Nextcloud-Authentifizierung über Microsoft AD FS – Top schwäbische IT-Praxis

Zuletzt aktualisiert am 9. Juni 2024, 12:06:36 Uhr

Nextcloud (Office) wird weiterhin bei Partnern, Kunden, Dienstleistern etc. eingesetzt. für die gemeinsame Dateibearbeitung. Es handelt sich um eine Open-Source-Kollaborationslösung.

Zunächst werden Benutzerkonten häufig auf Nextcloud erstellt und verwaltet. Mit der Zeit wird es immer mehr Projekte geben. Dadurch erhöht sich auch die Anzahl der Nutzer, sowohl externer Kontakte als auch Mitarbeiter. Dadurch erhöht sich auch der Aufwand bei vergessenen Passwörtern, gesperrten Konten etc.

Mitarbeiter verfügen häufig über ein Benutzerkonto auf einem LDAP-Server. In diesem Artikel geht es um ein Microsoft Active Directory. Dadurch ist es möglich, einen Mehrwert zu erzielen. Mit anderen Worten: Mitarbeiter können sich mit ihren Anmeldedaten, dem Windows-Client, Exchange OWA usw. bei Nextcloud anmelden.

Hierfür gibt es zwei Möglichkeiten:

• Active Directory-Anbindung direkt über LDAP oder LDAPS. Dies ist in der Regel eine schnelle und einfache Möglichkeit, Ihr Ziel zu erreichen. Für Nextcloud gibt es eine App namens „LDAP User and Group Backend“.
• Active Directory-Verbindung über einen Identitätsanbieter (IdP). In diesem Fall handelt es sich um einen Active Directory Federation Service (AD FS) zusammen mit einem Web Application Proxy (WAP).

Wenn Sie Wert auf Sicherheit legen, sollten Sie nicht über Option 1 nachdenken. Im Allgemeinen befinden sich ADs oder DCs in einem LAN. Gemäß den aktuellen Best Practices als Tier 0 eingestuft. Der Server, auf dem Nextcloud läuft, befindet sich normalerweise in der DMZ. Dies würde bedeuten, dass ein Server in einem unsicheren Netzwerk Zugriff auf einen Server in einem hochsicheren Netzwerk hätte.

Die Angriffsfläche erhöht sich, wenn Nextcloud von einem Webhoster verwaltet wird (z. B. als Managed Service). Das bedeutet, dass die LDAP- (389/tcp) und LDAPS- (636/tcp) Ports der Internet-Firewall an den DC weitergeleitet werden müssen. Dadurch erhöht sich das potenzielle Sicherheitsrisiko um ein Vielfaches.

Unabhängig davon, ob es sich um eine DMZ oder einen Webhoster handelt, sollten Sie sich darüber im Klaren sein, dass Informationen in einem Microsoft Active Directory ohne gültige Zugangsdaten gelesen werden können. Es gibt also nur die zweite Möglichkeit mit einer Schutzbrille.

Bei der Verwendung von AD FS mit zugehörigem WAP liegt keine Sicherheitsverletzung vor. Da Nextcloud in der DMZ oder bei einem Webhost läuft, wird immer der WAP angesprochen. AD FS und WAP sind Rollen, die mit einem Windows-Server geliefert werden und keine Lizenzen oder CALs erfordern.

Vorbereitungen

In diesem Artikel lege ich folgende Rahmenbedingungen fest:

• Microsoft Active Directory (AD) mit mindestens einem DC.
• Private Key Infrastructure (PKI) zur Ausstellung von Zertifikaten für AD FS.
• AD-Mitglied Microsoft Active Directory Federation Service (AD FS).
• Microsoft Web Application Proxy (WAP) in der DMZ, d. h
  • Verbunden und konfiguriert mit AD FS.
  • Verfügt über ein öffentliches Zertifikat für den FQDN von AD FS.
• Ein DMZ- oder Webhost-Server mit installierter Nextcloud-Version 28.0.3.

Nachfolgend finden Sie eine Netzwerkkarte:

Die schwarzen Pfeile sollen den Zusammenhang darstellen. Der rote Pfeil zeigt die Anmeldekommunikation über AD FS an.

Nextcloud-Konfiguration

Öffnen Sie die Nextcloud-Benutzeroberfläche in Ihrem Browser und melden Sie sich mit einem Benutzerkonto an, das über Administratorrechte für Nextcloud verfügt. Dies ist notwendig, um die Anwendung nutzen und konfigurieren zu können.

Installieren der Anwendung

Wenn die App „Aktivieren“ statt „Deaktivieren“ sagt, aktivieren Sie die App.

Anwendungskonfiguration

Natürlich muss die App nach der Installation noch konfiguriert werden.

Microsoft AD FS-Konfiguration

Starten Sie die AD FS-Verwaltungskonsole und wählen Sie im linken Navigationsbereich „Relying Party Trusts“ aus. Wählen Sie dann auf der rechten Seite den Eintrag „Relaying Party Trust hinzufügen“ aus.

Als nächstes müssen verschiedene Transformationsregeln in der Schadenpolice umgesetzt werden. Damit die korrekten Werte aus AD FS oder Active Directory an Nextcloud übergeben werden.

Natürlich ist es möglich, das Benutzerkontingent in Nextcloud durch einen weiteren Login zu steuern. Dies ist bei der Zusammenarbeit mit mehreren (externen) Personen und Mitarbeitern interessant, da nichts im persönlichen Ordner von Nextcloud gespeichert werden muss. Dadurch kann die Quote zentral für alle Mitarbeiter festgelegt werden. In meinem Beispiel ist „0 B“ die Größe.

Was mit Quoten funktioniert, funktioniert natürlich auch mit AD-Gruppen. Mit anderen Worten: Eine AD-Gruppe wird in das Gruppenattribut im Anspruch übernommen. Wenn sich ein AD-Benutzer bei Nextcloud anmeldet, wird die Gruppe automatisch erstellt und der Benutzer wird automatisch als Mitglied der Gruppe hinzugefügt.

Nachfolgend finden Sie eine Beispielkonfiguration einer Gruppe.

Was in einer Gruppe selbstverständlich funktioniert, lässt sich beliebig erweitern. Mit anderen Worten: Für jede AD-Gruppe kann problemlos eine weitere Transformationsregel hinzugefügt werden.

Dies bedeutet, dass alle erforderlichen Konfigurationen in AD FS durchgeführt wurden.

Funktionstest

Öffnen Sie die Nextcloud-Benutzeroberfläche in einem Browser Ihrer Wahl. Es erscheint die folgende Abfrage.

Die Registrierung war erfolgreich und es gelten auch die angegebenen Regeln und Ansprüche. Natürlich darf die Abmeldung nicht fehlen.

Sauberes Abmelden funktioniert auch. Wird der FQDN der Nextcloud-Instanz erneut aufgerufen, werden die Anmeldeinformationen erneut abgefragt.

Alles

Im ersten Screenshot sehen Sie zwei Anmeldemöglichkeiten. Es stellt sich also die Frage, ob Mitarbeiter nicht einfach die „Live-Registrierung“ nutzen können. Um alle auf dem AD FS-Server konfigurierten Regeln zu umgehen.

Die Anmeldung mit gültigen AD-Benutzeranmeldeinformationen funktioniert nicht.

Viel Spaß beim Ausprobieren. 🙂