Configurer les paramètres LDAP dans la solution serveur

Si vous venez de déployer ONLYOFFICE Workspace sur votre serveur, il vous faut premièrement créer un compte pour chaque employé. La création de plus de 50 comptes nouveaux exigera beaucoup de temps. Le Panneau de configuration vous propose l'option Paramètres LDAP permettant d'importer les utilisateurs et les groupes depuis le serveur LDAP (par ex. OpenLDAP Server ou Microsoft Active Directory) sur votre portail en un rien de temps. Tous les nouveaux utilisateurs n'ont pas besoin de retenir les nouveaux mots de passe et identifiants, car il est possible de se connecter en utilisant les informations d'identification stockés sur le serveur LDAP.

Pour accéder au Panneau de configuration, connectez-vous à votre portail et cliquez sur Panneau de configuration sur la Page d'accueil. Vous pouvez aussi accédez aux Paramètres du portail et cliquer sur Panneau de configuration sur le panneau de gauche.

Importer des utilisateurs et des groupes

Avant de commencer l'importation Si vous connectez Active Directory avec plus de 1000 utilisateurs, vous devez augmenter la limite AD MaxPageSize = 1000 en utilisant ntdsutil. Veuillez consulter des instructions détaillées ici.
  1. Dans le Panneau de configuration, accédez à la rubrique LDAP depuis la section PARAMÈTRES DU PORTAIL de la barre latérale gauche.
  2. Activez l'option Activer l'authentification LDAP (appuyez sur Afficher à côté du titre section Paramètres LDAP pour afficher le formulaire de configuration si ce n'est pas pour la première fois que vous arriver à configurer les paramètres).
  3. Cochez la case Activer StartTLS pour créer une connexion sécurisée à l'aide de protocole StartTLS (dans ce cas, le port 389 est utilisé par défaut). Cochez la case Activer SSL pour utiliser le protocole SSL (dans ce cas, le numéro de port va se modifier automatiquement en 636).
  4. Remplissez les champs obligatoires pour importer des utilisateurs (les champs obligatoires sont identifiés par un astérisque):
    Paramètres LDAP - utilisateursParamètres LDAP - utilisateurs
    Avertissement Veuillez noter que, si vous avez déjà importé des utilisateurs, et si vous avez déjà modifié quelques paramètres (par exemple, Serveur, Filtre d'utilisateurs, DN de l'utilisateur, Filtre du groupe, DN du groupe), tous les utilisateurs existants et leurs données, y compris les documents et les e-mails etc., qui ne correspondent pas au nouveaux paramètres seront DÉSACTIVÉS. Nous vous recommandons vivement de créer une sauvegarde avant de modifier ces paramètres.
    • Dans le champ Serveur, saisissez l'URL du serveur LDAP sous la forme protocol://host, par ex. LDAP://example.com pour une connexion LDAP standard ou LDAPS://example.com pour une connexion LDAP sécurisée via SSL. Vous pouvez définir l'adresse IP du serveur au lieu du DNS: LDAP://192.168.3.202;
    • définissez le Numéro du port qui est utilisé pour accéder au serveur LDAP. Le port par défaut pour une connexion LDAP standard est 389. Si vous avez activé l'option StartTLS, le port par défaut est aussi 389. Si l'option SSL est activée, le port va se modifier en 636.
    • dans le champ DN de l'utilisateur (User Distinguished Name), saisissez le chemin absolu au répertoire de plus haut niveau qui contient les utilisateurs à ajouter. Ce paramètre définit le nœud d'un début de recherche. Vous pouvez définir un répertoire racine, par ex. dc=example,dc=com, pour rechercher les utilisateurs dans tout le répertoire, ou définir une zone de recherche, par ex. ou=groupname,dc=example,dc=com, pour rechercher les utilisateurs dans un groupe spécifique;
    • remplissez le champ Filtre d'utilisateurs si vous avez besoin de définir les critères de recherche, Le filtre par défaut (uid=*) permet d'importer tous les utilisateurs;
      Vous pouvez retrouver les exemples du syntaxe du filtre d'utilisateurs ici.
    • Définissez Attribut de login (un attribut est la fiche d'utilisateur correspondant au nom d'utilisateur que les utilisateurs du serveur LDAP vont utiliser pour se connecter à ONLYOFFICE);
      Veuillez noter que les paramètres par défaut sont pourOpenLDAP Server. Pour Active Directory, il faut configurer les paramètres comme suit:
      • Filtre d'utilisateurs - (userPrincipalName=*)
      • Attribut de login - sAMAccountName
  5. La section Mappage d'attributs permet de synchroniser les données d'utilisateur du portail avec les attributs au fichier utilisateur du serveur LDAP. Cliquez sur le bouton Ajouter attribut, choisissez le champ appropriée de la liste et définissez l'attribut utilisateur du serveur LDAP. Les paramètres suivantes sont définis par défaut, mais vous pouvez les modifier au besoin:
    Paramètres LDAP - Mappage d'attributsParamètres LDAP - Mappage d'attributs
    • Prénom (l'attribut de la fiche d'utilisateur correspondant au prénom d'utilisateur)
    • Nom (l'attribut de la fiche d'utilisateur correspondant au nom d'utilisateur)
    • Courrier (l'attribut de la fiche d'utilisateur correspondant à l'adresse e-mail d'utilisateur)
    • Titre (l'attribut de la fiche d'utilisateur correspondant au titre d'utilisateur)
    • Numéro de téléphone principale (l'attribut de la fiche d'utilisateur correspondant au numéro de portable d'utilisateur)
    • Région (l'attribut de la fiche d'utilisateur correspondant à l'emplacement d'utilisateur)

    Vous pouvez également ajouter des attributs comme suit: Email supplémentaire, Numéro de portable supplémentaire, Numéro de téléphone supplémentaire, Date de naissance, Photo de profil, Sexe, Skype.

  6. Activez l'option Appartenance au groupe si vous souhaitez ajouter des groupes depuis le serveur LDAP à votre portail et remplissez les champs obligatoires:
    Veuillez noter que ce ne sont que les utilisateurs appartenant à un groupe qui seront ajoutés.
    Paramètres LDAP - groupesParamètres LDAP - groupes
    Avertissement Veuillez noter que, si vous avez déjà importé des utilisateurs, et si vous avez déjà modifié quelques paramètres (par exemple, Serveur, Filtre d'utilisateurs, DN de l'utilisateur, Filtre du groupe, DN du groupe), tous les utilisateurs existants et leurs données, y compris les documents et les e-mails etc., qui ne correspondent pas au nouveaux paramètres seront DÉSACTIVÉS. Nous vous recommandons vivement de créer une sauvegarde avant de modifier ces paramètres.
    • dans le champ DN du groupe (Group Distinguished Name), saisissez le chemin absolu au répertoire de plus haut niveau qui contient les utilisateurs à ajouter, par ex. ou=Groups,dc=example,dc=com..
    • remplissez le champ Filtre de groupe si vous avez besoin de définir les critères de recherche pour l'importation des groupes. Le filtre par défaut (objectClass=posixGroup) permet d'importer tous les groupes.
    • les paramètres suivantes sont définis par défaut, mais vous pouvez les modifier au besoin:
      • Attribut d'utilisateur (l'attribut pour déterminer si l'utilisateur appartient aux groupes)
      • Attribut du nom du groupe (l'attribut correspondant au nom du groupe auquel l'utilisateur appartient)
      • Attribut de groupe (l'attribut qui détermine les utilisateurs appartenant à un groupe)
      Veuillez noter que les paramètres par défaut sont pourOpenLDAP Server. Pour Active Directory, il faut configurer les paramètres comme suit:
      • Filtre de groupe - (objectClass=group)
      • Attribut d'utilisateur - distinguishedName
      • Attribut de groupe - member
  7. Paramétrer les Droits d'accès administrateur: cliquez sur le bouton approprié, sélectionnez l'accès complet et définissez le groupe avec tous les droits d'administrateur. Choisissez le module du portail de la liste et définissez le groupe disposant des droits d'administrateur du module sélectionné.
  8. Activez l'option Vérification de l'orthographe. Dans les champs Login et Mot de passe, saisissez les information d'identification de l'utilisateur qui a le droit de lecture du serveur LDAP.
  9. Activez l'option Envoyer une lettre de bienvenue depuis la section Paramètres avancés si vous souhaitez envoyer les invitations à tous les nouveaux utilisateurs par email. Le lettre de bienvenue contient le bouton permettant aux utilisateurs de passer à la page de connexion pour valider leur email. Cette option n'est disponible que lorsque le Mappage d'attribut courrier est paramétré.
  10. Cliquez sur le bouton ENREGISRER.
  11. Dans la fenêtre de validation d'importation, cliquez sur OK pour démarrer l'importation d'utilisateurs.

Il faudra du temps pour importer en fonction du nombre d'utilisateurs et de groupes, spécifications de votre ordinateur etc.

Remarque: l'adresse email d'utilisateur sur le portail est prélevé à partir de configuration d'attribut courrier. Si l'adresse email est manquante, elle sera formé comme suit: Login Attribute + @ + LDAP Domain.
  • S'il y a déjà un utilisateur avec une pareille adresse e-mail sur le portail, cet utilisateur sera automatiquement synchronisé avec l'utilisateur LDAP.
  • Si l'adresse email n'est pas valide, l'utilisateur ne recevra pas des notifications du portail.

À partir de Serveur Communauté v. 10.0 les fonctionnalités particulières sont rendues disponibles:

  • la modification des droits d'accès via LDAP n'affecte pas le propriétaire du portail;
  • lorsque le propriétaire du portail est exclu du filtre d'utilisateurs/de groupe, il cesse d'être l'utilisateur LDAP mais il reste toujours actif;
  • une fois LDAP déactivé, tous les droits d'accès qui ont été attribués via LDAP sont retirés;
    • si l'utilisateur qui a désactivé LDAP perdrait ses droits d'administrateur, se droits d'administrateur ne sont pas affectés et l'utilisateur recevra une notification.
  • lorsque l'utilisateur est exclu du filtre d'utilisateurs/de groupe, il restera actif et recevra une notification que le mot de passe LDAP n'est plus actif et il faut le modifier sur la page de configuration profil;
  • si l'utilisateur essaie de retirer le droits d'administrateur lui-même (via les paramètres de droits d'accès aussi que en excluant lui-même du filtre d'utilisateur/de groupe), son droit d'administrateur restera inchangé et l'utilisateur recevra une notifications.

Authentification des utilisateurs LDAP

Chaque utilisateur importé peut se connecter au portail en utilisant le nom d'utilisateur crée de cette façon:

  • Attribut login, par ex. Andrew.Stone
  • Attribut login + @ + Domaine LDAP, par ex. Andrew.Stone@example.com
  • Domaine LDAP + \ + Attribut login (les noms de domaine incomplets sont pris en charge), par ex. example\Andrew.Stone

L'option Se connecter au domaine est disponible sur la page d'authentification permettant de transférer le mot de passe de manière explicite. Les utilisateurs du portail qui ne font pas partie du domaine peuvent désactiver cette option. Dans ce cas, le mot de passe haché est transféré.

Authentification des utilisateurs LDAPAuthentification des utilisateurs LDAP

Les profils des utilisateurs importés dans le module Personnes seront indiqués à l'aide d'icône LDAP pour l'administrateur du portail. On ne peut pas modifier les champs du profil utilisateur qui ont été importés en utilisant LDAP.

Synchronisation des données LDAP

Quand vous modifiez les données sur votre serveur LDAP (par ex. ajoutez de nouveaux utilisateurs/groupes, modifiez le nom des groupes existants ou modifiez les données sur la fiche d'utilisateur), vous pouvez synchroniser facilement tous les données du portail avec votre serveur LDAP.

Pour paramétrer les options de synchronisation, activez l'option Synchronisation Automatique et définissez la période du temps pour mettre les informations à jour automatiquement: il est possible de synchroniser les données chaque jour à un moment précis par minute, ou chaque jour à une heure spécifique, aussi que chaque semaine ou chaque mois à un jour et une heure spécifique. Cliquez sur Enregistrer pour valider la configuration. Il est également possible de synchroniser les données manuellement en appuyant sur Synchroniser en bas de la page LDAP. Vous pouvez également utiliser le bouton Enregistrer au dessous de la section Paramètres LDAP.

Les renseignements sur un utilisateur individuel seront aussi synchronisés lors de la connexion de cet utilisateur au portail.

Regarder la vidéo

Comment importer des utilisateurs depuis Active Directory vers ONLYOFFICE

ONLYOFFICE est un logiciel de travail collaboratif fournissant un ensemble d'outils pour l'édition de documents et la collaboration, les projets, les tâches, la gestion de la relation client (CRM), le courrier, le calendrier et bien plus encore.

Hébergez ONLYOFFICE Workspace sur votre serveur

Articles avec le tag :
Parcourir tous les tags