LDAP
使用 ONLYOFFICE 协作空间时,您需要做的第一件事是为所有公司员工创建账户。但如果员工人数超过50人,创建新的协作空间用户将耗费大量时间。LDAP 设置选项允许您从 LDAP 服务器(例如 OpenLDAP 服务器或 Microsoft Active Directory)将必要的用户和组导入到您的协作空间,实际上只需几分钟。新创建的用户也不需要记住新的密码和登录名,因为他们将使用存储在 LDAP 服务器上的凭据登录协作空间。
保存设置后,用户将立即被导入。稍后添加的用户将在他们首次在门户上进行身份验证时导入。
这是一项付费功能(仅适用于付费的专业版)。
导入用户和组
MaxPageSize = 1000
。关于如何执行此操作的详细说明可在此处找到。
- 登录您的 ONLYOFFICE 协作空间。
- 使用左下角的
菜单并选择设置选项。
- 在左侧边栏的集成部分中打开 LDAP设置 页面。
- 点击 LDAP 身份验证开关(如果这不是您第一次更改设置,请使用LDAP 设置标题旁边的显示链接来显示参数表单)。
- 如果您想使用 StartTLS 技术保护连接(在此情况下使用默认端口389),请勾选启用 StartTLS 框。如果您想使用 SSL 协议(在此情况下使用端口636),请勾选启用 SSL 框。
- 填写用户导入所需的字段(带星号的字段为必填项):
警告 请注意,如果您已经导入了一些用户,并更改了某些设置(例如服务器、用户筛选器、用户专有名称、组筛选器、组专有名称),那么不匹配这些新设置的现有用户及其所有数据(包括文档、电子邮件等)将被禁用。我们强烈建议在更改任何设置之前创建备份。
- 在服务器字段中,以协议://主机的形式输入LDAP服务器URL地址,例如常规 LDAP 连接使用 LDAP://example.com,通过 SSL 的安全 LDAP 连接使用 LDAPS://example.com。您也可以指定服务器的 IP 地址代替其 DNS 名称:LDAP://192.168.3.202;
- 指定用于访问 LDAP 服务器的端口号。常规 LDAP 连接的默认端口是389。如果您启用了 StartTLS 选项,也使用默认端口389。如果启用了 SSL 选项,则使用端口636;
- 在用户专有名称(User Distinguished Name)字段中,指定包含您要导入用户的顶级目录的绝对路径。此参数定义搜索开始的节点。您可以指定根目录,例如
dc=example,dc=com
,以在整个目录中搜索用户,或者指定特定的搜索区域,例如ou=组名,dc=example,dc=com
,以在指定组内搜索用户; - 指定登录属性值(用户记录中与登录名对应的属性,LDAP 服务器用户将使用此登录名登录 ONLYOFFICE);
对于 OpenLDAP 服务器,请使用以下设置:
- 用户筛选器 -
(uid=*)
- 登录属性 -
uid
对于 Active Directory,请使用以下设置:
- 用户筛选器 -
(userPrincipalName=*)
- 登录属性 -
sAMAccountName
- 用户筛选器 -
- 如果您需要导入符合指定搜索条件的用户,请填写用户筛选器字段。默认筛选器值
(uid=*)
或(userPrincipalName=*)
允许导入所有用户;您可以在此处找到搜索筛选器语法示例。
- 属性映射部分允许您在协作空间上的用户数据字段与 LDAP 服务器用户记录中的属性之间建立对应关系。点击添加属性按钮,从列表中选择必要的数据字段,并指定您 LDAP 服务器中使用的用户属性。以下参数是默认设置的,但如果需要,您可以更改它们:
- 名字(用户记录中与用户名字对应的属性)
- 姓氏(用户记录中与用户姓氏对应的属性)
- 邮箱(用户记录中与用户电子邮件地址对应的属性)
- 个人资料照片(用户记录中与用户照片对应的属性)
您还可以添加以下属性:
- 用户配额 - 要为此用户设置存储配额,请在 LDAP 目录中为此属性输入一个整数值。它将显示以字节为单位的配额值。此属性仅在首次设置期间应用,可以在账户部分手动更改。
- 用户类型 - 所有用户都将以所选类型(用户、房间管理员、协作空间管理员)添加到协作空间。默认选择用户类型。用户只能访问管理员邀请他们进入的房间,不能创建自己的房间、文件夹或文件。选择另一种类型以提供更多权限。否则,您可以在联系人部分手动更改类型。
- 如果您想将 LDAP 服务器中的组添加到您的协作空间,请点击组成员资格开关并填写必要的字段:
请注意,如果您决定添加组,则只有属于至少一个组的用户才会被添加。警告 请注意,如果您已经导入了一些用户,并更改了某些设置(例如服务器、用户筛选器、用户专有名称、组筛选器、组专有名称),那么不匹配这些新设置的现有用户及其所有数据(包括文档、电子邮件等)将被禁用。我们强烈建议在更改任何设置之前创建备份。
- 在组专有名称(Group Distinguished Name)字段中,指定包含您要导入组的顶级目录的绝对路径,例如
ou=组,dc=example,dc=com
。 - 如果您需要导入符合指定搜索条件的组,请填写组筛选器字段。默认筛选器值
(objectClass=posixGroup)
或(objectClass=group)
允许导入所有组。 - 以下参数是默认设置的,但如果需要,您可以更改它们:
- 用户属性(确定此用户是否为组成员的属性)
- 组名称属性(与用户所在组的名称对应的属性)
- 组属性(指定组包含的用户的属性)
对于OpenLDAP服务器,请使用以下设置:
- 组筛选器 -
(objectClass=posixGroup)
- 用户属性 -
uid
- 组属性 -
memberUid
对于Active Directory,请使用以下设置:
- 组筛选器 -
(objectClass=group)
- 用户属性 -
distinguishedName
- 组属性 -
member
- 在组专有名称(Group Distinguished Name)字段中,指定包含您要导入组的顶级目录的绝对路径,例如
- 如果当前 Windows 用户无权从 LDAP 服务器读取数据,请打开身份验证开关。在登录名和密码字段中,输入有权从LDAP服务器读取数据的用户的凭据(默认设置为当前 Windows 会话的登录名和密码)。
- 如果您想通过电子邮件向所有新用户发送邀请,请在高级设置部分勾选发送欢迎信框。欢迎消息包含一个按钮,允许用户转到协作空间登录页面并激活电子邮件。此选项仅在配置了邮箱属性映射时才可用。
- 如果您想为LDAP用户禁用电子邮件激活,请在高级设置部分勾选禁用电子邮件验证框。如果勾选此框,LDAP 用户在首次登录协作空间后将无需验证其电子邮件。
- 点击保存按钮。
- 在出现的“导入确认”窗口中点击确定按钮开始导入用户。
导入过程将花费一些时间,具体取决于用户数量、组数量、计算机规格等因素。
登录属性 + @ + LDAP域名
。
- 如果协作空间上存在具有此类电子邮件的先前创建的用户,则该用户将自动与 LDAP 用户同步。
- 如果此类电子邮件不存在,用户将不会收到任何协作空间通知。
存在一些特殊功能:
- 协作空间所有者不受通过 LDAP 更改访问权限的影响;
- 如果协作空间所有者被排除在用户/组筛选器之外,他将不再是 LDAP 用户,但始终保持活跃状态;
- 禁用 LDAP 时,通过 LDAP 为用户提供的所有访问权限将被撤销;
- 如果禁用 LDAP 的用户应失去管理员权限,则他的管理员权限不受影响,并且该用户会收到通知;
- 如果用户被排除在用户/组筛选器之外,他保持活跃状态,并会收到通知,告知 LDAP 密码不再有效,应在个人资料设置页面更改密码;
- 如果用户试图撤销自己的管理员权限(无论是通过访问权限设置还是将自己排除在用户/组筛选器之外),他的管理员权限不受影响,并且该用户会收到通知。
验证 LDAP 用户身份
每个导入的用户将能够使用按以下方案形成的登录名登录协作空间:
- 登录属性,例如
Andrew.Stone
- 登录属性 + @ + LDAP域名,例如
Andrew.Stone@example.com
- LDAP域名 + \ + 登录属性(支持不完整的域名),例如
example\Andrew.Stone
在授权页面上,提供登录到域选项,该选项允许以明文形式传输密码。域外的门户用户可以取消勾选此设置。在这种情况下,密码将以哈希形式传输。
在账户部分中,导入的用户个人资料将带有 图标供协作空间管理员识别。使用 LDAP 导入的用户个人资料字段被锁定无法编辑,除了初始指定的用户类型、用户配额。
同步 LDAP 数据
如果您在 LDAP 服务器中更改了数据(例如添加了新用户/组、重命名了现有组或编辑了用户记录中的某些信息),您可以轻松地将协作空间数据与 LDAP 服务器中的新信息同步。
要调整同步选项,请打开自动同步开关并设置执行自动同步的必要时间:您可以每小时在指定的分钟同步数据,或每天在指定的时间同步,以及每周或每月在指定的日期和时间同步。点击保存以应用设置。也可以通过点击 LDAP 页面底部的同步用户按钮手动同步数据。或者,您可以使用 LDAP 设置部分下方的保存按钮。
在用户登录协作空间后,该用户的信息也将被同步。