Изменение настроек LDAP

Распечатать/сохранить в PDF

Если вы только что развернули Р7-Офис. Корпоративный сервер на своем сервере, то первое, что надо сделать, — это создать учетные записи для всех сотрудников компании. Если она насчитывает более 50 человек, создание новых пользователей портала займет много времени. Но теперь в Панели управления доступна опция Поддержка LDAP, которая позволяет буквально за несколько минут импортировать в онлайн-офис нужных пользователей и группы с сервера LDAP (например, OpenLDAP Server или Microsoft Active Directory). В свою очередь, новым пользователям не придется запоминать новые логины и пароли, поскольку они смогут заходить на портал под своими учетными данными, сохраненными на сервере LDAP.

Чтобы открыть Панель управления, войдите на портал и нажмите на ссылку «Панель управления» на Стартовой странице. Можно также перейти в «Настройки» портала и нажать на ссылку ‘Панель управления’ на левой боковой панели.

Импорт пользователей и групп

Перед началом импорта: Если вы подключаетесь к базе данных Active Directory, которая содержит более 1000 пользователей, вам потребуется:
— на сервере необходимо добавить одну строку в конфигурационный файл /var/www/r7-office/WebStudio/web.appsettings.config

<add key="core.Users" value="10000" />

, где value,  это число пользователей, которое нужно загрузить
После редактирования конфигурационного файла, перезапустить сервис

systemctl restart mono*

— увеличить лимит AD MaxPageSize = 1000 и MaxValRange = 1000 с помощью утилиты ntdsutil. Информация описана на сайте производителя Active Directory.

1. В Панели управления откройте страницу LDAP.
2. Нажмите на переключатель Включить аутентификацию LDAP и используйте ссылку Показать рядом с заголовком Настройки LDAP, чтобы отобразить форму для ввода параметров.
3. Установите флажок Включить StartTLS, если вы хотите обеспечить безопасное соединение с помощью технологии StartTLS (в этом случае используется стандартный порт 389). Установите флажок Включить SSL, если хотите использовать протокол SSL (в этом случае номер порта автоматически изменится на 636).
   При импорте пользователей из всего доменного леса (при наличии в лесу нескольких доменов) в «DN каталога пользователей» — необходимо указать «DN корневого домена» и использовать порт 3268.
   Примечание:
   Если вы используете пробную версию, при синхронизации с использованием порта 3268 (будет импортированы пользователи только с родительского домена) и вы получите сообщение:
   
4. Заполните поля, необходимые для импорта пользователей (обязательные поля помечены звездочкой):
   
   Внимание: Обратите внимание, что в случае, если вы уже импортировали каких-то пользователей и меняете настройки (например, Сервер, Фильтр пользователей, DN каталога пользователей, Фильтр групп, DN каталога групп), существующие пользователи и все их данные, включая документы, сообщение электронной почты, другие, отсеянные новыми настройками, будут ОТКЛЮЧЕНЫ. Мы настоятельно рекомендуем сделать резервное копирование данных, прежде чем вы измените какие-либо настройки.
   • в поле Сервер введите URL-адрес сервера LDAP в формате protocol://host, например, LDAP://example.com для обычного соединения с сервером LDAP или LDAPS://example.com для безопасного соединения с сервером LDAP по протоколу SSL. Вместо доменного имени можно также указать IP-адрес сервера: LDAP://192.168.3.202. Обратите внимание, что протокол(LDAP) нужно писать заглавными буквами.
   • укажите Номер порта, используемый для соединения с сервером LDAP. Для обычного соединения с сервером LDAP по умолчанию используется порт 389. Если вы включили опцию StartTLS, также используется стандартный порт 389. Если включена опция SSL, номер порта автоматически изменяется на 636.
     При импорте пользователей из всего доменного леса (при наличии в лесу нескольких доменов) в «DN каталога пользователей» — необходимо указать «DN корневого домена» и использовать порт 3268.

     Примечание: Если вы используете пробную версию, при синхронизации с использованием порта 3268 (будет импортированы пользователи только с родительского домена) и вы получите сообщение:

     

   • в поле DN каталога пользователей (англ. User Distinguished Name) укажите абсолютный путь к каталогу верхнего уровня, содержащему пользователей, которых требуется импортировать. Этот параметр определяет узел, с которого начинается поиск. Можно указать корневой каталог, например, DC=example,DC=com, чтобы осуществлять поиск пользователей по всему каталогу, или задать определенную область поиска, например, OU=groupname,DC=example,DC=com, чтобы осуществлять поиск пользователей внутри указанной группы.
   • заполните поле Фильтр пользователей, если необходимо импортировать пользователей, соответствующих указанным критериям поиска. Значение фильтра, заданное по умолчанию (uid=*), позволяет импортировать всех пользователей.
   • Укажите Атрибут логина (атрибут в записи пользователя, соответствующий логину, который пользователи сервера LDAP будут использовать для входа в Р7-Офис).

     Примечание: Пожалуйста, обратите внимание: настройки по умолчанию указаны для OpenLDAP Server. Для Active Directory необходимо изменить следующие настройки:

     • Фильтр пользователей — (userPrincipalName=*)
     • Атрибут логина — sAMAccountName

1. В разделе Сопоставление атрибутов можно установить соответствие между полями с данными пользователя на портале и атрибутами в записи пользователя на сервере LDAP. Нажмите кнопку Добавить атрибут, выберите из списка нужное поле данных и укажите атрибут пользователя, используемый на вашем сервере LDAP. Значения следующих параметров заданы по умолчанию, но в случае необходимости их можно изменить:
   • Имя (атрибут в записи пользователя, соответствующий имени пользователя)
   • Фамилия (атрибут в записи пользователя, соответствующий фамилии пользователя)
   • Почта (атрибут в записи пользователя, соответствующий адресу электронной почты пользователя)
   • Должность (атрибут в записи пользователя, соответствующий должности пользователя)
   • Основной мобильный телефон (атрибут в записи пользователя, соответствующий номеру мобильного телефона пользователя)
   • Местоположение (атрибут в записи пользователя, соответствующий местоположению пользователя)

   Вы также можете добавить следующие атрибуты: Дополнительная почта, Дополнительный мобильный телефон, Дополнительный телефон, Дата рождения, Фото профиля, Пол, Skype.

2. Нажмите на переключатель Принадлежность к группе, если вы хотите добавить на портал группы с сервера LDAP, и заполните нужные поля:
   Примечание: Пожалуйста, обратите внимание: если вы решите добавить группы, будут добавлены только те пользователи, которые состоят хотя бы в одной группе.Внимание: Обратите внимание, что в случае, если вы уже импортировали каких-то пользователей и меняете настройки (например. Сервер, Фильтр пользователей, DN каталога пользователей, Фильтр групп, DN каталога групп), существующие пользователи и все их данные, включая документы, сообщение электронной почты, другие, отсеянные новыми настройками, будут ОТКЛЮЧЕНЫ. Мы настоятельно рекомендуем сделать резервное копирование данных, прежде чем вы измените какие-либо настройки.
   • в поле DN каталога групп (англ. Group Distinguished Name) укажите абсолютный путь к каталогу верхнего уровня, содержащему группы, которые требуется импортировать, например, OU=Groups,DC=example,DC=com.
   • заполните поле Фильтр групп, если необходимо импортировать группы, соответствующие указанным критериям поиска. Значение фильтра, заданное по умолчанию (objectClass=posixGroup), позволяет импортировать все группы.
   • значения следующих параметров заданы по умолчанию, но в случае необходимости их можно изменить:
     • Атрибут пользователя (атрибут, который определяет, состоит ли этот пользователь в группах)
     • Атрибут названия группы (атрибут, который соответствует названию группы, в которой состоит пользователь)
     • Атрибут группы (атрибут, который указывает, какие пользователи состоят в этой группе)

     Примечание: Пожалуйста, обратите внимание: настройки по умолчанию указаны для OpenLDAP Server. Для Active Directory необходимо изменить следующие настройки:

     • Фильтр групп — (objectClass=group)
     • Атрибут пользователя — distinguishedName
     • Атрибут группы — member
3. Включите переключатель Аутентификация. В полях Логин и Пароль введите учетные данные пользователя, у которого есть права на чтение данных с сервера LDAP.
4. Нажмите кнопку СОХРАНИТЬ.
5. В открывшемся окне ‘Подтверждение импорта’ нажмите кнопку OK, чтобы начать импорт пользователей.

Импорт займет некоторое время в зависимости от количества пользователей, групп, технических характеристик компьютера и т.д.

• Если на портале есть ранее созданный пользователь с таким адресом электронной почты, этот пользователь автоматически будет синхронизирован с LDAP-пользователем.
• Если такой адрес электронной почты не существует, пользователь не будет получать никаких оповещений с портала.

Аутентификация LDAP-пользователей

Каждый импортированный пользователь сможет заходить на портал, используя логин, формируемый по следующим схемам:

• Атрибут логина, например Andrew.Stone
• Атрибут логина + @ + Домен LDAP, например Andrew.Stone@example.com
• Домен LDAP + \ + Атрибут логина (поддерживаются неполные имена доменов), например example\Andrew.Stone

Профили импортированных пользователей в модуле Люди будут отмечены значком  для администратора портала. Поля профиля пользователя, импортированные по LDAP, заблокированы для редактирования.

Синхронизация данных LDAP

Если вы измените данные на сервере LDAP (например, добавите новых пользователей или группы, переименуете существующие группы или отредактируете какую-то информацию в записи пользователя), данные на портале можно легко синхронизировать с новой информацией с LDAP-сервера.

Чтобы настроить параметры синхронизации, включите переключатель Автоматическая синхронизация и задайте нужное время выполнения автоматической синхронизации: данные можно синхронизировать каждый час в указанные минуты, каждый день в указанное время, а также каждую неделю или месяц в указанный день и время. Нажмите кнопку Сохранить, чтобы применить настройки. Также можно синхронизировать данные вручную, нажав кнопку СИНХРОНИЗИРОВАТЬ внизу страницы LDAP. Можно также использовать кнопку СОХРАНИТЬ внизу раздела Настройки LDAP.

Информация об отдельном пользователе также будет синхронизирована после того, как этот пользователь войдет на портал.

Примечание

1) Если вы добавили DN каталог, в котором количество пользователей больше, чем указано в лицензии и получаете сообщение:

Необходимо указать в DN каталоге групп с меньшим кол-вом пользователей, для перезаписи данных синхронизации.
После удачной синхронизации, отключить LDAP и перейти в модуль Люди. Теперь пользователи LDAP отличные от вашей новой добавленной группы. Изменив статус пользователя на заблокированный, можно удалить пользователя.

2) Для удаления пользователя, синхронизированного с AD и пометкой , необходимо в Панели управления выключить синхронизацию LDAP

3) При добавлении на портал групп с сервера LDAP, вы сможете предоставлять права доступа на группу.
Пример настройки прав администратора: перейдите в «Настройки», «Права доступа», «Выбрать пользователя» и укажите группу, которая должна иметь права администраторов с полным доступом.