LDAP

导入用户和组

1. 登录您的 ONLYOFFICE 协作空间。
2. 使用左下角的 菜单并选择设置选项。
3. 在左侧边栏的集成部分中打开 LDAP设置 页面。
4. 点击 LDAP 身份验证开关（如果这不是您第一次更改设置，请使用LDAP 设置标题旁边的显示链接来显示参数表单）。
5. 如果您想使用 StartTLS 技术保护连接（在此情况下使用默认端口389），请勾选启用 StartTLS 框。如果您想使用 SSL 协议（在此情况下使用端口636），请勾选启用 SSL 框。
6. 填写用户导入所需的字段（带星号的字段为必填项）：
   
   警告 请注意，如果您已经导入了一些用户，并更改了某些设置（例如服务器、用户筛选器、用户专有名称、组筛选器、组专有名称），那么不匹配这些新设置的现有用户及其所有数据（包括文档、电子邮件等）将被禁用。我们强烈建议在更改任何设置之前创建备份。
   • 在服务器字段中，以 protocol://host 的形式输入 LDAP 服务器 URL 地址，例如常规 LDAP 连接使用 LDAP://example.com，通过 SSL 的安全 LDAP 连接使用 LDAPS://example.com。您也可以指定服务器的 IP 地址代替其 DNS 名称：LDAP://192.168.3.202；
   • 指定用于访问 LDAP 服务器的端口号。常规 LDAP 连接的默认端口是389。如果您启用了 StartTLS 选项，也使用默认端口389。如果启用了 SSL 选项，则使用端口636；
   • 在用户专有名称（User Distinguished Name）字段中，指定包含您要导入用户的顶级目录的绝对路径。此参数定义搜索开始的节点。您可以指定根目录，例如 dc=example,dc=com，以在整个目录中搜索用户，或者指定特定的搜索区域，例如 ou=groupname,dc=example,dc=com，以在指定组内搜索用户；
   • 指定登录属性值（用户记录中与登录名对应的属性，LDAP 服务器用户将使用此登录名登录 ONLYOFFICE）；

     对于 OpenLDAP 服务器，请使用以下设置：

     • 用户筛选器 - (uid=*)
     • 登录属性 - uid

     对于 Active Directory，请使用以下设置：

     • 用户筛选器 - (userPrincipalName=*)
     • 登录属性 - sAMAccountName
   • 如果您需要导入符合指定搜索条件的用户，请填写用户筛选器字段。默认筛选器值 (uid=*)或(userPrincipalName=*) 允许导入所有用户；
     您可以在此处找到搜索筛选器语法示例。
7. 属性映射部分允许您在协作空间上的用户数据字段与 LDAP 服务器用户记录中的属性之间建立对应关系。点击添加属性按钮，从列表中选择必要的数据字段，并指定您 LDAP 服务器中使用的用户属性。以下参数是默认设置的，但如果需要，您可以更改它们：
   
   • 名字（用户记录中与用户名字对应的属性）
   • 姓氏（用户记录中与用户姓氏对应的属性）
   • 邮箱（用户记录中与用户电子邮件地址对应的属性）
   • 个人资料照片（用户记录中与用户照片对应的属性）

   您还可以添加以下属性：

   • 用户配额 - 要为此用户设置存储配额，请在 LDAP 目录中为此属性输入一个整数值。它将显示以字节为单位的配额值。此属性仅在首次设置期间应用，可以在账户部分手动更改。
   • 用户类型 - 所有用户都将以所选类型（用户、房间管理员、协作空间管理员）添加到协作空间。默认选择用户类型。用户只能访问管理员邀请他们进入的房间，不能创建自己的房间、文件夹或文件。选择另一种类型以提供更多权限。否则，您可以在联系人部分手动更改类型。
8. 如果您想将 LDAP 服务器中的组添加到您的协作空间，请点击组成员资格开关并填写必要的字段：
   请注意，如果您决定添加组，则只有属于至少一个组的用户才会被添加。
   
   警告 请注意，如果您已经导入了一些用户，并更改了某些设置（例如服务器、用户筛选器、用户专有名称、组筛选器、组专有名称），那么不匹配这些新设置的现有用户及其所有数据（包括文档、电子邮件等）将被禁用。我们强烈建议在更改任何设置之前创建备份。
   • 在组专有名称（Group Distinguished Name）字段中，指定包含您要导入组的顶级目录的绝对路径，例如 ou=groupname,dc=example,dc=com。
   • 如果您需要导入符合指定搜索条件的组，请填写组筛选器字段。默认筛选器值 (objectClass=posixGroup) 或 (objectClass=group) 允许导入所有组。
   • 以下参数是默认设置的，但如果需要，您可以更改它们：
     • 用户属性（确定此用户是否为组成员的属性）
     • 组名称属性（与用户所在组的名称对应的属性）
     • 组属性（指定组包含的用户的属性）

     对于OpenLDAP服务器，请使用以下设置：

     • 组筛选器 - (objectClass=posixGroup)
     • 用户属性 - uid
     • 组属性 - memberUid

     对于Active Directory，请使用以下设置：

     • 组筛选器 - (objectClass=group)
     • 用户属性 - distinguishedName
     • 组属性 - member
9. 如果当前 Windows 用户无权从 LDAP 服务器读取数据，请打开身份验证开关。在登录名和密码字段中，输入有权从LDAP服务器读取数据的用户的凭据（默认设置为当前 Windows 会话的登录名和密码）。
10. 如果您想通过电子邮件向所有新用户发送邀请，请在高级设置部分勾选发送欢迎信框。欢迎消息包含一个按钮，允许用户转到协作空间登录页面并激活电子邮件。此选项仅在配置了邮箱属性映射时才可用。
11. 如果您想为LDAP用户禁用电子邮件激活，请在高级设置部分勾选禁用电子邮件验证框。如果勾选此框，LDAP 用户在首次登录协作空间后将无需验证其电子邮件。
12. 点击保存按钮。
13. 在出现的“导入确认”窗口中点击确定按钮开始导入用户。

导入过程将花费一些时间，具体取决于用户数量、组数量、计算机规格等因素。

存在一些特殊功能：

• 协作空间所有者不受通过 LDAP 更改访问权限的影响；
• 如果协作空间所有者被排除在用户/组筛选器之外，他将不再是 LDAP 用户，但始终保持活跃状态；
• 禁用 LDAP 时，通过 LDAP 为用户提供的所有访问权限将被撤销；
  • 如果禁用 LDAP 的用户应失去管理员权限，则他的管理员权限不受影响，并且该用户会收到通知；
• 如果用户被排除在用户/组筛选器之外，他保持活跃状态，并会收到通知，告知 LDAP 密码不再有效，应在个人资料设置页面更改密码；
• 如果用户试图撤销自己的管理员权限（无论是通过访问权限设置还是将自己排除在用户/组筛选器之外），他的管理员权限不受影响，并且该用户会收到通知。

验证 LDAP 用户身份

每个导入的用户将能够使用按以下方案形成的登录名登录协作空间：

• 登录属性，例如 Andrew.Stone
• 登录属性 + @ + LDAP域名，例如 Andrew.Stone@example.com
• LDAP域名 + \ + 登录属性（支持不完整的域名），例如 example\Andrew.Stone

在授权页面上，提供登录到域选项，该选项允许以明文形式传输密码。域外的门户用户可以取消勾选此设置。在这种情况下，密码将以哈希形式传输。

在账户部分中，导入的用户个人资料将带有 图标供协作空间管理员识别。使用 LDAP 导入的用户个人资料字段被锁定无法编辑，除了初始指定的用户类型、用户配额。

同步 LDAP 数据

如果您在 LDAP 服务器中更改了数据（例如添加了新用户/组、重命名了现有组或编辑了用户记录中的某些信息），您可以轻松地将协作空间数据与 LDAP 服务器中的新信息同步。

要调整同步选项，请打开自动同步开关并设置执行自动同步的必要时间：您可以每小时在指定的分钟同步数据，或每天在指定的时间同步，以及每周或每月在指定的日期和时间同步。点击保存以应用设置。也可以通过点击 LDAP 页面底部的同步用户按钮手动同步数据。或者，您可以使用 LDAP 设置部分下方的保存按钮。

在用户登录协作空间后，该用户的信息也将被同步。