Zugriff für bestimmte AD-Gruppe nur aus LAN erlauben

Hallo Zusammen,

ich stehe gerade vor der Anforderung, dass bestimmte Usergruppen (Ldap-Anbindung an das Windows AD), sich nur vom LAN aus anmelden können sollen.
Beispiel:
User “Anton” aus Gruppe “NurIntern” kann sich innerhalb der Schule an nextcloud.schule.de anmelden. Greift er von ausserhalb des Schulnetzwerk auf die Nextcloud zu soll die Anmeldung verweigert werden

User “Berta” aus Gruppe “Extern” kann sich innerhalb und ausserhalb der Schule an nextcloud.schule.de anmelden.

Hat vielleicht jemand eine Idee wie man das realisieren kann?

Man könnte bei externen Zugriffen einen Loginschritt davorschalten. Beispielsweise mit Apache: Apache basic authentication except for those Allowed - Stack Overflow

Und das ganze ergänzt durch das AD: Apache 2 mit LDAP/AD Authentifikation – Wiki

Und wenn das hier stimmt nutzt die Nextcloud dann auch direkt die Logindaten aus der Basic Auth: Issues with Basic Auth on Parent-Directory - #5 by devnull