Ändern der LDAP-Einstellungen in der SaaS-Version

Sofern Ihr SaaS-Serviceplan dies vorsieht, müssen Sie zunächst Konten für alle Mitarbeiter Ihres Unternehmens erstellen. Bei mehr als 50 Mitarbeitern kann die Einrichtung neuer Portalbenutzer jedoch sehr zeitaufwändig sein. Ihr Portal bietet Ihnen die Option LDAP-Einstellungen, mit der Sie die benötigten Benutzer und Gruppen von einem LDAP-Server (z. B. OpenLDAP Server oder Microsoft Active Directory) in wenigen Minuten in Ihr Portal importieren können. Die neu erstellten Benutzer müssen sich keine neuen Passwörter und Logins merken, da sie sich mit ihren auf Ihrem LDAP-Server gespeicherten Anmeldeinformationen am Portal anmelden.

Gehen Sie zu den Einstellungen des Portals und klicken Sie im Abschnitt Integration auf den Link „LDAP-Einstellungen“.

Importieren von Benutzern und Gruppen

Bevor Sie mit dem Importieren beginnen Wenn Sie eine Verbindung zu Active Directory mit mehr als 1000 Benutzern herstellen, müssen Sie das AD-Limit MaxPageSize = 1000 mithilfe von ntdsutil erhöhen. Eine detaillierte Anleitung hierzu finden Sie hier.
  1. Öffnen Sie in den Einstellungen Ihres Portals die Seite LDAP-Einstellungen im Abschnitt Integration in der linken Seitenleiste.
  2. Klicken Sie auf den Umschalter LDAP-Authentifizierung aktivieren (verwenden Sie den Link Anzeigen neben der Überschrift LDAP-Einstellungen, um das Parameterformular anzuzeigen, wenn Sie die Einstellungen nicht zum ersten Mal ändern).
  3. Aktivieren Sie das Kontrollkästchen StartTLS, wenn Sie Ihre Verbindungen mithilfe der StartTLS-Technologie sichern möchten (in diesem Fall wird der Standardport 389 verwendet). Aktivieren Sie das Kontrollkästchen SSL aktivieren, wenn Sie das SSL-Protokoll verwenden möchten (in diesem Fall wird die Portnummer automatisch auf 636 geändert).
  4. Füllen Sie die für den Benutzerimport erforderlichen Felder aus (die Pflichtfelder sind mit einem Sternchen gekennzeichnet):
    LDAP settings - usersLDAP settings - users
    Warnung Bitte beachten Sie: Falls Sie bereits Benutzer importiert und Einstellungen geändert haben (z. B. Server, Benutzerfilter, DN der Benutzer, Gruppenfilter, DN der Gruppen), werden die vorhandenen Benutzer und alle ihre Daten (einschließlich Dokumente, E-Mails usw.), die nicht mit diesen neuen Einstellungen übereinstimmen, DEAKTIVIERT. Wir empfehlen dringend, vor der Änderung von Einstellungen eine Sicherungskopie zu erstellen.
    • Geben Sie im Feld Server die URL-Adresse des LDAP-Servers in der Form protocol://host ein, z. B. LDAP://example.com für eine normale LDAP-Verbindung oder LDAPS://example.com für eine sichere LDAP-Verbindung über SSL. Sie können auch die IP-Adresse des Servers anstelle des DNS-Namens angeben: LDAP://192.168.3.202.
    • Geben Sie eine Portnummer für den Zugriff auf den LDAP-Server an. Der Standardport für reguläre LDAP-Verbindungen ist 389. Wenn Sie die Option StartTLS aktiviert haben, wird auch der Standardport 389 verwendet. Wenn die Option SSL aktiviert ist, ändert sich die Portnummer automatisch auf 636.
    • Geben Sie im Feld DN der Benutzer (User Distinguished Name) den absoluten Pfad zum obersten Verzeichnis an, das die zu importierenden Benutzer enthält. Dieser Parameter definiert den Knoten, an dem die Suche beginnt. Sie können das Stammverzeichnis angeben, z. B. dc=example,dc=com, um im gesamten Verzeichnis nach Benutzern zu suchen, oder einen bestimmten Suchbereich angeben, z. B. ou=groupname,dc=example,dc=com, um nach Benutzern innerhalb der angegebenen Gruppe zu suchen.
    • Geben Sie den Wert des Attribut des Logins an (ein Attribut in einem Benutzerdatensatz, das dem Login entspricht, den LDAP-Serverbenutzer zum Anmelden bei ONLYOFFICE verwenden).
      Bitte beachten Sie: Die Standardeinstellungen sind für Active Directory festgelegt. Für OpenLDAP Server müssen Sie die folgenden Einstellungen ändern:
      • Benutzerfilter - (uid=*)
      • Attribut des Logins - uid
    • Füllen Sie das Feld Benutzerfilter aus, wenn Sie Benutzer importieren möchten, die den angegebenen Suchkriterien entsprechen. Der Standardfilterwert (uid=*) ermöglicht den Import aller Benutzer.
      Beispiele für die Suchfiltersyntax finden Sie hier.
  5. Im Bereich Attributzuordnung können Sie die Zuordnung zwischen den Benutzerdatenfeldern im Portal und den Attributen im LDAP-Server-Benutzerdatensatz einrichten. Klicken Sie auf die Schaltfläche Attribut hinzufügen, wählen Sie das gewünschte Datenfeld aus der Liste aus und geben Sie das auf Ihrem LDAP-Server verwendete Benutzerattribut an. Die folgenden Parameter sind standardmäßig eingestellt, können aber bei Bedarf geändert werden:
    LDAP settings - Attribute MappingLDAP settings - Attribute Mapping
    • Vorname (ein Attribut in einem Benutzerdatensatz, das dem Vornamen des Benutzers entspricht)
    • Nachname (ein Attribut in einem Benutzerdatensatz, das dem Nachnamen des Benutzers entspricht)
    • E-Mail (ein Attribut in einem Benutzerdatensatz, das der E-Mail-Adresse des Benutzers entspricht)
    • Titel (ein Attribut in einem Benutzerdatensatz, das dem Titel des Benutzers entspricht)
    • Primäres Mobiltelefon (ein Attribut in einem Benutzerdatensatz, das der Mobiltelefonnummer des Benutzers entspricht)
    • Standort (ein Attribut in einem Benutzerdatensatz, das dem Standort des Benutzers entspricht)

    Sie können auch die folgenden Attribute hinzufügen: Geburtsdatum, Geschlecht, Profilfoto, Zusätzliche Telefonnummer, Zusätzliche Mobiltelefonnummer, Zusätzliche E-Mail-Adresse, Skype.

  6. Klicken Sie auf den Umschalter Gruppenzugehörigkeit, wenn Sie Gruppen vom LDAP-Server zu Ihrem Portal hinzufügen möchten, und füllen Sie die erforderlichen Felder aus:
    Bitte beachten Sie, dass beim Hinzufügen von Gruppen nur Benutzer hinzugefügt werden, die mindestens einer Gruppe angehören.
    LDAP settings - groupsLDAP settings - groups
    Warnung Bitte beachten Sie: Falls Sie bereits Benutzer importiert und Einstellungen geändert haben (z. B. Server, Benutzerfilter, DN der Benutzer, Gruppenfilter, DN der Gruppen), werden die vorhandenen Benutzer und alle ihre Daten (einschließlich Dokumente, E-Mails usw.), die nicht mit diesen neuen Einstellungen übereinstimmen, DEAKTIVIERT. Wir empfehlen dringend, vor der Änderung von Einstellungen eine Sicherungskopie zu erstellen.
    • Geben Sie im Feld DN der Gruppen (Group Distinguished Name) den absoluten Pfad zum obersten Verzeichnis an, das die zu importierenden Gruppen enthält, z. B. ou=Groups,dc=example,dc=com.
    • Attribut des Benutzers (ein Attribut, das bestimmt, ob dieser Benutzer Mitglied der Gruppen ist).
    • Füllen Sie das Feld Gruppenfilter aus, wenn Sie die Gruppen importieren möchten, die den angegebenen Suchkriterien entsprechen. Der Standardfilterwert (objectClass=group) ermöglicht den Import aller Gruppen.
    • Die folgenden Parameter sind standardmäßig eingestellt, Sie können sie jedoch bei Bedarf ändern:
      • Attribut des Gruppennamens (ein Attribut, das dem Namen der Gruppe entspricht, in der der Benutzer enthalten ist)
      • Attribut der Gruppe (ein Attribut, das die Benutzer angibt, die die Gruppe umfasst)
      Bitte beachten Sie: Die Standardeinstellungen sind für Active Directory festgelegt. Für OpenLDAP Server müssen Sie die folgenden Einstellungen ändern:
      • Gruppenfilter - (objectClass=posixGroup)
      • Attribut des Benutzers - uid
      • Attribut der Gruppe - memberUid
  7. Aktivieren Sie den Umschalter Authentifizierung des Benutzers, wenn der aktuelle Windows-Benutzer keine Leserechte für den LDAP-Server/Active Directory besitzt. Geben Sie in die Felder Anmeldedaten und Kennwort die Anmeldedaten des Benutzers ein, der Daten vom LDAP-Server lesen darf (standardmäßig sind die Anmeldedaten und das Kennwort der aktuellen Windows-Sitzung eingestellt).
  8. Aktivieren Sie das Kontrollkästchen Einladungsbrief senden im Bereich Erweiterte Einstellungen, wenn Sie allen neuen Benutzern Einladungen per E-Mail senden möchten. Die Begrüßungsnachricht enthält eine Schaltfläche, über die Benutzer zur Portal-Anmeldeseite gelangen und die E-Mail aktivieren können. Diese Option ist nur verfügbar, wenn die E-Mail-Attributzuordnung konfiguriert ist.
  9. Klicken Sie auf die Schaltfläche SPEICHERN.
  10. Klicken Sie im angezeigten Fenster „Einfuhrbestätigung“ auf die Schaltfläche OK, um mit dem Importieren der Benutzer zu beginnen.

Der Importvorgang dauert je nach Anzahl der Benutzer, Gruppen, Computerspezifikationen usw. einige Zeit.

Bitte beachten Sie: Die E-Mail-Adresse des Portalbenutzers wird aus der Einstellung Mail-Attribut übernommen. Falls diese fehlt, wird sie wie folgt gebildet: Login Attribute + @ + LDAP Domain.
  • Falls auf dem Portal bereits ein Benutzer mit einer solchen E-Mail-Adresse erstellt wurde, wird dieser Benutzer automatisch mit dem LDAP-Benutzer synchronisiert.
  • Falls eine solche E-Mail nicht vorhanden ist, erhält der Benutzer keine Portalbenachrichtigungen.

Ab SaaS v. 11.5 gibt es einige Sonderfunktionen:

  • Der Portalbetreiber ist von einer Änderung der Zugriffsrechte über LDAP nicht betroffen.
  • Wenn der Portalbesitzer vom Benutzer-/Gruppenfilter ausgeschlossen wurde, ist er kein LDAP-Benutzer mehr, bleibt aber immer aktiv.
  • Beim Deaktivieren von LDAP werden den Benutzern sämtliche über LDAP gewährten Zugriffsrechte entzogen.
    • Sollte der Benutzer, der LDAP deaktiviert hat, seine Administratorrechte verlieren, bleiben seine Administratorrechte davon unberührt und der Benutzer erhält eine Benachrichtigung.
  • Wenn ein Benutzer vom Benutzer-/Gruppenfilter ausgeschlossen wurde, bleibt er aktiv und erhält eine Benachrichtigung, dass das LDAP-Passwort nicht mehr aktiv ist und auf der Seite mit den Profileinstellungen geändert werden sollte.
  • Versucht ein Benutzer, sich selbst die Admin-Rechte zu entziehen (sowohl über die Einstellungen der Zugriffsrechte als auch indem er sich selbst aus dem Benutzer-/Gruppenfilter ausschließt), bleiben seine Admin-Rechte hiervon unberührt und der Benutzer erhält eine Benachrichtigung.

Authentifizieren von LDAP-Benutzern

Jeder importierte Benutzer kann sich mit dem Login, der nach den folgenden Schemata erstellt wird, beim Portal anmelden:

  • Attribut des Logins, z. B. Andrew.Stone
  • Login Attribute + @ + LDAP Domain, z. B. Andrew.Stone@example.com
  • LDAP Domain + \ + Login Attribute (unvollständige Domänennamen werden unterstützt), z. B. example\Andrew.Stone

Auf der Autorisierungsseite steht die Option Bei Domäne anmelden zur Verfügung, die die Übertragung eines Passworts in expliziter Form ermöglicht. Portalbenutzer außerhalb der Domäne können diese Option deaktivieren. In diesem Fall wird das Passwort in gehashter Form übertragen.

Authenticating LDAP usersAuthenticating LDAP users

Importierte Benutzerprofile im Modul Personen werden für den Portaladministrator mit dem LDAP-Symbol gekennzeichnet. Die per LDAP importierten Benutzerprofilfelder sind für die Bearbeitung gesperrt.

LDAP-Daten synchronisieren

Wenn Sie Daten auf Ihrem LDAP-Server ändern (z. B. neue Benutzer/Gruppen hinzufügen, vorhandene Gruppen umbenennen oder einige Informationen in einem Benutzerdatensatz bearbeiten), können Sie die Portaldaten problemlos mit den neuen Informationen von Ihrem LDAP-Server synchronisieren.

Um die Synchronisierungsoptionen anzupassen, aktivieren Sie den Schalter Automatische Synchronisierung und stellen Sie den gewünschten Zeitpunkt für die automatische Synchronisierung ein: Sie können Daten stündlich zu einer bestimmten Minute, täglich zu einer bestimmten Uhrzeit sowie wöchentlich oder monatlich zu einem bestimmten Tag und einer bestimmten Uhrzeit synchronisieren. Klicken Sie auf Speichern, um die Einstellungen zu übernehmen. Sie können Daten auch manuell synchronisieren, indem Sie unten auf der LDAP-Seite auf die Schaltfläche Benutzer synchronisieren klicken. Alternativ können Sie die Schaltfläche SPEICHERN unter dem Abschnitt LDAP-Einstellungen verwenden.

Die Informationen zu einem einzelnen Benutzer werden auch synchronisiert, nachdem sich dieser Benutzer beim Portal angemeldet hat.

Hosten Sie ONLYOFFICE Workspace auf Ihrem eigenen Server

Artikel zum Thema:
Alle Schlagwörter