LDAP

使用 ONLYOFFICE 协作空间时,您需要做的第一件事是为所有公司员工创建账户。但如果员工人数超过50人,创建新的协作空间用户将耗费大量时间。LDAP 设置选项允许您从 LDAP 服务器(例如 OpenLDAP 服务器或 Microsoft Active Directory)将必要的用户和组导入到您的协作空间,实际上只需几分钟。新创建的用户也不需要记住新的密码和登录名,因为他们将使用存储在 LDAP 服务器上的凭据登录协作空间。

保存设置后,用户将立即被导入。稍后添加的用户将在他们首次在门户上进行身份验证时导入。

这是一项付费功能(仅适用于付费的专业版)。

导入用户和组

开始导入前 如果您连接到拥有超过1000个用户的 Active Directory,则需要使用 ntdsutil 增加 AD 限制 MaxPageSize = 1000。关于如何执行此操作的详细说明可在此处找到。
  1. 登录您的 ONLYOFFICE 协作空间
  2. 使用左下角的 选项图标 菜单并选择设置选项。
  3. 在左侧边栏的集成部分中打开 LDAP设置 页面。
  4. 点击 LDAP 身份验证开关(如果这不是您第一次更改设置,请使用LDAP 设置标题旁边的显示链接来显示参数表单)。
  5. 如果您想使用 StartTLS 技术保护连接(在此情况下使用默认端口389),请勾选启用 StartTLS 框。如果您想使用 SSL 协议(在此情况下使用端口636),请勾选启用 SSL 框。
  6. 填写用户导入所需的字段(带星号的字段为必填项):
    LDAP设置-用户LDAP设置-用户
    警告 请注意,如果您已经导入了一些用户,并更改了某些设置(例如服务器用户筛选器用户专有名称组筛选器组专有名称),那么不匹配这些新设置的现有用户及其所有数据(包括文档、电子邮件等)将被禁用。我们强烈建议在更改任何设置之前创建备份。
    • 服务器字段中,以协议://主机的形式输入LDAP服务器URL地址,例如常规 LDAP 连接使用 LDAP://example.com,通过 SSL 的安全 LDAP 连接使用 LDAPS://example.com。您也可以指定服务器的 IP 地址代替其 DNS 名称:LDAP://192.168.3.202
    • 指定用于访问 LDAP 服务器的端口号。常规 LDAP 连接的默认端口是389。如果您启用了 StartTLS 选项,也使用默认端口389。如果启用了 SSL 选项,则使用端口636;
    • 用户专有名称(User Distinguished Name)字段中,指定包含您要导入用户的顶级目录的绝对路径。此参数定义搜索开始的节点。您可以指定根目录,例如 dc=example,dc=com,以在整个目录中搜索用户,或者指定特定的搜索区域,例如 ou=组名,dc=example,dc=com,以在指定组内搜索用户;
    • 指定登录属性值(用户记录中与登录名对应的属性,LDAP 服务器用户将使用此登录名登录 ONLYOFFICE);

      对于 OpenLDAP 服务器,请使用以下设置:

      • 用户筛选器 - (uid=*)
      • 登录属性 - uid

      对于 Active Directory,请使用以下设置:

      • 用户筛选器 - (userPrincipalName=*)
      • 登录属性 - sAMAccountName
    • 如果您需要导入符合指定搜索条件的用户,请填写用户筛选器字段。默认筛选器值 (uid=*)(userPrincipalName=*) 允许导入所有用户;
      您可以在此处找到搜索筛选器语法示例。
  7. 属性映射部分允许您在协作空间上的用户数据字段与 LDAP 服务器用户记录中的属性之间建立对应关系。点击添加属性按钮,从列表中选择必要的数据字段,并指定您 LDAP 服务器中使用的用户属性。以下参数是默认设置的,但如果需要,您可以更改它们:
    LDAP设置-属性映射LDAP设置-属性映射
    • 名字(用户记录中与用户名字对应的属性)
    • 姓氏(用户记录中与用户姓氏对应的属性)
    • 邮箱(用户记录中与用户电子邮件地址对应的属性)
    • 个人资料照片(用户记录中与用户照片对应的属性)

    您还可以添加以下属性:

    • 用户配额 - 要为此用户设置存储配额,请在 LDAP 目录中为此属性输入一个整数值。它将显示以字节为单位的配额值。此属性仅在首次设置期间应用,可以在账户部分手动更改。
    • 用户类型 - 所有用户都将以所选类型(用户、房间管理员、协作空间管理员)添加到协作空间。默认选择用户类型。用户只能访问管理员邀请他们进入的房间,不能创建自己的房间、文件夹或文件。选择另一种类型以提供更多权限。否则,您可以在联系人部分手动更改类型。
  8. 如果您想将 LDAP 服务器中的组添加到您的协作空间,请点击组成员资格开关并填写必要的字段:
    请注意,如果您决定添加组,则只有属于至少一个组的用户才会被添加。
    LDAP设置-组LDAP设置-组
    警告 请注意,如果您已经导入了一些用户,并更改了某些设置(例如服务器用户筛选器用户专有名称组筛选器组专有名称),那么不匹配这些新设置的现有用户及其所有数据(包括文档、电子邮件等)将被禁用。我们强烈建议在更改任何设置之前创建备份。
    • 组专有名称(Group Distinguished Name)字段中,指定包含您要导入组的顶级目录的绝对路径,例如ou=组,dc=example,dc=com
    • 如果您需要导入符合指定搜索条件的组,请填写组筛选器字段。默认筛选器值(objectClass=posixGroup)(objectClass=group)允许导入所有组。
    • 以下参数是默认设置的,但如果需要,您可以更改它们:
      • 用户属性(确定此用户是否为组成员的属性)
      • 组名称属性(与用户所在组的名称对应的属性)
      • 组属性(指定组包含的用户的属性)

      对于OpenLDAP服务器,请使用以下设置:

      • 组筛选器 - (objectClass=posixGroup)
      • 用户属性 - uid
      • 组属性 - memberUid

      对于Active Directory,请使用以下设置:

      • 组筛选器 - (objectClass=group)
      • 用户属性 - distinguishedName
      • 组属性 - member
  9. 如果当前 Windows 用户无权从 LDAP 服务器读取数据,请打开身份验证开关。在登录名密码字段中,输入有权从LDAP服务器读取数据的用户的凭据(默认设置为当前 Windows 会话的登录名和密码)。
  10. 如果您想通过电子邮件向所有新用户发送邀请,请在高级设置部分勾选发送欢迎信框。欢迎消息包含一个按钮,允许用户转到协作空间登录页面并激活电子邮件。此选项仅在配置了邮箱属性映射时才可用。
  11. 如果您想为LDAP用户禁用电子邮件激活,请在高级设置部分勾选禁用电子邮件验证框。如果勾选此框,LDAP 用户在首次登录协作空间后将无需验证其电子邮件。
  12. 点击保存按钮。
  13. 在出现的“导入确认”窗口中点击确定按钮开始导入用户。

导入过程将花费一些时间,具体取决于用户数量、组数量、计算机规格等因素。

请注意:协作空间用户的电子邮件将取自邮箱属性设置。如果缺失,将按以下方式形成:登录属性 + @ + LDAP域名
  • 如果协作空间上存在具有此类电子邮件的先前创建的用户,则该用户将自动与 LDAP 用户同步。
  • 如果此类电子邮件不存在,用户将不会收到任何协作空间通知。

存在一些特殊功能:

  • 协作空间所有者不受通过 LDAP 更改访问权限的影响;
  • 如果协作空间所有者被排除在用户/组筛选器之外,他将不再是 LDAP 用户,但始终保持活跃状态;
  • 禁用 LDAP 时,通过 LDAP 为用户提供的所有访问权限将被撤销;
    • 如果禁用 LDAP 的用户应失去管理员权限,则他的管理员权限不受影响,并且该用户会收到通知;
  • 如果用户被排除在用户/组筛选器之外,他保持活跃状态,并会收到通知,告知 LDAP 密码不再有效,应在个人资料设置页面更改密码;
  • 如果用户试图撤销自己的管理员权限(无论是通过访问权限设置还是将自己排除在用户/组筛选器之外),他的管理员权限不受影响,并且该用户会收到通知。

验证 LDAP 用户身份

每个导入的用户将能够使用按以下方案形成的登录名登录协作空间:

  • 登录属性,例如 Andrew.Stone
  • 登录属性 + @ + LDAP域名,例如 Andrew.Stone@example.com
  • LDAP域名 + \ + 登录属性(支持不完整的域名),例如 example\Andrew.Stone

在授权页面上,提供登录到域选项,该选项允许以明文形式传输密码。域外的门户用户可以取消勾选此设置。在这种情况下,密码将以哈希形式传输。

账户部分中,导入的用户个人资料将带有 LDAP图标 图标供协作空间管理员识别。使用 LDAP 导入的用户个人资料字段被锁定无法编辑,除了初始指定的用户类型、用户配额。

同步 LDAP 数据

如果您在 LDAP 服务器中更改了数据(例如添加了新用户/组、重命名了现有组或编辑了用户记录中的某些信息),您可以轻松地将协作空间数据与 LDAP 服务器中的新信息同步。

要调整同步选项,请打开自动同步开关并设置执行自动同步的必要时间:您可以每小时在指定的分钟同步数据,或每天在指定的时间同步,以及每周或每月在指定的日期和时间同步。点击保存以应用设置。也可以通过点击 LDAP 页面底部的同步用户按钮手动同步数据。或者,您可以使用 LDAP 设置部分下方的保存按钮。

在用户登录协作空间后,该用户的信息也将被同步。

在您自己的服务器上托管 ONLYOFFICE 文档,或在云端使用

文章: 标签:
浏览所有标签