在服务器版本中更改LDAP设置

导入用户和组

1. 在控制面板中，打开左侧边栏门户设置部分的LDAP页面。
2. 点击启用LDAP认证开关（如果这不是您第一次更改设置，请使用LDAP设置标题旁的显示链接显示参数表单）。
3. 如果您希望通过使用StartTLS技术来保护您的连接，请勾选启用StartTLS框（此情况下，默认端口为389）。如果您希望使用SSL协议，请勾选启用SSL框（此情况下，端口号将自动更改为636）。
4. 填写用户导入所需的字段（必填字段标有星号）：
   
   警告 请注意，如果您已经导入了一些用户并更改了一些设置（例如，服务器、用户过滤器、用户DN、组过滤器、组DN），现有用户及其所有数据，包括文档、电子邮件等不符合这些新设置的将被禁用。我们强烈建议在更改任何设置之前创建备份。
   • 在服务器字段中，输入LDAP服务器的URL地址，格式为protocol://host，例如，普通LDAP连接为LDAP://example.com，安全的LDAP连接为LDAPS://example.com。您也可以指定服务器的IP地址而不是其DNS名称：LDAP://192.168.3.202；
   • 指定用于访问LDAP服务器的端口号。普通LDAP连接的默认端口为389。如果启用了StartTLS选项，默认端口也是389。如果启用了SSL选项，端口号会自动更改为636；
   • 在用户DN（用户专有名称）字段中，指定包含您要导入的用户的顶级目录的绝对路径。此参数定义了搜索开始的节点。您可以指定根目录，例如dc=example,dc=com，以便在整个目录中搜索用户，或指定特定的搜索区域，例如ou=groupname,dc=example,dc=com，以便在指定组中搜索用户；
   • 如果需要导入符合指定搜索条件的用户，请填写用户过滤器字段。默认过滤器值(uid=*)允许导入所有用户；
     您可以在这里找到搜索过滤器语法示例。
   • 指定登录属性值（用户记录中的一个属性，对应于LDAP服务器用户用于登录ONLYOFFICE的登录名）。
     请注意：默认设置是为OpenLDAP服务器指定的。对于Active Directory，您需要更改以下设置：

     • 用户过滤器 - (userPrincipalName=*)
     • 登录属性 - sAMAccountName
5. 属性映射部分允许您在门户上的用户数据字段与LDAP服务器用户记录中的属性之间建立对应关系。点击添加属性按钮，从列表中选择所需的数据字段，并指定LDAP服务器中使用的用户属性。以下参数是默认设置，但如果有必要，您可以更改它们：
   
   • 名字（用户记录中对应于用户名字的属性）
   • 姓氏（用户记录中对应于用户姓氏的属性）
   • 邮件（用户记录中对应于用户电子邮件地址的属性）
   • 职位（用户记录中对应于用户职位的属性）
   • 主要手机号码（用户记录中对应于用户手机号码的属性）
   • 位置（用户记录中对应于用户位置的属性）

   您还可以添加以下属性：附加邮件、附加手机号码、附加电话、出生日期、个人照片、性别、Skype。

6. 点击组成员资格开关，如果您希望从LDAP服务器添加组到您的门户，并填写必要的字段：
   请注意，如果您决定添加组，只有属于至少一个组的用户才会被添加。
   
   警告 请注意，如果您已经导入了一些用户并更改了一些设置（例如，服务器、用户过滤器、用户DN、组过滤器、组DN），现有用户及其所有数据，包括文档、电子邮件等不符合这些新设置的将被禁用。我们强烈建议在更改任何设置之前创建备份。
   • 在组DN（组专有名称）字段中，指定包含您要导入的组的顶级目录的绝对路径，例如ou=Groups,dc=example,dc=com。
   • 如果需要导入符合指定搜索条件的组，请填写组过滤器字段。默认过滤器值(objectClass=posixGroup)允许导入所有组。
   • 以下参数是默认设置，但如果有必要，您可以更改它们：
     • 用户属性（一个属性，确定此用户是否为组成员）
     • 组名属性（一个属性，对应于用户所在组的名称）
     • 组成员属性（一个属性，指定组包含的用户）
     请注意：默认设置是为OpenLDAP服务器指定的。对于Active Directory，您需要更改以下设置：

     • 组过滤器 - (objectClass=group)
     • 用户属性 - distinguishedName
     • 组成员属性 - member
7. 设置管理员访问权限设置：点击相应按钮，选择完全访问，并指定应该拥有完全管理权限的组。从列表中选择一个门户模块，并指定应该拥有该模块管理权限的组。
8. 打开认证开关。在登录和密码字段中，输入有权从LDAP服务器读取数据的用户凭据。
9. 如果您希望通过电子邮件向所有新用户发送邀请，请在高级设置部分勾选发送欢迎信框。欢迎消息包含一个按钮，允许用户转到门户登录页面并激活电子邮件。此选项仅在配置了邮件属性映射时可用。
10. 点击保存按钮。
11. 在出现的“导入确认”窗口中，点击确定按钮以开始导入用户。

导入过程将根据用户数量、组、计算机规格等耗费一些时间。

从社区服务器v.10.0开始，有一些特殊功能：

• 门户所有者不受通过LDAP更改访问权限的影响；
• 如果门户所有者被排除在用户/组过滤器之外，他将不再是LDAP用户，但始终保持活跃；
• 禁用LDAP时，通过LDAP为用户提供的所有访问权限将被撤销；
  • 如果禁用LDAP的用户应失去管理员权限，其管理员权限不受影响，并且用户将收到通知；
• 如果用户被排除在用户/组过滤器之外，他将保持活跃，并收到通知，告知LDAP密码不再有效，应在个人资料设置页面更改；
• 如果用户试图通过访问权限设置或将自己排除在用户/组过滤器之外来取消自己的管理员权限，其管理员权限不受影响，并且用户将收到通知。

认证LDAP用户

每个导入的用户将能够使用根据以下方案形成的登录名登录门户：

• 登录属性，例如Andrew.Stone
• 登录属性 + @ + LDAP域，例如Andrew.Stone@example.com
• LDAP域 + \ + 登录属性（支持不完整的域名），例如example\Andrew.Stone

在授权页面上，可用登录到域选项，允许以明文形式传输密码。域外的门户用户可以取消选中此设置。在这种情况下，密码将以哈希形式传输。

在人员模块中，导入的用户配置文件将被标记为LDAP图标，供门户管理员查看。通过LDAP导入的用户配置文件字段将被锁定，无法编辑。

同步LDAP数据

如果您在LDAP服务器中更改了数据（例如，添加新用户/组、重命名现有组或编辑用户记录中的一些信息），您可以轻松地将门户数据与LDAP服务器中的新信息同步。

要调整同步选项，请打开自动同步开关，并设置执行自动同步的必要时间：您可以每小时在指定的分钟同步数据，或每天在指定的时间同步，以及每周或每月在指定的日期和时间同步。点击保存以应用设置。也可以通过点击LDAP页面底部的同步按钮手动同步数据。或者，您可以使用LDAP设置部分下方的保存按钮。

单个用户的信息也将在该用户登录门户后同步。