Перейти к основному содержанию

OwnCloud — Domain Users

Owncloud

OwnCloud — это свободное и открытое веб-приложение для синхронизации данных и совместной работы с файлами в стиле Dropbox. Замечательный инструмент для создания личного, семейного или корпоративного файлового хранилища.

https://owncloud.com

Если интегрировать в OwnCloud аутентификацию LDAP/AD, то в документации можно найти хорошую фразу:

Support for primary groups in Active Directory

OwnCloud — LDAP/AD интеграция

Т.е. утверждается, что OwnCloud поддерживает основные группы AD. Однако, как показала практика, это не совсем так. К примеру, мы хотим добавить в OwnCloud всех пользователей домена, это легко сделать, использую встроенную группу Domain Users, в которой числятся все пользователи домена. Я понимаю, что так делать не нужно, но всё же.

Domain Users

Добавить группу Domain Users в список групп OwnCloud можно, можно также разрешить вход в OwnCloud всем участникам группы. Однако, возникает проблема.

owncloud

Группа Domain Users в OwnCloud пуста. Не знаю в какой момент так случилось, есть подозрение, что до определённого обновления всё работало как надо.

При этом все пользователи домена прекрасно определяются.

owncloud

И в созданных нами группах пользователи определяются без проблем.

owncloud

Ясно, что проблема кроется в алгоритме, определяющем членство в группе. Алгоритм можно настроить в дополнительных параметрах аутентификации LDAP. Доступно:

  • groupScan
  • memberOf
  • recursiveMemberOf (AD)

owncloud

Но какой бы вариант мы не выбрали, группа Domain Users всё равно пуста.

Почему так происходит?

Если посмотреть на атрибут memberOf пользователя AD, то видно, что в нём указываются только созданные нами группы, поэтому членство в таких группах OwnCloud определяет без проблем. Такие группы можно смело использовать для настроек доступа в OwnCloud. А вот специальной группы Domain Users в атрибуте memberOf не указывается, вот членство в этой группе и не определяется.

owncloud

Мы ничего с этим сделать не можем, потому как алгоритм определения членства в группе Domain Users должен быть захардкожен в OwnCloud. Но если очень хочется, то есть лайфхак.

Лайфхак

Если нам очень нужна группа Domain Users, то можно выполнить манёвр. Создаём какую-нибудь группу, помещаем в неё всех пользователей, вручную, естественно. Членство пользователей в этой группе легко определяется, потому как такая группа указывается в атрибуте memberOf пользователя. К примеру, я использую группу owncloud, она есть в атрибуте memberOf пользователя.

А теперь помещаем эту группу owncloud в группу Domain Users. Чудесным образом у группы owncloud в атрибуте memberOf появляется группа Domain Users.

owncloud

Указываем в дополнительных настройках LDAP аутентификации рекурсивный алгоритм определения членства в группе, например, recursiveMemberOf (AD). Вуаля, в OwnCloud в группе Domain Users появились участники.

owncloud

Зачем это надо?

Способ дурацкий, конечно. Проще выкинуть всё лишнее и использовать созданные админом группы в AD, раскидывая туда нужных пользователей. Но иногда это может пригодиться, если у нас нет доступа в админку OwnCloud, а починить всё нужно быстро и ещё вчера.

К тому же есть шанс, что разработчики OwnCloud всё-таки вернут поддержку встроенных в AD групп, но я бы на это не надеялся.

Теги

 

Похожие материалы