本文介绍如何进行LDAP(Lightweight Directory Access Protocol 轻量级目录访问协议)配置,配置完成后,企业文件管理服务可同步LDAP内的组织结构及用户,用户可使用LDAP账号直接登录企业管理服务,实现便捷管理网盘内的用户和团队。
管理员进入管理控制台>专属登录配置>LDAP配置。
启用LDAP配置。
开启后,用户可通过LDAP账号登录。
服务器连接共四个步骤,分别是输入连接内容、输入账号内容、进行类型选择、测试链接。
输入服务器地址:ldap服务器地址,以“ldap://”开头,后面填写域名或者IP地址。
例如:ldap://100.xxx.xxx.xxx
输入端口号:默认389, 如果有修改则填写修改后的端口号。
输入BaseDN:表示限制只有此根目录范围以内的组织单位和用户,才可以同步到PDS和登录到PDS。
例如: 打开AD管理中心,复制想要同步的根目录的DN。本举例中想将aliyunpds(本地)下的组织单位及用户均同步到PDS,点击aliyunpds(本地)的属性,进入到属性编辑器,复制DN中的"DC=aliyunpds,DC=com",输入到PDS的BaseDN处。
此项请务必谨慎填写,添加完成后一定不要随意更改,因为在本系统与 LDAP (或 AD )进行同步数据时,如果 BaseDN 发生改变会使双方组织机构目录无法对应而导致数据同步失败。
输入管理员DN:管理员必须有权限访问BaseDN下所有组织单位和用户,这里需要填写管理员的完整DN(Distinguished Name标识名)。
例如:打开AD管理中心,点击管理员(有权限访问BaseDN下所有组织单位和用户)的属性,进入到属性编辑器,复制DN中的“CN=Administrator,CN=Users,DC=aliyunpds,DC=com”,输入到PDS的管理员DN处。
输入密码:输入管理员账号在LDAP中的登录密码,PDS服务器会通过此管理员账号登录到LDAP系统读取用户信息,完成同步和登录功能。
若已进行同步操作后再修改DN,则需要重新进行数据同步。
企业管理服务已进行安全处理,若修改直接输入新密码。
具有windows AD、OpenLDAP、其他,这三种选择项,请按照您所使用的类型进行选择。
以上内容完成后,点击测试链接,测试连接成功后,点击下一步,进入登录同步配置界面。
如果测试失败,请检查:
参数配置是否有误。
服务器地址和端口是否被防火墙拦截。
如需帮助,请联系我们。
登录同步配置包含两个步骤,分别是编辑登录配置、开启同步配置。
输入登录名字段:该字段作为用户登录时的账号名称,如sAMAccountName。
输入显示名字段:该字段作为用户登录时的账号名称,如displayName。
例如:当登录名填displayName时, 下图用户登录后显示用户名称为 test_user5, 登录名同理。
若不开启同步配置功能,即仅启用LDAP登录功能,任何组织范围内的LDAP内的用户都可以登录企业网盘,在登录时自动创建账号,无组织结构。
若开启同步功能,可以导入LDAP内的用户和组织结构,仅导入的用户可以登录。
开启同步配置,进行字段设置 ,团队 object classes和用户 object classes两者必填一个。
团队 object classes:输入团队字段值,字段大多数为organizationalUnit(简称OU 是可以将用户、组、计算机和其它组织单位放入其中的AD容器,是可以指派组策略设置或委派管理权限的最小作用域或单元),暂不支持group。
用户object classes:输入用户字段值,字段大多数为 organizationalPerson,User,或者inetOrqPerson。输入完成后,点击配置检测,检测成功后界面会显示选择的团队总数量及用户总数量。
所有对象类的根类是top抽象型对象类,如果您不确定要选择哪个对象类,请咨询您的LDAP管理员。输入后,当LDAP中object classes 字段为输入值时,企业文件管理服务将进行同步,如需输入多个字段,可用“,”分割。
进行同步时间设置类型选择。
手动同步:手动同步更新,若原数据有更新,无法同步到此应用,如企业人员管理应用场景下,员工有新增变动,无法对应变更到此服务,导致新配置人员无法登录应用此服务的情况。
自动同步:同步频率可按每日、每周、每月进行设置,同步时间可选择24小时中任意整点时间。
如果同步失败,可能是以下情况,系统会自动提示:
网络异常。
有错误的数据,一键移除错误结果。
以上内容均配置成功后,您可以在此界面查看到已操作的LDAP配置信息。