Folgende Punkte vorausgesetzt:
- Laufende Nextcloudinstanz
- Paket „ldap-utils“ installiert.
- Plugin „LDAP user and group backend “ installiert.
- Nextcloud LDAP Verbindung bereits über LDAP (TCP Port 389) konfiguriert.
Als erstes muss sicher gestellt sein, dass der Nextcloudserver mit dem Active Directory Server über TCP Port 636 eine Verbindung herstellen kann.
telnet <DNS/IP-Adresse AD-Server> 636
Hier darf kein Verbindungsfehler entstehen.
Auf dem AD-Server wird nun eine MMC mit dem Snap-In „Zertifikate“ -> „Computerkonto“ -> „Lokalen Computer“ hinzugefügt.
Dort wird das öffentliche Serverzertifikat „Ausgestellt für“ -> „FQDN des Domaincontrollers“ unter „Eigene Zertifikate“ als Base-64 exportiert.
Das Zertifikat wird auf dem Nextcloudserver unter „/etc/ssl/certs/dmc_certificate.crt“ gespeichert.
In der „/etc/ldap/ldap.conf“ muss jetzt das Zertifikat eingetragen werden:
TLS_CACERT /etc/ssl/certs/dmc_certificate.crt
Wenn mehrere Domaincontroller im Einsatz sind, kann man die Zertifikate aller einzeln exportieren und nacheinander in die „/etc/ssl/certs/dmc_certificate.crt“ eintragen.
Den nachfolgenden Schritt einfach für alle Domaincontroller wiederholen (jeweils die selben Einstellungen verwenden und nur den Hostnamen abändern).
Nun können in der Nextcloud Weboberfläche im LDAP Plugin folgende zwei Anpassungen durchgeführt werden:
- Host: ldaps://<AD Server>
- Port: 636
Jetzt sollte sich die Nextcloud per LDAPS mit dem Active Directory Server verbinden.
Neueste Artikel von Benjamin Lindner (alle ansehen)
- T-Com (Telekom) – Anruf bricht nach 15 Minuten ab (900 Sekunden) - 22. Februar 2024
- Triumph TR6: Instrumente auf LED umrüsten - 19. September 2021
- VW T3 (Westfalia): Zweite Aufbaubatterie - 5. September 2021
Hi,
super Sache!
Einen Punkt verstehe ich nicht ganz. Das Zertifikat auf dem AD-Server wird (Base-64) exportiert als „.cer“. Anschließend wird es als „.crt“ im NextCloud gespeichert?
Erfolgt hier eine Konvertierung?
Das wäre noch hilfreich zu verstehen.
Danke für die Antwort.
Hallo,
ich bin der Meinung, dass es ohne Konvertierung funktioniert hat.
Infos zu Inhalt und Dateiendungen sind hier ganz gut erklärt: https://www.sslmarket.de/ssl/formate-von-ssl-zertifikaten-und-ihre-nutzung/
Viele Grüße
Benny
Hallo Benjamin
Danke für deine Anleitung. Ich habe dies versucht. Zert exportiert und bei Nextcloud importiert. ldap_conf angepasst.
host mit ldaps und Port 636 ergänzt bzw angepasst. Dabei zeigt es an das die Konfig falsch ist.
Hast du eine Idee woran es liegen könnte? Bei einem Telnet auf Port 636 nimmt der Server die Anfrage entgegen.
Wie finde ich heraus ob ldap-utils installiert ist.
Danke für eine Antwort und Gruss
Hallo Fernando,
warum die Konfiguration falsch ist, kann ich Dir leider nicht sagen.
Vielleicht hast Du anstatt den DNS Namen die IP-Adresse als Host angegeben. Dann würde das Zertifikat nicht übereinstimmen.
Hier gibt es aber zu viele Möglichkeiten – das ist per Ferndiagnose schwer.
Mit folgendem Kommando kannst Du abfragen, ob ldap-utils installiert ist:
root@linux:~# dpkg -l| grep ldap-utils
ii ldap-utils 2.4.47+dfsg-3+deb10u1 amd64 OpenLDAP utilities
Wird diese Zeile mit „ii ….“ ausgegeben, ist es installiert.
Viele Grüße
Benny