Installer NextCloud 19 – Cloud Personnel

---

1) Préparation de l’environnement

Avant d’installer Nextcloud et de créer notre Cloud Personnel, il faut s’assurer que le système est correctement configuré.
Important : A partir d’ici, toutes les commandes seront exécutées en tant que root.

1.1) Configuration de l’heure

timedatectl set-timezone Europe/Paris
hwclock -w
timedatectl status

Vous pouvez obtenir la liste des fuseaux horaire acceptés en utilisant la commande : timedatectl list-timezones

1.2) Mise à jour du dépôt

apt-get -y update

1.3) Mise à jour des paquets

apt-get -y upgrade

1.4) Installation des prérequis pour Nextcloud 19

apt-get install -y apache2 mariadb-server libapache2-mod-php7.4 \
php7.4-gd php7.4-json php7.4-mysql php7.4-curl php7.4-mbstring \
php7.4-intl php-imagick php7.4-xml php7.4-zip \
php-apcu redis-server php-redis \
php7.4-ldap smbclient php7.4-bcmath php7.4-gmp

2) Installation de NextCloud 19

2.1) Création du Site Nextcloud dans Apache

Téléchargement de Nextcloud 19 :

wget https://download.nextcloud.com/server/releases/latest-19.tar.bz2

Extraction dans le répertoire /var/www/ :

tar -xvf latest-19.tar.bz2 -C /var/www/

Edition du fichier de configuration du site :

nano /etc/apache2/sites-available/nextcloud.conf

Contenu :

Alias / "/var/www/nextcloud/"
<Directory /var/www/nextcloud/>
        Require all granted
        AllowOverride All
        Options FollowSymLinks MultiViews
        <IfModule mod_dav.c>
                Dav off
        </IfModule>
        <IfModule mod_headers.c>
                Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
        </IfModule>
</Directory>

Activation du site et des modules nécessaires :

a2ensite nextcloud.conf
a2enmod rewrite
a2enmod headers
a2enmod env
a2enmod dir
a2enmod mime

Redémarrage d’Apache :

systemctl restart apache2

Activation du SSL :

a2enmod ssl
a2ensite default-ssl
systemctl reload apache2

Changement du propriétaire du répertoire nextcloud :

chown -R www-data:www-data /var/www/nextcloud/

Vérifications versions :

sudo -u www-data php /var/www/nextcloud/occ -V
sudo -u www-data php /var/www/nextcloud/occ status

2.2) Création de la base de données Nextcloud

Pré-configuration de la base MariaDB :

Les commandes qui suivent sont l’équivalent du script interactif mysql_secure_installation.

mysql -u root <<-EOF
UPDATE mysql.user SET Password=PASSWORD('VotreMotDePasse') WHERE User='root';
DELETE FROM mysql.user WHERE User='root' AND Host NOT IN ('localhost', '127.0.0.1', '::1');
DELETE FROM mysql.user WHERE User='';
DELETE FROM mysql.db WHERE Db='test' OR Db='test_%';
FLUSH PRIVILEGES;
EOF

Attention : Remplacer “VotreMotDePasse” par le mot de passe que vous aurez choisi.

Connexion à MariaDB :

mysql -u root

Création de la base de données :

CREATE DATABASE nextcloud;
CREATE USER 'nextcloud'@'localhost' IDENTIFIED BY 'VotreMotDePasse';
GRANT ALL PRIVILEGES ON nextcloud.* TO "nextcloud"@"localhost";
FLUSH PRIVILEGES;
EXIT

Attention : Remplacer “VotreMotDePasse” par le mot de passe que vous aurez choisi.

2.3) Finalisation de l’installation

Pour terminer l’installation, il va falloir se connecter à l’URL de votre serveur Nextcloud.
Exemple : https://192.168.1.203

Cliquer sur “Terminer l’installation”.

---

3) Configuration de Nextcloud 19

Une fois l’installation terminée, retourner dans l’invite de commande.

3.1) Configuration de Pretty URLs

sudo -u www-data php /var/www/nextcloud/occ config:system:set htaccess.RewriteBase --value="/"
sudo -u www-data php /var/www/nextcloud/occ maintenance:update:htaccess

Pretty URLs permet de supprimer le “index.php” dans la barre d’adresse.

3.2) Forcer HTTPS

Edition du fichier .htaccess :

nano /var/www/nextcloud/.htaccess

Se rendre à la fin du fichier et renseigner les lignes suivantes juste avant la balise <IfModule mod_env.c> et avant l’instruction RewriteBase / :

RewriteCond %{HTTPS} !=on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

3.3) Suppressions des fichiers par défaut

Le répertoire modèle utilisé lors de la création d’un profil utilisateur se trouve dans : /var/www/nextcloud/core/skeleton/Documents/

rm -r "/var/www/nextcloud/core/skeleton/Documents/"
rm -r "/var/www/nextcloud/core/skeleton/Photos/"
rm "/var/www/nextcloud/core/skeleton/Nextcloud intro.mp4"
rm "/var/www/nextcloud/core/skeleton/Nextcloud.png"

L’exemple ci-dessus supprime les répertoires et les fichiers et ne garde que le fichier Nextcloud Manual.pdf
Bien entendu, de nouveaux fichiers et répertoires peuvent être rajoutés en fonction du besoin.

3.4) Installation et Activation d’applications dans Nextcloud

External storage support :

sudo -u www-data php /var/www/nextcloud/occ app:install files_external
sudo -u www-data php /var/www/nextcloud/occ app:enable files_external

Application permettant de se connecter à des partages externes (SMB, FTP etc…).

LDAP user and group backend :

sudo -u www-data php /var/www/nextcloud/occ app:install user_ldap
sudo -u www-data php /var/www/nextcloud/occ app:enable user_ldap

Application permettant de se connecter à un annuaire LDAP (Exemple : Active Directory).

Mise à jour de toutes les applications

sudo -u www-data php /var/www/nextcloud/occ app:update --all

3.5) Tâches de fond

Pour son bon fonctionnement, Nextcloud exécute régulièrement des tâches de fond (Jobs).
Exemple de tâche : Scan à la recherche de nouveaux fichiers.
Par défaut, ces tâches sont exécutées à chaque chargement de page.
Cependant, si personne ne visite le site, aucune tâche ne sera exécutée.
Il est donc recommandé d’utiliser Cron afin d’exécuter ces tâches de manière régulière sans intervention humaine.

Création de la tâche Cron :

crontab -u www-data -e

Ajouter la ligne suivante à la fin du fichier :

*/5  *  *  *  * php -f /var/www/nextcloud/cron.php

Le fichier cron.php contenant les tâches Nextcloud sera exécuté toutes les 5 minutes.
Cet intervalle peut être modifié en remplaçant le 5 par une autre valeur.

Configuration du type de tâche dans Nextcloud :

sudo -u www-data php /var/www/nextcloud/occ background:cron

Pour aller plus loin, vous pouvez consulter la page Background jobs de la documentation officielle.

3.6) Configuration de la langue du profil

Rentrer dans le menu “Paramètres” :

Dans le panneau de gauche, sélectionner “Informations personnelles”.

Régler la Langue et les Paramètres régionaux :

Il est également possible de définir les autres paramètres (Adresse email, téléphone etc…)

3.7) Vérification de Mise à Jour

Cliquer sur “Vue d’ensemble” sous “Administration”.

---

4) Connexion à LDAP ou Active Directory

Cette étape et facultative, si vous n’avez pas d’annuaire LDAP, passez à l’étape suivante.

Grâce à l’application LDAP user and group backend, il est possible de connecter Nextcloud à un Annuaire LDAP (Exemple : Active Directory avec Samba 4).

4.1) Configuration LDAP

Se rendre dans le menu Paramètres puis Intégration LDAP/AD et renseigner les informations de connexion au serveur LDAP ou Active Directory.

Serveur

Petite parenthèse :
Si votre annuaire LDAP est sur un Serveur AD Samba 4.
Il faudra rajouter la ligne ldap server require strong auth = no dans la section [global] du fichier de configuration de samba 4 (Généralement /etc/samba/smb.conf).
Un redémarrage du service Samba sera necessaire : systemctl restart samba.service

Utilisateurs

Attributs de login

Groupes

Les utilisateurs et les groupes de l’AD sont maintenant disponibles dans Nextcloud.

---

5) Utilisateurs et Groupes

5.1) Création Utilisateurs et Groupes

Se rendre dans le menu Utilisateurs.

5.2) Administrateurs Nextcloud

Pour définir un utilisateur en tant qu’Administrateur, il faut l’ajouter au groupe “admin”.

---

6) Stockages Externes

6.1) Configuration

Grâce à l’application External storage support, il est possible de se connecter à des stockages externes (Exemple : SMB, FTP etc…).
Nous allons, dans l’exemple qui suit, nous connecter à un partage SMB/WINDOWS de notre serveur FreeNAS (Installé grâce à notre Tutoriel).

Se rendre dans Paramètres, Stockages externes :

---

7) Optimisation de Nextcloud

A partir d’ici, le serveur Nextcloud est fonctionnel.
Cependant, des problèmes de performances peuvent se faire ressentir.
Pour s’en prévenir, il faut suivre quelques recommandations de la documentation officielle de NextCloud.

7.1) Base de données

Sources : Documentation Nextcloud – MariaDB/MySQL

Edition du fichier mysql.cnf :

nano /etc/mysql/conf.d/mysql.cnf

Contenu :

[mysqld]
innodb_buffer_pool_size=512M
innodb_io_capacity=4000

Attention, il s’agit de la section mysqld.

Exemple :

Il est possible d’aller plus loin dans l’optimisation en utilisant cette documentation : Documentation Nextcloud – Configuring a MySQL or MariaDB database

Edition du fichier my.cnf :

nano /etc/mysql/my.cnf

Contenu :

[mysqld]
transaction_isolation = READ-COMMITTED
binlog_format = ROW

Exemple :

Redémarrage MariaDB :

systemctl restart mariadb.service

7.2) PHP – Modification memory_limit

Valeur initiale :

cat /etc/php/7.4/apache2/php.ini | grep memory_limit

Modification :

sed -i -e "s/^memory_limit \+= \+.*$/memory_limit = 512M/g" /etc/php/7.4/apache2/php.ini
systemctl restart apache2.service

Modification du paramètre memory_limit à 512M minimum pour le bon fonctionnement de Nextcloud.
Cette valeur peut être augmentée en fonction du besoin.

Vérifications :

cat /etc/php/7.4/apache2/php.ini | grep memory_limit

7.3) Configuration de Redis

Source : Documentation Nextcloud – Redis

Ajout de l’utilisateur www-data au groupe redis :

usermod -a -G redis www-data

Configuration du fichier redis.conf :

sed -i -e "s/^#* *port +*.*$/port 0/g" /etc/redis/redis.conf
sed -i -e "s/^#* *unixsocket +*.*$/unixsocket \/var\/run\/redis\/redis-server.sock/g" /etc/redis/redis.conf
sed -i -e "s/^#* *unixsocketperm+*.*$/unixsocketperm 770/g" /etc/redis/redis.conf

Vérification :

cat /etc/redis/redis.conf | egrep "^#*port +|^#* *unixsocket +|^#* *unixsocketperm +"

Redémarrage de Redis :

systemctl restart redis-server.service
ps ax | grep redis

7.4) File Locking et Memory Cache

Source : File Locking et Memory Caching

Configuration avec la commande occ:

# Activation de filelocking
sudo -u www-data php /var/www/nextcloud/occ config:system:set filelocking.enabled --value="true"

# Configuration de memcache.local et memcache.locking
sudo -u www-data php /var/www/nextcloud/occ config:system:set memcache.local --value="\OC\Memcache\APCu"
sudo -u www-data php /var/www/nextcloud/occ config:system:set memcache.locking --value="\OC\Memcache\Redis"

# Configuration du Redis
sudo -u www-data php /var/www/nextcloud/occ config:system:set redis host --value="/var/run/redis/redis-server.sock"
sudo -u www-data php /var/www/nextcloud/occ config:system:set redis port --value="0"
sudo -u www-data php /var/www/nextcloud/occ config:system:set redis timeout --value="0.0"

# Configuration de memcache.distributed (à effectuer après la configuration de Redis)
sudo -u www-data php /var/www/nextcloud/occ config:system:set memcache.distributed --value="\OC\Memcache\Redis"

Vérification :

cat /var/www/nextcloud/config/config.php | egrep "'filelocking\.enabled|'memcache\.local|'memcache\.locking|'host|'port|'timeout|'memcache\.distributed"

Redémarrage d’Apache :

systemctl restart apache2.service

7.5) Activation de PHP OPcache

Source : Documentation Nextcloud – Enable PHP OPcache

Edition du fichier php.ini :

sed -i -e "s/^;* *opcache\.enable *= *.*$/opcache.enable=1/g" /etc/php/7.4/apache2/php.ini
sed -i -e "s/^;* *opcache\.memory_consumption *= *.*$/opcache.memory_consumption=128/g" /etc/php/7.4/apache2/php.ini
sed -i -e "s/^;* *opcache\.interned_strings_buffer *= *.*$/opcache.interned_strings_buffer=8/g" /etc/php/7.4/apache2/php.ini
sed -i -e "s/^;* *opcache\.max_accelerated_files *= *.*$/opcache.max_accelerated_files=10000/g" /etc/php/7.4/apache2/php.ini
sed -i -e "s/^;* *opcache\.revalidate_freq *= *.*$/opcache.revalidate_freq=1/g" /etc/php/7.4/apache2/php.ini
sed -i -e "s/^;* *opcache\.save_comments *= *.*$/opcache.save_comments=1/g" /etc/php/7.4/apache2/php.ini

Vérification :

cat /etc/php/7.4/apache2/php.ini | egrep "^;* *opcache\.enable *=|^;* *opcache\.interned_strings_buffer *=|^;* *opcache\.max_accelerated_files *=|^;* *opcache\.memory_consumption *=|^;* *opcache\.save_comments *=|^;* *opcache\.revalidate_freq *="

Redémarrage d’Apache :

systemctl restart apache2.service

7.6) Taille limite de téléchargement

Source : Documentation Nextcloud – Uploading big files

Edition du fichier php.ini :

sed -i -e "s/^;* *upload_max_filesize *= *.*$/upload_max_filesize=16G/g" /etc/php/7.4/apache2/php.ini
sed -i -e "s/^;* *post_max_size *= *.*$/post_max_size=16G/g" /etc/php/7.4/apache2/php.ini

Vérification :

cat /etc/php/7.4/apache2/php.ini | egrep "^;* *upload_max_filesize *=|^;* *post_max_size *="

Redémarrage d’Apache :

systemctl restart apache2.service

---

8) Certificat SSL avec Let’s Encrypt

8.1) Explications

Pour accéder au serveur Nextcloud depuis l’extérieur, il est fortement recommandé de le faire au travers du protocole HTTPS.
Grâce aux étapes précédentes, le serveur Nextcloud force l’utilisation du protocole HTTPS.
Cependant, le certificat SSL utilisé est un certificat auto-signé et n’est pas considéré comme fiable par les navigateurs. Ces derniers afficheront donc un avertissement.

Exemple d’avertissement :

Afin de ne pas faire fuir les futurs visiteurs, nous utiliserons Let’s Encrypt pour générer et mettre en place gratuitement un certificat reconnu.

8.2) Génération d’un certificat SSL avec Let’s Encrypt

Le procédure d’obtention de certificat que nous utiliserons nécessite que le serveur soit joignable depuis l’extérieur via le port 80.
Généralement, cela est possible en effectuant une redirection de port depuis votre Routeur ou Box Internet.

Source : https://certbot.eff.org/lets-encrypt/ubuntubionic-apache.html

Activation du dépôt universe :

apt-get update -y
apt-get install -y software-properties-common
add-apt-repository universe
apt-get update -y

Installation de Certbot et du plugin pour Apache :

apt-get install -y certbot python3-certbot-apache

Génération et installation du Certificat :

certbot --apache -d nextcloud.domaine.fr -m monadresse@mail.fr --no-redirect

Remplacer nextcloud.mondomaine.dom par le nom de votre domaine.
Remplacer monadresse@mail.fr par votre adresse mail.
no-redirect car plus haut dans le tutoriel, nous avons déjà forcé la redirection vers HTTPS.
Si vous n’avez pas suivi la méthode de redirection du tuto ou si vous souhaitez quand même que Certbot se charge de la redirection il faudra utiliser le paramètre redirect.

Test renouvellement automatique :

certbot renew --dry-run

Visualisation de la tâche de renouvellement :

systemctl list-timers certbot

Visualisation des noms de domaine autorisés dans Nextcloud :

sudo -u www-data php /var/www/nextcloud/occ config:system:get trusted_domains

Ajout d’un nom de domaine dans Nextcloud :

sudo -u www-data php /var/www/nextcloud/occ config:system:set trusted_domains 1 \
	--value=nextcloud.domaine.dom

Le 1 est l’index dans la liste des domaines autorisés (0 étant le 1er)
–value= est suivi du nom de domaine à autoriser.

---