Promena LDAP podešavanja u SaaS verziji

Uvoz korisnika i grupa

1. U Settings vašeg portala, otvorite stranicu LDAP Settings u sekciji Integration na levoj bočnoj traci.
2. Kliknite na prekidač Enable LDAP Authentication (koristite link Show pored naslova LDAP Settings da prikažete formu parametara ako su podešavanja već konfigurisana).
3. Označite polje StartTLS ako želite da osigurate svoje veze koristeći StartTLS tehnologiju (u tom slučaju koristi se podrazumevani port 389). Označite polje Enable SSL ako želite da koristite SSL protokol (u tom slučaju broj porta će se automatski promeniti na 636).
4. Popunite polja potrebna za uvoz korisnika (obavezna polja su označena zvezdicom):
   
   Upozorenje Imajte na umu da ako ste već uvezli neke korisnike i promenili neka od podešavanja (npr. Server, User Filter, User DN, Group Filter, Group DN), postojeći korisnici i svi njihovi podaci, uključujući dokumente, emailove, itd. koji ne odgovaraju ovim novim podešavanjima će biti ONEMOGUĆENI. Preporučujemo da napravite rezervnu kopiju pre nego što promenite bilo koja podešavanja.
   • u polje Server, unesite URL adresu LDAP servera u obliku protocol://host, npr. LDAP://example.com za običnu LDAP vezu ili LDAPS://example.com za sigurnu LDAP vezu preko SSL-a. Možete takođe navesti IP adresu servera umesto njegovog DNS imena: LDAP://192.168.3.202;
   • navedite Port Number koji se koristi za pristup LDAP serveru. Podrazumevani port za obične LDAP veze je 389. Ako ste omogućili opciju StartTLS, koristi se takođe podrazumevani port 389. Ako je opcija SSL omogućena, broj porta se automatski menja na 636;
   • u polje User DN (User Distinguished Name), navedite apsolutnu putanju do direktorijuma najvišeg nivoa koji sadrži korisnike koje želite da uvezete. Ovaj parametar definiše čvor gde pretraga počinje. Možete navesti korenski direktorijum, npr. dc=example,dc=com, da biste pretražili korisnike unutar celog direktorijuma, ili navesti određeno područje pretrage, npr. ou=groupname,dc=example,dc=com, da biste pretražili korisnike unutar određene grupe;
   • navedite vrednost Login Attribute (atribut u korisničkom zapisu koji odgovara prijavi koju korisnici LDAP servera koriste za prijavu na ONLYOFFICE);
     Imajte na umu: podrazumevana podešavanja su navedena za Active Directory. Za OpenLDAP Server, potrebno je promeniti sledeća podešavanja:

     • User Filter - (uid=*)
     • Login Attribute - uid
   • popunite polje User Filter ako je potrebno da uvezete korisnike koji odgovaraju navedenim kriterijumima pretrage. Podrazumevana vrednost filtera (uid=*) omogućava uvoz svih korisnika;
     Možete pronaći primere sintakse filtera pretrage ovde.
5. Sekcija Attribute Mapping omogućava vam da postavite korespondenciju između polja podataka korisnika na portalu i atributa u korisničkom zapisu na LDAP serveru. Kliknite na dugme Add Attribute, izaberite potrebno polje podataka sa liste i navedite korisnički atribut korišćen na vašem LDAP serveru. Sledeći parametri su postavljeni podrazumevano, ali ih možete promeniti ako je potrebno:
   
   • First Name (atribut u korisničkom zapisu koji odgovara imenu korisnika)
   • Second Name (atribut u korisničkom zapisu koji odgovara prezimenu korisnika)
   • Mail (atribut u korisničkom zapisu koji odgovara email adresi korisnika)
   • Title (atribut u korisničkom zapisu koji odgovara tituli korisnika)
   • Primary Mobile Phone (atribut u korisničkom zapisu koji odgovara broju mobilnog telefona korisnika)
   • Location (atribut u korisničkom zapisu koji odgovara lokaciji korisnika)

   Možete takođe dodati sledeće atribute: Date of Birth, Sex, Profile Photo, Additional Phone, Additional Mobile, Additional Mail, Skype.

6. Kliknite na prekidač Group membership ako želite da dodate grupe sa LDAP servera na vaš portal i popunite potrebna polja:
   Imajte na umu da ako odlučite da dodate grupe, samo korisnici koji pripadaju barem jednoj grupi će biti dodati.
   
   Upozorenje Imajte na umu da ako ste već uvezli neke korisnike i promenili neka od podešavanja (npr. Server, User Filter, User DN, Group Filter, Group DN), postojeći korisnici i svi njihovi podaci, uključujući dokumente, emailove, itd. koji ne odgovaraju ovim novim podešavanjima će biti ONEMOGUĆENI. Preporučujemo da napravite rezervnu kopiju pre nego što promenite bilo koja podešavanja.
   • u polje Group DN (Group Distinguished Name), navedite apsolutnu putanju do direktorijuma najvišeg nivoa koji sadrži grupe koje želite da uvezete, npr. ou=Groups,dc=example,dc=com.
   • User Attribute (atribut koji određuje da li je ovaj korisnik član grupa);
   • popunite polje Group Filter ako je potrebno da uvezete grupe koje odgovaraju navedenim kriterijumima pretrage. Podrazumevana vrednost filtera (objectClass=group) omogućava uvoz svih grupa;
   • sledeći parametri su postavljeni podrazumevano, ali ih možete promeniti ako je potrebno:
     • Group Name Attribute (atribut koji odgovara imenu grupe u kojoj je korisnik uključen)
     • Group Attribute (atribut koji specificira korisnike koje grupa uključuje)
     Imajte na umu: podrazumevana podešavanja su navedena za Active Directory. Za OpenLDAP Server, potrebno je promeniti sledeća podešavanja:

     • Group Filter - (objectClass=posixGroup)
     • User Attribute - uid
     • Group Member Attribute - memberUid
7. Uključite prekidač User Authentication ako trenutni Windows korisnik nema prava za čitanje sa LDAP servera/Active Directory. U polja Login i Password, unesite akreditive korisnika koji ima prava za čitanje podataka sa LDAP servera (podrazumevano postavljeno na prijavu i lozinku trenutne Windows sesije).
8. Označite polje Send Welcome Letter u sekciji Advanced Settings ako želite da pošaljete pozivnice putem emaila svim novim korisnicima. Poruka dobrodošlice sadrži dugme koje omogućava korisnicima da odu na stranicu za prijavu na portal i aktiviraju email. Ova opcija je dostupna samo ako je mapiranje atributa emaila konfigurirano.
9. Kliknite na dugme SAVE.
10. U prozoru Confirmation of import koji se pojavi, kliknite na dugme OK da započnete uvoz korisnika.

Proces uvoza će potrajati neko vreme u zavisnosti od broja korisnika, grupa, specifikacija računara itd.

Postoje neke posebne funkcije počevši od SaaS v. 11.5:

• vlasnik portala nije pogođen promenom pristupnih prava putem LDAP-a;
• ako je vlasnik portala isključen iz filtera korisnika/grupe, prestaje da bude LDAP korisnik, ali uvek ostaje aktivan;
• prilikom onemogućavanja LDAP-a, sva pristupna prava dodeljena korisnicima putem LDAP-a se oduzimaju;
  • ako bi korisnik koji je onemogućio LDAP inače izgubio administratorska prava, ta prava ostaju nepromenjena, a korisnik dobija obaveštenje,
• ako je korisnik isključen iz filtera korisnika/grupe, korisnik ostaje aktivan i dobija obaveštenje da LDAP lozinka više nije važeća i da mora biti promenjena na stranici podešavanja profila,
• Ako korisnik pokuša da opozove svoja administratorska prava (bilo putem podešavanja pristupnih prava ili isključivanjem iz filtera korisnika/grupe), korisnikova administratorska prava ostaju nepromenjena, a korisnik dobija obaveštenje.

Autentifikacija LDAP korisnika

Svakom uvezenom korisniku će biti omogućeno da se prijavi na portal koristeći prijavu koja je formirana prema sledećim šemama:

• Login Attribute, npr. Andrew.Stone
• Login Attribute + @ + LDAP Domain, npr. Andrew.Stone@example.com
• LDAP Domain + \ + Login Attribute (podržana su nepotpuna imena domena), npr. example\Andrew.Stone

Na stranici za autorizaciju dostupna je opcija Prijavi se na domen, koja omogućava prenos lozinke u eksplicitnom obliku. Korisnici portala van domena mogu isključiti ovu postavku. U tom slučaju, lozinka će biti preneta u heširanom obliku.

Profili uvezenih korisnika u modulu Ljudi biće označeni sa LDAP ikonom za administratora portala. Polja korisničkog profila koja su uvezena putem LDAP-a su blokirana za uređivanje.