Artikel zum Thema:
Schließen
Changelog
Schließen
Hilfe-Center
Control Panel

Änderung der LDAP-Einstellungen in der Server-Version in der SaaS-Version

Control Panelv2.9 ONLYOFFICE Control Panel changelog

Version 2.9.1

Release date: 12/10/2020

Bug fixes

  • Bug Fixes & Performance Improvements.

Version 2.9

Release date: 10/14/2020

General

  • Control Panel is available in the free Community version with all settings excepting the editors logo replacement;
  • Added the vsyscall check to the installation scripts when installing Mail Server on Debian with kernel 4.18.0 and later;
  • Redesign of the navigation menu: added Common and Portal settings sections, added icons to menu items;
  • Added the advanced rebranding page in the Common Settings;
  • Added the possibility to reindex the full-text search;
  • Updated node.js, updated packages (transition to samlify for SSO);
  • Added the Encryption at rest block in the Storage section;
  • Added the Private Room section for the server version only;
  • Added the upgrade page with a proposal to upgrade to Enterprise Edition;
  • Added the activate page with a possibility to upload a license file;
  • Added the HideAuthPage option to the SSO settings to hide the authorization page. When the HideAuthPage option is enabled, an automatic redirect from the authorization page to the SSO service will occur.

LDAP

  • Added the Sign in to domain option on the authorization page.

Single Sign-on

  • Transition to the new samlify library;
  • Added the HideAuthPage option to the SSO settings to hide the authorization page. When the HideAuthPage option is enabled, an automatic redirect from the authorization page to the SSO service will occur.

Version 2.7

Release date: 04/25/2019

LDAP

  • Added more fields mapped for the users loaded via LDAP: user photo, birthday, contacts, primary phone number;
  • Added the setting to autosync LDAP on schedule;
  • Added the possibility to give administrator rights to the user group at the portal via LDAP;
  • Updated the rules for LDAP users.

Version 2.5.1

Release date: 04/07/2018

LDAP

  • Fixed the Server internal error error when using the groups enclosed inside each other in the AD (bug #37414).

Single Sign-on

  • Fixed the issue when the user data between the Service Provider and the portal was transferred via HTTP only, even when HTTPS was enabled.

Version 2.4.0

Release date: 01/13/2018

Single Sign-on

  • Fixed the Invalid ssoConfig error which occurred when the link to the IdP contained the question mark '?', e.g.: IdP Single Sign-On Endpoint URL: https://accounts.google.com/o/saml2/idp?idpid=777777;
  • Fixed the Invalid authentication token error which prevented from adding a user to the portal using the AD FS, in case the + or - characters were present when sending the encrypted data.

Version 2.3.0

Release date: 12/15/2017

General

  • Added the changelog for Control Panel and link to it;
  • Fixed the bug when JWT parameters were not sent when updating Document Server(bug #36270);
  • Fixed the bug when Audit Trail heading was present at the login history page (bug #36026);
  • The current machine is now checked for being linked with the domain name for multiple portals.

LDAP

  • Fixed the bug with the LDAP Domain not found error which occurred if the DN record had no DC records (the users with Sun/Oracle DS were affected); now if the LDAP domain could not be specified, the LDAP domain will acquire the unknown value or the ldap.domain value from the web.appsettings.config configuration file;
  • Fixed the bug with the Sizelimit Exceeded error when trying to get more than 1000 users from the Active Directory;
  • Increased the login speed with the Group Membership setting enabled;
  • Added additional logging;
  • Fixed the bug with LDAP operation hanging when using Mono v5.2.0 and older;
  • Fixed the bug with the error when trying to login using the email address entered in the fields different from the Mail Attribute;
  • Fixed the bug occurring in the enclosed groups, when the users were displayed not in all groups.

Version 2.2.0

Release date: 10/31/2017

General

  • Added the documentserver-prepare4shutdown.sh script launch when updating the document-server for the correct edited document saving.

LDAP

  • Dramatically changed LDAP integration, migrated to the single library for the work with LDAP (Novell.Directory.Ldap.NETStandard, Nuget, MIT);
  • Login and email are now split into two separate fields;
  • Added the support for big data;
  • Increased the work speed via the LDAP protocol (the connection to the server and receiving the data is now made once per session, added the limits when only a certain number of results is necessary, fixed the slow login for bit data, removed the sorting out used to find the SID parameter);
  • Fixed the user re-creation issue;
  • Fixed the duplicate username issue;
  • Fixed the already existing email issue;
  • Replaced the LDAP user deletion with account deactivation (for further data migration and data safety);
  • Instead of re-creating a user with an unknown SID but an existing email the data is updated;
  • Added the attempt to save the correct UserName/Login in case a similar one is already taken on the portal.

Single Sign-on

  • Added the AD FS support;
  • Replaced the Single Sign-on link at the authorization page with the customizable button, added the button customization to the SSO setting of the Control Panel.

Version 2.1.0

Release date: 07/03/2017

HTTPS

  • Added the support of letsencrypt service for the domain certificate generation.

Single Sign-on

  • Added the new sso.auth service;
  • Added the new SSO settings page;
  • Added the support for Shibboleth.

Version 2.0.0

Release date: 05/25/2017

General

  • The Control Panel migrated from MVC to Node.js.

Version 1.6.0

Release date: 12/05/2016

LDAP

  • Added LDAP synchronization for users and groups when saving the settings, after login and using the Sync button;
  • Changed email formation for LDAP users;
  • Fixed the problem of creation of users with invalid emails;
  • Fixed the problem of duplicate users;
  • Added icons and hints to the users in the list for the admin;
  • Blocked for editing the user profile fields imported using LDAP;
  • Added the real LDAP password saving to the database during login in case LDAP Auth is disabled, now the LDAP users will become common portal users when LDAP Auth is disabled;
  • Added new API Settings method - Sync LDAP;
  • Added new translations;
  • Bug fixes.

Version for Windows

  • Made changes at the Update page for the Control Panel for Windows;
  • Updates are performed using the downloaded installation packages for each module.
  • The current installed component version numbers are obtained via API request to the Community Server.
  • The new versions available for download are obtained via the request to the https://download.onlyoffice.com/install/windows/updates.txt file, where all the latest component version numbers and links for their download are stored in the JSON format.

Wenn Sie ONLYOFFICE Workspace eingesetzt habenIhr Serviceplan der SaaS-Version von ONLYOFFICE Workspace das stipuliert, können Sie die Konten für alle Mitarbeiter erstellen. Aber wenn die Anzahl der Mitarbeiter mehr als 50 Personen ist, wird dieser Prozess viel Zeit in Anspruch nehmen. Darum brauchen Sie sich nicht zu kümmern, weil die SystemsteuerungIhr Portal Ihnen die Option LDAP-Einstellungen bietet, die es Ihnen ermöglicht, die gewünschten Benutzer und Gruppen aus dem LDAP-Server (z.B., OpenLDAP Server oder Microsoft Active Directory) in ONLYOFFICE in wenigen Minuten zu importieren. Die neu angelegten Benutzer müssen sich nicht mehr mehrere Kennwörter und Logins merken, weil sie sich bei Ihrem Portal mithilfe Ihrer Anmeldeinformationen anmelden können, die auf dem LDAP-Server gespreichert sind.

Um auf die Systemsteuerung zuzugreifen, melden Sie sich bei Ihrem Portal an und klicken Sie auf den Link "Systemsteuerung" auf der Startseite. Sie können auch zum Portal-Einstellungen gehen und auf der linken Seite auf den Link "Systemsteuerung" klicken.Öffnen Sie die Einstellungen und klicken Sie auf den Menüpunkt LDAP-Einstellungen im Abschnitt Integration.

Benutzer und Gruppen importieren

Bevor Sie mit dem Import beginnen Wenn Sie eine Verbindung zu Active Directory mit mehr als 1000 Benutzern herstellen, müssen Sie das AD-Limit MaxPageSize = 1000 mithilfe von ntdsutil erhöhen. Die detaillierten Anweisungen dazu finden Sie hier.
  1. In der Systemsteuerung öffnen Sie die Seite LDAP im Abschnitt PORTAL-EINSTELLUNGENIn den Einstellungen auf Ihrem Portal öffnen Sie die Seite LDAP-Einstellungen im Aschnitt Integration auf der linken Seite.
  2. Aktivieren Sie den Umschalter LDAP-Authentifizierung aktivieren (verwenden Sie den Link Einblenden neben der Bezeichnung LDAP-Einstellungen, um alle Parameter anzuzeigen, wenn Sie die Einstellungen nicht zum ersten Mal ändern).
  3. Aktivieren Sie das Kontrollkästchen Aktivieren StartTLSStartTLS, wenn Sie Ihre Verbindungen mithilfe der StartTLS-Technologie sichern möchten (in diesem Fall wird der Standardport 389 verwendet). Aktivieren Sie das Kontrollkästchen SSL aktivieren, wenn Sie das SSL-Protokoll verwenden möchten (in diesem Fall ändert sich die Portnummer automatisch zu 636).
  4. Füllen Sie die für den Benutzerimport erforderlichen Felder aus (die Pflichtfelder sind mit einem Sternchen gekennzeichnet):
    LDAP-Einstellungen - Benutzer LDAP-Einstellungen - Benutzer
    LDAP-Einstellungen - Benutzer LDAP-Einstellungen - Benutzer
    Warnung Bitte beachten Sie, dass wenn Sie bereits einige Benutzer importiert und einige Einstellungen geändert haben (z.B. Server, Benutzerfilter, DN der Benutzer, Gruppenfilter, DN der Gruppen), werden die vorhandenen Benutzer und alle ihre Daten, einschließlich Dokumente, E-Mails usw., die mit diesen neuen Einstellungen nicht übereinstimmen, deaktiviert. Wir empfehlen, ein Backup zu erstellen, bevor Sie Einstellungen ändern.
    • Geben Sie im Feld Server die URL-Adresse des LDAP-Servers in der folgenden Form ein: protocol://host, z.B. LDAP://example.com für eine reguläre LDAP-Verbindung oder LDAPS://example.com für eine sichere LDAP-Verbindung über SSL. Sie können auch die Server-IP-Adresse anstelle des DNS-Namens angeben: LDAP://192.168.3.202;
    • Geben Sie eine Portnummer an, die für den Zugriff auf den LDAP-Server verwendet wird. Der Standardport für reguläre LDAP-Verbindungen ist 389. Wenn Sie die Option StartTLS aktiviert haben, wird auch der Standardport 389 verwendet. Wenn die SSL-Option aktiviert ist, ändert sich die Portnummer automatisch zu 636;
    • Geben Sie im Feld DN der Benutzer (User Distinguished Name) den absoluten Pfad zum Verzeichnis der obersten Ebene an, das Benutzer enthält, die Sie importieren möchten. Dieser Parameter definiert den Knoten, an dem die Suche beginnt. Sie können das Stammverzeichnis, z.B dc=example,dc=com, angeben, um nach Benutzern im gesamten Verzeichnis zu suchen oder einen bestimmten Suchbereich angeben, z.B. ou=groupname,dc=example,dc=com, um nach Benutzern innerhalb der angegebenen Gruppe zu suchen;
    • Geben Sie den Wert für das Attribut des Logins an (ein Attribut in einem Benutzerdatensatz, das der Anmeldung entspricht, mit der sich LDAP-Serverbenutzer bei ONLYOFFICE anmelden);
      Bitte beachten Sie: Die Standardeinstellungen sind für Active Directory festgelegt. Für OpenLDAP-Server müssen Sie die folgenden Einstellungen ändern:
      • Benutzerfilter - (uid=*)
      • Attribut des Logins - uid
    • Füllen Sie das Feld Benutzerfilter aus, wenn Sie die Benutzer importieren sollen, die den angegebenen Suchkriterien entsprechen. Der Standardfilterwert (uid=*) ermöglicht den Import aller Benutzer;
      Beispiele für die Suchfilter-Syntax finden Sie hier.
    • Geben Sie den Wert für das Attribut des Logins an (ein Attribut in einem Benutzerdatensatz, das der Anmeldung entspricht, mit der sich LDAP-Serverbenutzer bei ONLYOFFICE anmelden).
      Bitte beachten Sie: Die Standardeinstellungen sind für OpenLDAP-Server festgelegt. Für Active Directory müssen Sie die folgenden Einstellungen ändern:
      • Benutzerfilter - (userPrincipalName=*)
      • Attribut des Logins - sAMAccountName
  5. Im Abschnitt Attributzuordnung können Sie eine Verbindung zwischen den Benutzerdatenfeldern im Portal und den Attributen im LDAP-Server-Benutzerdatensatz erstellen. Klicken Sie auf die Schaltfläche Attribut hinzufügen, wählen Sie das erforderliche Datenfeld aus der Liste aus und geben Sie das in Ihrem LDAP-Server verwendete Benutzerattribut an. Die folgenden Parameter sind standardmäßig festgelegt, können jedoch bei Bedarf geändert werden:
    LDAP-Einstellungen - Attributzuordnung LDAP-Einstellungen - Attributzuordnung
    LDAP-Einstellungen - Attributzuordnung LDAP-Einstellungen - Attributzuordnung
    • Vorname (ein Attribut in einem Benutzerdatensatz, das dem Vornamen des Benutzers entspricht)
    • Nachname (ein Attribut in einem Benutzerdatensatz, das dem Nachnamen des Benutzers entspricht)
    • E-Mail (ein Attribut in einem Benutzerdatensatz, das der E-Mail-Adresse des Benutzers entspricht)
    • Titel (ein Attribut in einem Benutzerdatensatz, das dem Titel des Benutzers entspricht)
    • Primäres Mobiltelefon (ein Attribut in einem Benutzerdatensatz, das der Mobiltelefonnummer des Benutzers entspricht)
    • Standort (ein Attribut in einem Benutzerdatensatz, das dem Standort des Benutzers entspricht)

    Sie können auch die folgenden Attribute hinzufügen: Zusätzliche Mail, Zusätzliches Mobiltelefon, Zusätzliche Telefonnummer, Geburtsdatum, Profilfoto, Geschlecht, Skype.Geburtsdatum, Geschlecht, Profilfoto, Zusätzliche TelefonnummerZusätzliches MobiltelefonZusätzliche Mail, Skype.

  6. Klicken Sie auf den Umschalter Gruppenzugehörigkeit, wenn Sie Ihrem Portal Gruppen vom LDAP-Server hinzufügen und die erforderlichen Felder ausfüllen möchten:
    Bitte beachten Sie, dass nur Benutzer hinzugefügt werden, die zu mindestens einer Gruppe gehören, wenn Sie die Gruppen hinzufügen möchten.
    LDAP-Einstellungen - Gruppen LDAP-Einstellungen - Gruppen
    LDAP-Einstellungen - Gruppen LDAP-Einstellungen - Gruppen
    Warnung Bitte beachten Sie, dass wenn Sie bereits einige Benutzer importiert und einige Einstellungen geändert haben (z.B. Server, Benutzerfilter, DN der Benutzer, Gruppenfilter, DN der Gruppen), werden die vorhandenen Benutzer und alle ihre Daten, einschließlich Dokumente, E-Mails usw., die mit diesen neuen Einstellungen nicht übereinstimmen, deaktiviert. Wir empfehlen, ein Backup zu erstellen, bevor Sie Einstellungen ändern.
    • Geben Sie im Feld DN der Gruppen (Group Distinguished Name) den absoluten Pfad zum Verzeichnis der obersten Ebene an, das Gruppen enthält, die Sie importieren möchten, z.B. ou=Groups,dc=example,dc=com;
    • Füllen Sie das Feld Gruppenfilter aus, wenn Sie die Gruppen importieren müssen, die den angegebenen Suchkriterien entsprechen. Der Standardfilterwert (objectClass=posixGroup) ermöglicht den Import aller Gruppen;
    • Die folgenden Parameter sind standardmäßig festgelegt, können jedoch bei Bedarf geändert werden:
      • Attribut des Benutzers (ein Attribut, das bestimmt, ob dieser Benutzer Mitglied der Gruppen ist)
      • Attribut des Gruppennamens (ein Attribut, das einem Namen der Gruppe entspricht, in der der Benutzer enthalten ist)
      • Attribut der Gruppe (ein Attribut, das die Benutzer angibt, welche die Gruppe enthält)
      Bitte beachten Sie: Die Standardeinstellungen sind für OpenLDAP-Server festgelegt. Für Active Directory müssen Sie die folgenden Einstellungen ändern:
      • Gruppenfilter - (objectClass=group)
      • Attribut des Benutzers - distinguishedName
      • Attribut der Gruppe - member
    • Geben Sie im Feld DN der Gruppen (Group Distinguished Name) den absoluten Pfad zum Verzeichnis der obersten Ebene an, das Gruppen enthält, die Sie importieren möchten, z.B. ou=Groups,dc=example,dc=com.
    • Attribut des Benutzers (ein Attribut, das bestimmt, ob dieser Benutzer Mitglied der Gruppen ist)
    • Füllen Sie das Feld Gruppenfilter aus, wenn Sie die Gruppen importieren müssen, die den angegebenen Suchkriterien entsprechen. Der Standardfilterwert (objectClass=group) ermöglicht den Import aller Gruppen;
    • Die folgenden Parameter sind standardmäßig festgelegt, können jedoch bei Bedarf geändert werden:
      • Attribut des Gruppennamens (ein Attribut, das einem Namen der Gruppe entspricht, in der der Benutzer enthalten ist)
      • Attribut der Gruppe (ein Attribut, das die Benutzer angibt, welche die Gruppe enthält)
      Bitte beachten Sie: Die Standardeinstellungen sind für Active Directory festgelegt. Für OpenLDAP-Server müssen Sie die folgenden Einstellungen ändern:
      • Gruppenfilter - (objectClass=posixGroup)
      • Attribut des Benutzers - uid
      • Attribut der Gruppe - memberUid
  7. Richten Sie die Einstellungen der Admin-Zugriffsberechtigungen ein: Klicken Sie auf die entsprechende Schaltfläche, wählen Sie Vollzugriff aus und geben Sie die Gruppe an, die über vollständige Administratorrechte verfügen soll. Wählen Sie ein Portalmodul aus der Liste aus und geben Sie die Gruppe an, die über Administratorrechte für das ausgewählte Modul verfügen soll.
  8. Aktivieren Sie den Umschalter Authentifizierung des Benutzers, wenn der aktuelle Windows-Benutzer keine Rechte zum Lesen vom LDAP-Server/Active Directory hat. Geben Sie in die Felder Login und Kennwort die Anmeldeinformationen des Benutzers ein, der zum Lesen von Daten vom LDAP-Server berechtigt ist (standardmäßig auf die aktuelle Windows-Sitzungsanmeldung und das aktuelle Kennwort festgelegt).
  9. Aktivieren Sie das Kontrollkästchen Einladungsbrief senden im Abschnitt Erweiterte Einstellungen, wenn Sie Einladungen per E-Mail an alle neuen Benutzer senden möchten. Der Einladungsbrief enthält eine Schaltfläche, mit der Benutzer zur Anmeldeseite des Portals gehen und die E-Mail aktivieren können. Diese Option ist nur verfügbar, wenn die E-Mail-Attributzuordnung konfiguriert ist.
  10. Klicken Sie auf die Schaltfläche Speichern.
  11. Klicken Sie im angezeigten Fenster 'Einfuhrbestätigung' auf die Schaltfläche OK, um den Import der Benutzer zu starten.

Die Zeitdauer des Importvorgangs ist abhängig von der Anzahl der Benutzer, Gruppen, Computerspezifikationen usw.

Bitte beachten Sie: Die E-Mail des Portalbenutzers wird aus der Einstellung Mail Attribut übernommen. Wenn es fehlt, wird es folgendermaßen gebildet: Login Attribute + @ + LDAP Domain.
  • Falls sich im Portal ein zuvor erstellter Benutzer mit einer solchen E-Mail befindet, wird dieser Benutzer automatisch mit dem LDAP-Benutzer synchronisiert.
  • Falls eine solche E-Mail nicht vorhanden ist, erhält der Benutzer keine Portalbenachrichtigungen.

Ab Community Server v. 10.0SaaS v. 11.5 gibt es einige Besonderheiten:

  • Der Portalbesitzer ist von der Änderung der Zugriffsrechte über LDAP nicht betroffen;
  • Wenn der Portalbesitzer vom Benutzer-/Gruppenfilter ausgeschlossen wurde, ist er kein LDAP-Benutzer mehr, bleibt jedoch immer aktiv;
  • Beim Deaktivieren von LDAP werden alle Zugriffsrechte für Benutzer über LDAP entfernt;
    • Wenn der Benutzer, der LDAP deaktiviert hat, Administratorrechte verlieren sollte, bleiben seine Administratorrechte unberührt und der Benutzer erhält eine Benachrichtigung;
  • Wenn ein Benutzer vom Benutzer-/Gruppenfilter ausgeschlossen wurde, bleibt er/sie aktiv und erhält eine Benachrichtigung, dass das LDAP-Kennwort nicht mehr aktiv ist und auf der Seite mit den Profileinstellungen geändert werden sollte;
  • Wenn ein Benutzer versucht, sich Administratorrechte zu entziehen (sowohl über die Einstellungen für Zugriffsrechte als auch durch den Ausschluss aus dem Benutzer-/Gruppenfilter), bleiben seine Administratorrechte unberührt und der Benutzer erhält eine Benachrichtigung.

LDAP-Benutzer authentifizieren

Jeder importierte Benutzer kann sich mit dem Login beim Portal anmelden, der nach den folgenden Schemata erstellt wurde:

  • Attribut des Logins, z.B. Andrew.Stone
  • Attribut des Logins + @ + LDAP Domain, z.B. Andrew.Stone@example.com
  • LDAP Domain + \ + Attribut des Logins (unvollständige Domainnamen werden unterstützt), z.B. example\Andrew.Stone

Auf der Autorisierungsseite ist die Option Bei Domain anmelden verfügbar, mit der ein Kennwort in expliziter Form übertragen werden kann. Portalbenutzer außerhalb der Domain können diese Einstellung deaktivieren. In diesem Fall wird ein Kennwort in einer Hash-Form übertragen.

LDAP-Benutzer authentifizieren LDAP-Benutzer authentifizieren

Importierte Benutzerprofile im Modul Personen werden mit dem LDAP-Symbol für den Portaladministrator gekennzeichnet. Die Benutzerprofilfelder, die mit LDAP importiert wurden, sind für die Bearbeitung gesperrt.

LDAP-Daten synchronisieren

Wenn Sie Daten auf Ihrem LDAP-Server ändern (z.B. neue Benutzer/Gruppen hinzufügen, vorhandene Gruppen umbenennen oder einige Informationen in einem Benutzerdatensatz bearbeiten), können Sie die Portaldaten problemlos mit den neuen Informationen von Ihrem LDAP-Server synchronisieren.

Um die Synchronisierungsoptionen anzupassen, schalten Sie den Umschalter für die Automatische Synchronisierung ein und stellen Sie die erforderliche Zeit für die Durchführung der automatischen Synchronisierung ein: Sie können Daten stündlich zu bestimmten Minuten oder jeden Tag zu einer bestimmten Zeit sowie jede Woche oder jeden Monat zu einem bestimmten Zeitpunkt synchronisieren. Klicken Sie auf Speichern, um die Einstellungen zu übernehmen. Sie können Daten auch manuell synchronisieren, indem Sie unten auf der LDAP-Seite auf die Schaltfläche SynchronisierenBenutzer synchronisieren klicken. Sie können auch die Schaltfläche SPEICHERN unter dem Abschnitt LDAP-Einstellungen verwenden.

Die Informationen zu einem individuellen Benutzer werden auch synchronisiert, nachdem sich dieser Benutzer beim Portal angemeldet hat.

So importieren Sie Benutzer aus Active Directory in ONLYOFFICE
Schließen
Download Host on your own server Available for
Docker, Windows and Linux
Wer sich dafür interessiert hat,
hat auch das Folgende gelesen:
Schließen