LDAP

Wenn Sie ONLYOFFICE DocSpace verwenden, müssen Sie zunächst Konten für alle Mitarbeiter Ihres Unternehmens erstellen. Bei mehr als 50 Mitarbeitern kann das Anlegen neuer DocSpace-Benutzer jedoch sehr zeitaufwändig sein. Mit der Option LDAP-Einstellungen können Sie die erforderlichen Benutzer und Gruppen von einem LDAP-Server (z. B. OpenLDAP-Server oder Microsoft Active Directory) in wenigen Minuten in Ihren DocSpace importieren. Die neu erstellten Benutzer müssen sich keine neuen Passwörter und Logins merken, da sie sich mit ihren auf Ihrem LDAP-Server gespeicherten Anmeldeinformationen bei DocSpace anmelden.

Der Import der Benutzer erfolgt unmittelbar nach dem Speichern der Einstellungen. Später hinzugefügte Benutzer werden bei der ersten Authentifizierung im Portal importiert.

Dies ist eine kostenpflichtige Funktion (nur für den kostenpflichtigen Business-Plan verfügbar).

Importieren von Benutzern und Gruppen

Bevor Sie mit dem Importieren beginnen Wenn Sie eine Verbindung zu einem Active Directory mit mehr als 1000 Benutzern herstellen, müssen Sie das AD-Limit MaxPageSize = 1000 mithilfe von ntdsutil erhöhen. Eine detaillierte Anleitung hierzu finden Sie hier.
  1. Melden Sie sich bei Ihrem ONLYOFFICE DocSpace an.
  2. Verwenden Sie das Menü Options icon in der unteren linken Ecke und wählen Sie die Option Einstellungen.
  3. Öffnen Sie die Seite LDAP-Einstellungen im Abschnitt Integration in der linken Seitenleiste.
  4. Klicken Sie auf den Umschalter LDAP-Authentifizierung (verwenden Sie den Link Anzeigen neben dem Titel LDAP-Einstellungen, um das Parameterformular anzuzeigen, wenn Sie die Einstellungen nicht zum ersten Mal ändern).
  5. Aktivieren Sie das Kontrollkästchen StartTLS aktivieren, wenn Sie Ihre Verbindungen mithilfe der StartTLS-Technologie sichern möchten (in diesem Fall wird der Standardport 389 verwendet). Aktivieren Sie das Kontrollkästchen SSL aktivieren, wenn Sie das SSL-Protokoll verwenden möchten (in diesem Fall wird Port 636 verwendet).
  6. Füllen Sie die für den Benutzerimport erforderlichen Felder aus (die Pflichtfelder sind mit einem Sternchen gekennzeichnet):
    LDAP settings - usersLDAP settings - users
    Warnung Bitte beachten Sie: Falls Sie bereits Benutzer importiert und einige Einstellungen geändert haben (z. B. Server, Benutzerfilter, Benutzer-DN, Gruppenfilter, Gruppen-DN), werden die vorhandenen Benutzer und alle ihre Daten, einschließlich Dokumente, E-Mails usw., die nicht mit diesen neuen Einstellungen übereinstimmen, DEAKTIVIERT. Wir empfehlen dringend, vor dem Ändern von Einstellungen eine Sicherungskopie zu erstellen.
    • Geben Sie im Feld Server die URL-Adresse des LDAP-Servers in der Form protocol://host, z. B. LDAP://example.com für eine normale LDAP-Verbindung oder LDAPS://example.com für eine sichere LDAP-Verbindung über SSL. Sie können auch die IP-Adresse des Servers anstelle seines DNS-Namens angeben: LDAP://192.168.3.202.
    • Geben Sie eine Portnummer für den Zugriff auf den LDAP-Server an. Der Standardport für reguläre LDAP-Verbindungen ist 389. Wenn Sie die Option StartTLS aktiviert haben, wird auch der Standardport 389 verwendet. Wenn die Option SSL aktiviert ist, wird Port 636 verwendet.
    • Geben Sie im Feld Benutzer-DN (User Distinguished Name) den absoluten Pfad zum obersten Verzeichnis mit den zu importierenden Benutzern an. Dieser Parameter definiert den Knoten, an dem die Suche beginnt. Sie können das Stammverzeichnis angeben, z. B. dc=example,dc=com, um im gesamten Verzeichnis nach Benutzern zu suchen, oder einen bestimmten Suchbereich angeben, z. B. ou=groupname,dc=example,dc=com, um nach Benutzern innerhalb der angegebenen Gruppe zu suchen.
    • Geben Sie den Wert des Anmeldeattributs an (ein Attribut in einem Benutzerdatensatz, das dem Login entspricht, den LDAP-Serverbenutzer zum Anmelden bei ONLYOFFICE verwenden).

      Verwenden Sie für OpenLDAP-Server die folgenden Einstellungen:

      • User Filter (Benutzerfilter) - (uid=*)
      • Login Attribute (Login-Attribut) - uid

      Verwenden Sie für Active Directory die folgenden Einstellungen:

      • User Filter (Benutzerfilter) - (userPrincipalName=*)
      • Login Attribute (Login-Attribut) - sAMAccountName
    • Füllen Sie das Feld Benutzerfilter aus, wenn Sie die Benutzer importieren möchten, die den angegebenen Suchkriterien entsprechen. Der Standardfilterwert (uid=*) oder (userPrincipalName=*) ermöglicht den Import aller Benutzer.
      Beispiele für die Suchfiltersyntax finden Sie hier.
  7. Im Bereich Attributzuordnung können Sie eine Zuordnung zwischen den Benutzerdatenfeldern im DocSpace und den Attributen im LDAP-Server-Benutzerdatensatz einrichten. Klicken Sie auf die Schaltfläche Attribut hinzufügen, wählen Sie das gewünschte Datenfeld aus der Liste aus und geben Sie das auf Ihrem LDAP-Server verwendete Benutzerattribut an. Die folgenden Parameter sind standardmäßig eingestellt, können aber bei Bedarf geändert werden:
    LDAP settings - Attribute MappingLDAP settings - Attribute Mapping
    • First Name (Vorname) - ein Attribut in einem Benutzerdatensatz, das dem Vornamen des Benutzers entspricht
    • Second Name (Nachname) - ein Attribut in einem Benutzerdatensatz, das dem Nachnamen des Benutzers entspricht
    • Mail (E-Mail) - ein Attribut in einem Benutzerdatensatz, das der E-Mail-Adresse des Benutzers entspricht
    • Profile photo (Profilfoto) - ein Attribut in einem Benutzerdatensatz, das dem Foto des Benutzers entspricht

    Sie können auch die folgenden Attribute hinzufügen:

    • User quota (Benutzerkontingent) - um ein Speicherkontingent für diesen Benutzer festzulegen, geben Sie einen ganzzahligen Wert für dieses Attribut im LDAP-Verzeichnis ein. Der Kontingentwert wird in Bytes angezeigt. Dieses Attribut wird nur bei der Ersteinrichtung angewendet und kann im Bereich „Konten“ manuell geändert werden.
    • User Type (Benutzertyp) - alle Benutzer werden mit dem ausgewählten Typ (Benutzer, Raumadministrator, DocSpace-Administrator) zu DocSpace hinzugefügt. Standardmäßig ist der Typ Benutzer ausgewählt. Benutzer können nur auf die Räume zugreifen, zu denen sie von Administratoren eingeladen wurden, und können keine eigenen Räume, Ordner oder Dateien erstellen. Wählen Sie einen anderen Typ, um erweiterte Berechtigungen zu erteilen. Andernfalls können Sie den Typ manuell im Bereich „Kontakte“ ändern.
  8. Klicken Sie auf den Umschalter Gruppenmitgliedschaft, wenn Sie Gruppen vom LDAP-Server zu Ihrem DocSpace hinzufügen möchten, und füllen Sie die erforderlichen Felder aus:
    Bitte beachten Sie, dass beim Hinzufügen von Gruppen nur Benutzer hinzugefügt werden, die mindestens einer Gruppe angehören.
    LDAP settings - groupsLDAP settings - groups
    Warnung Bitte beachten Sie: Falls Sie bereits Benutzer importiert und einige Einstellungen geändert haben (z. B. Server, Benutzerfilter, Benutzer-DN, Gruppenfilter, Gruppen-DN), werden die vorhandenen Benutzer und alle ihre Daten, einschließlich Dokumente, E-Mails usw., die nicht mit diesen neuen Einstellungen übereinstimmen, DEAKTIVIERT. Wir empfehlen dringend, vor dem Ändern von Einstellungen eine Sicherungskopie zu erstellen.
    • Geben Sie im Feld Gruppen-DN (Group Distinguished Name) den absoluten Pfad zum Verzeichnis der obersten Ebene an, das die zu importierenden Gruppen enthält, z.B. ou=Groups,dc=example,dc=com.
    • Füllen Sie das Feld Gruppenfilter aus, wenn Sie die Gruppen importieren möchten, die den angegebenen Suchkriterien entsprechen. Der Standardfilterwert (objectClass=posixGroup) oder (objectClass=group) ermöglicht den Import aller Gruppen.
    • Die folgenden Parameter sind standardmäßig eingestellt, Sie können sie jedoch bei Bedarf ändern:
      • User Attribute (Benutzerattribut) - ein Attribut, das bestimmt, ob dieser Benutzer Mitglied der Gruppen ist
      • Group Name Attribute (Gruppennamenattribut) - ein Attribut, das dem Namen der Gruppe entspricht, in der der Benutzer enthalten ist
      • Group Attribute (Gruppenattribut) - ein Attribut, das die Benutzer angibt, die die Gruppe umfasst

      Verwenden Sie für OpenLDAP-Server die folgenden Einstellungen:

      • Group Filter (Gruppenfilter) - (objectClass=posixGroup)
      • User Attribute (Benutzerattribut) - uid
      • Group Attribute (Gruppenattribut) - memberUid

      Verwenden Sie für Active Directory die folgenden Einstellungen:

      • Group Filter (Gruppenfilter) - (objectClass=group)
      • User Attribute (Benutzerattribut) - distinguishedName
      • Group Attribute (Gruppenattribut) - member
  9. Aktivieren Sie den Authentifizierungs-Umschalter, wenn der aktuelle Windows-Benutzer keine Leserechte für den LDAP-Server/Active Directory hat. Geben Sie in die Felder Anmelden und Passwort die Anmeldeinformationen des Benutzers ein, der die Berechtigung zum Lesen von Daten vom LDAP-Server hat (standardmäßig sind die Anmeldedaten und das Passwort der aktuellen Windows-Sitzung eingestellt).
  10. Aktivieren Sie das Kontrollkästchen Begrüßungsschreiben senden im Bereich Erweiterte Einstellungen, wenn Sie allen neuen Benutzern Einladungen per E-Mail senden möchten. Die Begrüßungsnachricht enthält eine Schaltfläche, über die Benutzer zur DocSpace-Anmeldeseite gelangen und die E-Mail aktivieren können. Diese Option ist nur verfügbar, wenn die E-Mail-Attributzuordnung konfiguriert ist.
  11. Aktivieren Sie das Kontrollkästchen E-Mail-Verifizierung deaktivieren im Abschnitt Erweiterte Einstellungen, wenn Sie die E-Mail-Aktivierung für LDAP-Benutzer deaktivieren möchten. Wenn dieses Kontrollkästchen aktiviert ist, müssen LDAP-Benutzer ihre E-Mail-Adresse nach der ersten Autorisierung in DocSpace nicht mehr verifizieren.
  12. Klicken Sie auf die Schaltfläche Speichern.
  13. Klicken Sie im angezeigten Fenster „Importbestätigung“ auf die Schaltfläche OK, um mit dem Importieren der Benutzer zu beginnen.

Der Importvorgang dauert je nach Anzahl der Benutzer, Gruppen, Computerspezifikationen usw. einige Zeit.

Bitte beachten: Die E-Mail-Adresse des DocSpace-Benutzers wird aus der Einstellung Mail-Attribut übernommen. Falls diese fehlt, wird sie folgendermaßen gebildet: Login Attribute + @ + LDAP Domain.
  • Falls im DocSpace bereits ein zuvor erstellter Benutzer mit einer solchen E-Mail-Adresse vorhanden ist, wird dieser Benutzer automatisch mit dem LDAP-Benutzer synchronisiert.
  • Falls eine solche E-Mail nicht vorhanden ist, erhält der Benutzer keine DocSpace-Benachrichtigungen.

Es gibt einige Besonderheiten:

  • Der DocSpace-Besitzer ist von der Änderung der Zugriffsrechte über LDAP nicht betroffen.
  • Wenn der DocSpace-Besitzer vom Benutzer-/Gruppenfilter ausgeschlossen wurde, ist er kein LDAP-Benutzer mehr, bleibt aber immer aktiv.
  • Beim Deaktivieren von LDAP werden den Benutzern alle über LDAP gewährten Zugriffsrechte entzogen.
    • Sollte der Benutzer, der LDAP deaktiviert hat, seine Administratorrechte verlieren, bleiben seine Administratorrechte davon unberührt und der Benutzer erhält eine Benachrichtigung.
  • Wenn ein Benutzer vom Benutzer-/Gruppenfilter ausgeschlossen wurde, bleibt er aktiv und erhält eine Benachrichtigung, dass das LDAP-Passwort nicht mehr aktiv ist und auf der Seite mit den Profileinstellungen geändert werden sollte.
  • Versucht ein Benutzer, sich selbst die Admin-Rechte zu entziehen (sowohl über die Einstellungen der Zugriffsrechte als auch durch Ausschluss aus dem Benutzer-/Gruppenfilter), bleiben seine Admin-Rechte davon unberührt und der Benutzer erhält eine Benachrichtigung.

Authentifizieren von LDAP-Benutzern

Jeder importierte Benutzer kann sich mit dem Login, der nach den folgenden Schemata erstellt wird, beim DocSpace anmelden:

  • Login Attribute (Anmeldeattribut), z.B. Andrew.Stone
  • Login Attribute + @ + LDAP Domain (Anmeldeattribut + @ + LDAP-Domäne), z.B. Andrew.Stone@example.com
  • LDAP Domain + \ + Login Attribute (LDAP-Domäne + \ + Anmeldeattribut) - unvollständige Domänennamen werden unterstützt, z.B. example\Andrew.Stone

Auf der Autorisierungsseite steht die Option An der Domäne anmelden zur Verfügung, die die Übertragung eines Passworts in expliziter Form ermöglicht. Portalbenutzer außerhalb der Domäne können diese Option deaktivieren. In diesem Fall wird das Passwort in gehashter Form übertragen.

Importierte Benutzerprofile im Abschnitt Konten werden mit dem Symbol LDAP icon für den DocSpace-Administrator gekennzeichnet. Die mit LDAP importierten Benutzerprofilfelder sind für die Bearbeitung gesperrt, mit Ausnahme der als anfänglich angegebenen Felder „Benutzertyp“ und „Benutzerkontingent“.

LDAP-Daten synchronisieren

Wenn Sie Daten auf Ihrem LDAP-Server ändern (z. B. neue Benutzer/Gruppen hinzufügen, vorhandene Gruppen umbenennen oder einige Informationen in einem Benutzerdatensatz bearbeiten), können Sie die DocSpace-Daten problemlos mit den neuen Informationen von Ihrem LDAP-Server synchronisieren.

Um die Synchronisierungsoptionen anzupassen, aktivieren Sie den Schalter Automatische Synchronisierung und legen Sie den gewünschten Zeitpunkt für die automatische Synchronisierung fest: Sie können Daten stündlich zu bestimmten Minuten, täglich zu einer bestimmten Uhrzeit sowie wöchentlich oder monatlich zu einem bestimmten Tag und einer bestimmten Uhrzeit synchronisieren. Klicken Sie auf Speichern, um die Einstellungen zu übernehmen. Sie können Daten auch manuell synchronisieren, indem Sie unten auf der LDAP-Seite auf die Schaltfläche Benutzer synchronisieren klicken. Alternativ können Sie die Schaltfläche Speichern unter dem Abschnitt LDAP-Einstellungen verwenden.

Die Informationen zu einem einzelnen Benutzer werden auch synchronisiert, nachdem sich dieser Benutzer bei DocSpace angemeldet hat.

Hosten ONLYOFFICE DocSpace auf Ihrem eigenen Server oder nutzen Sie es in der Cloud

Jetzt erhaltenIn der Cloud nutzen
Artikel zum Thema:
Alle Schlagwörter