OwnCloud Configuration LDAP

De EjnTricks
Révision de 9 février 2018 à 13:20 par Etienne (discussion | contributions)

(diff) ← Version précédente | Voir la version courante (diff) | Version suivante → (diff)

Par défaut, OwnCloud gère une base interne d'utilisateur. Cependant, l'application LDAP user and group backend permet d'utiliser un annuaire LDAP pour la gestion des utilisateurs. Dans le cadre de cette installation, un annuaire OpenLDAP installé sur la machine est utilisé.


Une fois activée, les utilisateurs peuvent se connecter avec un identifiant, ou autre comme décrit dans le mapping utilisateur, validé sur l'annuaire. A la connexion, les groupes d'appartenance de l'utilisateur seront automatiquement récupérés. Il faut donc bien configurer le mapping pour ne pas récupérer tout l'annuaire, surtout si celui-ci est volumineux.


Hand-icon.png Votre avis

Nobody voted on this yet

 You need to enable JavaScript to vote


Add-icon.png Ajout backend

Afin d'utiliser un annuaire LDAP, il faut activer l'application. Celle-ci est disponible par défaut et il faut l'activer avec un compte administrateur, comme décrit dans l'article des applications tierces.

Il faut afficher l'application LDAP user and group backend, disponible dans les applications Désactivées.


En cliquant sur le bouton Activer, celle-ci devient disponible et le bouton est changé en Désactivé.


Icon-Configuration-Settings.png Déclaration annuaire

Afin de paramétrer le serveur LDAP, il faut accéder à la section LDAP dans la page d'administration. Celle-ci est accessible avec le compte administrateur, par le lien Administration dans le menu sous le libellé du compte en haut à droite.


La configuration de l'annuaire s'effectue dans quatre onglets.


Hardware-icon.png Configuration serveur

Le premier onglet permet de spécifier le serveur hébergeant l'annuaire.


Dans le cadre de cette installation, les paramètres sont spécifiés ainsi.

Paramètre Valeur Description
Hôte localhost Nom du serveur hébergeant l'annuaire.

Dans ce cas, localhost est utilisé car l'annuaire est sur la même machine.

Port 389 Port standard pour un LDAP non sécurisé.

Il est possible de le détecter automatiquement en cliquant sur le bouton Détecter le port.

DN Utilisateur cn=admin,dc=ejnserver,dc=fr Compte utiliser pour se connecter à l'annuaire.
Mot de passe   Mot de passe du compte spécifié dans DN Utilisateur.
DN de base dc=ejnserver,dc=fr Base de recherche pour les objets. Attention c'est un base commune pour les groupes ET les utilisateurs.

Deux boutons permettent de tester la configuration ou d'essayer de la détecter.

Lorsque la configuration est valide, un rond vert est affiché, ce qui est pratique pour s'assurer une configuration correcte.


User-icon.png Configuration mapping utilisateurs

L'onglet Utilisateurs permet de configurer les paramètres de recherche / validation des utilisateurs sur l'annuaire.


La liste des classes d'objets permet de filtrer les objets en fonction de leur déclaration. Une sélection sur des groupes permet de filtrer l'autorisation aux comptes inclus dans ces groupes. Il suffit de sélectionner les groupes souhaités dans la liste présentée. A noter que cette liste n'a aucun lien avec le filtre sur les groupes synchronisés.


Dans le cadre de cette installation, deux groupes sont sélectionnés donnant la configuration suivante.


Il est également possible de spécifier manuellement le filtre en cliquant sur le lien Modifier la requête LDAP, affichant une zone de saisie en face du label Filtre LDAP.


Icon-keys.png Configuration autentification

L'onglet Attributs de login permet de configurer le mode de validation de l'utilisateur lors de la connection. Encore une fois, cette fonctionnalité est plutôt bien pensée. En effet, il est possible de spécifier une autehntification sur l'identifiant, l'adresse mail ou d'autres parmi la définition de la classe de filtre. Il est donc possible de l'effectuer sur l'id, des initiales etc.


A noter sur la copie d'écran, un message affiche une information sur le nombre d'entrée validée avec la configuration du premier onglet.


User-group-icon.png Configuration mapping groupes

Pré version 8.2.2

L'onglet Groupes permet de configurer les paramètres de recherche / validation des groupes sur l'annuaire.


La configuration s'effectue exactement comme pour les utilisateurs. Cependant dans le cadre de cette installation, avant la version 2.2, la classe groupOfNames n'était pas présente dans la liste des classes. Le filtre a donc été spécifié manuellement avec la valeur (&(objectClass=groupOfNames)).

Version 8.2.2

L'interface d'administration permet de filtrer les groupes par simple sélection de la(les) classe(s) des objets dans l'annuaire.


Ce filtre peut être complété en sélectionnant spécifique les groupes synchronisés. La contenu de la liste dépend de la sélection faite sur la classe.


Une fois les sélections réalisées, la requête LDAP est présentée dans la zone inférieure.


A noter qu'il n'est pas nécessaire de combiner les deux filtres. Il est possible de filtrer uniquement sur le nom des groupes.

Cependant, cette interface est une assistance pour paramétrer la synchronisation visuellement. Pour un paramétrage plus fin, la requête peut être modifiée manullement, comme présenté précédemment. Dans le cadre de cette installation, il est souhaité de ne pas récupérer les groupe svn-* et le filtre est modifié en cliquant sur le lien Modifier la requête LDAP. La requête est ensuite modifié avec le contenu suivant.

(&(objectclass=groupOfNames)(!(cn=svn-*)))


La configuration est validée en cliquant sur le bouton Vérifier les paramètres et compter les groupes, donnant le nombre de groupe retournés par le filtre.

Lors de l'authentification d'un utilisateur sur l'instance, le paramétrage est pris en compte et va créer / supprimer les groupes. Donc en cas de modification du paramétrage, des groupes potentiellement synchronisés préalablement seront supprimés. Ces groupes sont visible dans l'interface d'administration des utilisateurs, où les groupes sont utilisés pour filtrer la liste des comptes.


Icon-Configuration-Settings.png Configurations avancées

Les deux onglets Avancé et Expert permettent de spécifier des paramètres plus technique comme :

  • Attribut spécifique sur les utilsateurs comme le nom affichable, le mail ou la définition du Quota.
  • Affiner les bases de recherches pour utilisateurs et groupes.
  • Attribut des groupes contenant l'identifiant des utilisateurs membres.


Save-icon.png Sauvegarde

Attention, les modifications sont automatiquement sauvegardées. Il n'y a pas de bouton de sauvegarde et il faut s'assurer de ne pas effectuer d'erreur lros des modifications.


Viewer icon.png Voir aussi

Documentation officielle: https://doc.owncloud.org/server/8.1/admin_manual/configuration_user/user_auth_ldap.html