Man könnte bei externen Zugriffen einen Loginschritt davorschalten. Beispielsweise mit Apache: Apache basic authentication except for those Allowed - Stack Overflow
Und das ganze ergänzt durch das AD: Apache 2 mit LDAP/AD Authentifikation – Wiki
Und wenn das hier stimmt nutzt die Nextcloud dann auch direkt die Logindaten aus der Basic Auth: Issues with Basic Auth on Parent-Directory - #5 by devnull