Статьи с тэгом :
Закрыть
История изменений
Закрыть
Попробовать в облаке
Попробовать в облаке
Справочный центр
Панель управления

Изменение настроек LDAP в серверной версии в облачной версии

Панель управления v3.1 История изменений Панели управления ONLYOFFICE

Version 3.1

Release date: 05/25/2022

General

  • Added the Data Import page that allows to import data from Nextcloud, ownCloud and GoogleWorkspace to ONLYOFFICE Workspace.
  • Moved Elasticsearch to a separate container.
  • Fixed bugs.

Version 3.0

Release date: 06/07/2021

Update

  • License agreement dialog when installing docker components added.
  • The inactive button with an action for uninstalled components (downloading and installing the available version) fixed.

Search

  • Indexing progress display added.

LoginHistory and AuditTrail

  • New empty screens added.

Restore

  • New checks when restoring data from a local or a 3rd party storage.

SSO

  • SSOAuth was removed from Control Panel. It's now available as a portal setting in Community Server.

General improvements and bug fixes

  • Bugs 47721, 49101, 49187, 49273, 49272, 49324, 46386, 49585 from the internal bugtracker fixed.
  • 3rd party licenses and copyright updated.

Version 2.9.1

Release date: 12/10/2020

Bug fixes

  • Bug Fixes & Performance Improvements.

Version 2.9

Release date: 10/14/2020

General

  • Control Panel is available in the free Community version with all settings excepting the editors logo replacement;
  • Added the vsyscall check to the installation scripts when installing Mail Server on Debian with kernel 4.18.0 and later;
  • Redesign of the navigation menu: added Common and Portal settings sections, added icons to menu items;
  • Added the advanced rebranding page in the Common Settings;
  • Added the possibility to reindex the full-text search;
  • Updated node.js, updated packages (transition to samlify for SSO);
  • Added the Encryption at rest block in the Storage section;
  • Added the Private Room section for the server version only;
  • Added the upgrade page with a proposal to upgrade to Enterprise Edition;
  • Added the activate page with a possibility to upload a license file;
  • Added the HideAuthPage option to the SSO settings to hide the authorization page. When the HideAuthPage option is enabled, an automatic redirect from the authorization page to the SSO service will occur.

LDAP

  • Added the Sign in to domain option on the authorization page.

Single Sign-on

  • Transition to the new samlify library;
  • Added the HideAuthPage option to the SSO settings to hide the authorization page. When the HideAuthPage option is enabled, an automatic redirect from the authorization page to the SSO service will occur.

Version 2.7

Release date: 04/25/2019

LDAP

  • Added more fields mapped for the users loaded via LDAP: user photo, birthday, contacts, primary phone number;
  • Added the setting to autosync LDAP on schedule;
  • Added the possibility to give administrator rights to the user group at the portal via LDAP;
  • Updated the rules for LDAP users.

Version 2.5.1

Release date: 04/07/2018

LDAP

  • Fixed the Server internal error error when using the groups enclosed inside each other in the AD (bug #37414).

Single Sign-on

  • Fixed the issue when the user data between the Service Provider and the portal was transferred via HTTP only, even when HTTPS was enabled.

Version 2.4.0

Release date: 01/13/2018

Single Sign-on

  • Fixed the Invalid ssoConfig error which occurred when the link to the IdP contained the question mark '?', e.g.: IdP Single Sign-On Endpoint URL: https://accounts.google.com/o/saml2/idp?idpid=777777;
  • Fixed the Invalid authentication token error which prevented from adding a user to the portal using the AD FS, in case the + or - characters were present when sending the encrypted data.

Version 2.3.0

Release date: 12/15/2017

General

  • Added the changelog for Control Panel and link to it;
  • Fixed the bug when JWT parameters were not sent when updating Document Server(bug #36270);
  • Fixed the bug when Audit Trail heading was present at the login history page (bug #36026);
  • The current machine is now checked for being linked with the domain name for multiple portals.

LDAP

  • Fixed the bug with the LDAP Domain not found error which occurred if the DN record had no DC records (the users with Sun/Oracle DS were affected); now if the LDAP domain could not be specified, the LDAP domain will acquire the unknown value or the ldap.domain value from the web.appsettings.config configuration file;
  • Fixed the bug with the Sizelimit Exceeded error when trying to get more than 1000 users from the Active Directory;
  • Increased the login speed with the Group Membership setting enabled;
  • Added additional logging;
  • Fixed the bug with LDAP operation hanging when using Mono v5.2.0 and older;
  • Fixed the bug with the error when trying to login using the email address entered in the fields different from the Mail Attribute;
  • Fixed the bug occurring in the enclosed groups, when the users were displayed not in all groups.

Version 2.2.0

Release date: 10/31/2017

General

  • Added the documentserver-prepare4shutdown.sh script launch when updating the document-server for the correct edited document saving.

LDAP

  • Dramatically changed LDAP integration, migrated to the single library for the work with LDAP (Novell.Directory.Ldap.NETStandard, Nuget, MIT);
  • Login and email are now split into two separate fields;
  • Added the support for big data;
  • Increased the work speed via the LDAP protocol (the connection to the server and receiving the data is now made once per session, added the limits when only a certain number of results is necessary, fixed the slow login for bit data, removed the sorting out used to find the SID parameter);
  • Fixed the user re-creation issue;
  • Fixed the duplicate username issue;
  • Fixed the already existing email issue;
  • Replaced the LDAP user deletion with account deactivation (for further data migration and data safety);
  • Instead of re-creating a user with an unknown SID but an existing email the data is updated;
  • Added the attempt to save the correct UserName/Login in case a similar one is already taken on the portal.

Single Sign-on

  • Added the AD FS support;
  • Replaced the Single Sign-on link at the authorization page with the customizable button, added the button customization to the SSO setting of the Control Panel.

Version 2.1.0

Release date: 07/03/2017

HTTPS

  • Added the support of letsencrypt service for the domain certificate generation.

Single Sign-on

  • Added the new sso.auth service;
  • Added the new SSO settings page;
  • Added the support for Shibboleth.

Version 2.0.0

Release date: 05/25/2017

General

  • The Control Panel migrated from MVC to Node.js.

Version 1.6.0

Release date: 12/05/2016

LDAP

  • Added LDAP synchronization for users and groups when saving the settings, after login and using the Sync button;
  • Changed email formation for LDAP users;
  • Fixed the problem of creation of users with invalid emails;
  • Fixed the problem of duplicate users;
  • Added icons and hints to the users in the list for the admin;
  • Blocked for editing the user profile fields imported using LDAP;
  • Added the real LDAP password saving to the database during login in case LDAP Auth is disabled, now the LDAP users will become common portal users when LDAP Auth is disabled;
  • Added new API Settings method - Sync LDAP;
  • Added new translations;
  • Bug fixes.

Version for Windows

  • Made changes at the Update page for the Control Panel for Windows;
  • Updates are performed using the downloaded installation packages for each module.
  • The current installed component version numbers are obtained via API request to the Community Server.
  • The new versions available for download are obtained via the request to the https://download.onlyoffice.com/install/windows/updates.txt file, where all the latest component version numbers and links for their download are stored in the JSON format.

Если вы только что развернули ONLYOFFICE Workspace на своем сервереваш тарифный план облачной версии ONLYOFFICE Workspace поддерживает это, то первое, что надо сделать, - это создать учетные записи для всех сотрудников компании. Если она насчитывает более 50 человек, создание новых пользователей портала займет много времени. В Панели управленияНа вашем портале доступна опция Настройки LDAP, которая позволяет буквально за несколько минут импортировать в онлайн-офис нужных пользователей и группы с сервера LDAP (например, OpenLDAP Server или Microsoft Active Directory). В свою очередь, новым пользователям не придется запоминать новые логины и пароли, поскольку они смогут заходить на портал под своими учетными данными, сохраненными на сервере LDAP.

Чтобы открыть Панель управления, войдите на портал и нажмите на ссылку 'Панель управления' на Стартовой странице. Можно также перейти в 'Настройки' портала и нажать на ссылку 'Панель управления' на левой боковой панели.Перейдите в Настройки портала и нажмите ссылку 'Настройки LDAP' в разделе Интеграция.

Импорт пользователей и групп

Перед началом импорта Если вы подключаетесь к базе данных Active Directory, которая содержит более 1000 пользователей, вам потребуется увеличить лимит AD MaxPageSize = 1000 с помощью утилиты ntdsutil. Подробные инструкции о том, как это можно сделать, доступны здесь.
  1. В Панели управления откройте страницу LDAP в разделе НАСТРОЙКИ ПОРТАЛАВ Настройках портала откройте страницу Настройки LDAP в разделе Интеграция на левой боковой панели.
  2. Нажмите на переключатель Включить аутентификацию LDAP (если вы меняете настройки повторно, используйте ссылку Показать рядом с заголовком Настройки LDAP, чтобы отобразить форму для ввода параметров).
  3. Установите флажок Включить StartTLSStartTLS, если вы хотите обеспечить безопасное соединение с помощью технологии StartTLS (в этом случае используется стандартный порт 389). Установите флажок Включить SSL, если хотите использовать протокол SSL (в этом случае номер порта автоматически изменится на 636).
  4. Заполните поля, необходимые для импорта пользователей (обязательные поля помечены звездочкой):
    Настройки LDAP - пользователи Настройки LDAP - пользователи
    Настройки LDAP - пользователи Настройки LDAP - пользователи
    Внимание Обратите внимание, что в случае, если вы уже импортировали каких-то пользователей и меняете настройки (например, Сервер, Фильтр пользователей, DN каталога пользователей, Фильтр групп, DN каталога групп), существующие пользователи и все их данные, включая документы, сообщение электронной почты, другие, отсеянные новыми настройками, будут ОТКЛЮЧЕНЫ. Мы настоятельно рекомендуем сделать резервное копирование данных, прежде чем вы измените какие-либо настройки.
    • в поле Сервер введите URL-адрес сервера LDAP в формате protocol://host, например, LDAP://example.com для обычного соединения с сервером LDAP или LDAPS://example.com для безопасного соединения с сервером LDAP по протоколу SSL. Вместо доменного имени можно также указать IP-адрес сервера: LDAP://192.168.3.202,
    • укажите Номер порта, используемый для соединения с сервером LDAP. Для обычного соединения с сервером LDAP по умолчанию используется порт 389. Если вы включили опцию StartTLS, также используется стандартный порт 389. Если включена опция SSL, номер порта автоматически изменяется на 636.
    • в поле DN каталога пользователей (англ. User Distinguished Name) укажите абсолютный путь к каталогу верхнего уровня, содержащему пользователей, которых требуется импортировать. Этот параметр определяет узел, с которого начинается поиск. Можно указать корневой каталог, например, dc=example,dc=com, чтобы осуществлять поиск пользователей по всему каталогу, или задать определенную область поиска, например, ou=groupname,dc=example,dc=com, чтобы осуществлять поиск пользователей внутри указанной группы.
    • укажите Атрибут логина (атрибут в записи пользователя, соответствующий логину, который пользователи сервера LDAP будут использовать для входа в ONLYOFFICE);
      Пожалуйста, обратите внимание: настройки по умолчанию указаны для Active Directory. Для OpenLDAP Server необходимо изменить следующие настройки:
      • Фильтр пользователей - (uid=*)
      • Атрибут логина - uid
    • заполните поле Фильтр пользователей, если необходимо импортировать пользователей, соответствующих указанным критериям поиска. Значение фильтра, заданное по умолчанию (uid=*), позволяет импортировать всех пользователей.
      Примеры синтаксиса фильтра поиска можно посмотреть здесь.
    • укажите Атрибут логина (атрибут в записи пользователя, соответствующий логину, который пользователи сервера LDAP будут использовать для входа в ONLYOFFICE).
      Пожалуйста, обратите внимание: настройки по умолчанию указаны для OpenLDAP Server. Для Active Directory необходимо изменить следующие настройки:
      • Фильтр пользователей - (userPrincipalName=*)
      • Атрибут логина - sAMAccountName
  5. В разделе Сопоставление атрибутов можно установить соответствие между полями с данными пользователя на портале и атрибутами в записи пользователя на сервере LDAP. Нажмите кнопку Добавить атрибут, выберите из списка нужное поле данных и укажите атрибут пользователя, используемый на вашем сервере LDAP. Значения следующих параметров заданы по умолчанию, но в случае необходимости их можно изменить:
    Настройки LDAP - Сопоставление атрибутов Настройки LDAP - Сопоставление атрибутов
    Настройки LDAP - Сопоставление атрибутов Настройки LDAP - Сопоставление атрибутов
    • Имя (атрибут в записи пользователя, соответствующий имени пользователя)
    • Фамилия (атрибут в записи пользователя, соответствующий фамилии пользователя)
    • Почта (атрибут в записи пользователя, соответствующий адресу электронной почты пользователя)
    • Должность (атрибут в записи пользователя, соответствующий должности пользователя)
    • Основной мобильный телефон (атрибут в записи пользователя, соответствующий номеру мобильного телефона пользователя)
    • Местоположение (атрибут в записи пользователя, соответствующий местоположению пользователя)

    Вы также можете добавить следующие атрибуты: Дополнительная почта, Дополнительный мобильный телефон, Дополнительный телефон, Дата рождения, Фото профиля, Пол, Skype.Дата рождения, Пол, Фото профиля, Дополнительный телефонДополнительный мобильный телефонДополнительная почта, Skype.

  6. Нажмите на переключатель Принадлежность к группе, если вы хотите добавить на портал группы с сервера LDAP, и заполните нужные поля:
    Пожалуйста, обратите внимание: если вы решите добавить группы, будут добавлены только те пользователи, которые состоят хотя бы в одной группе.
    Настройки LDAP - группы Настройки LDAP - группы
    Настройки LDAP - группы Настройки LDAP - группы
    Внимание Обратите внимание, что в случае, если вы уже импортировали каких-то пользователей и меняете настройки (например, Сервер, Фильтр пользователей, DN каталога пользователей, Фильтр групп, DN каталога групп), существующие пользователи и все их данные, включая документы, сообщение электронной почты, другие, отсеянные новыми настройками, будут ОТКЛЮЧЕНЫ. Мы настоятельно рекомендуем сделать резервное копирование данных, прежде чем вы измените какие-либо настройки.
    • в поле DN каталога групп (англ. Group Distinguished Name) укажите абсолютный путь к каталогу верхнего уровня, содержащему группы, которые требуется импортировать, например, ou=Groups,dc=example,dc=com.
    • заполните поле Фильтр групп, если необходимо импортировать группы, соответствующие указанным критериям поиска. Значение фильтра, заданное по умолчанию (objectClass=posixGroup), позволяет импортировать все группы.
    • значения следующих параметров заданы по умолчанию, но в случае необходимости их можно изменить:
      • Атрибут пользователя (атрибут, который определяет, состоит ли этот пользователь в группах)
      • Атрибут названия группы (атрибут, который соответствует названию группы, в которой состоит пользователь)
      • Атрибут группы (атрибут, который указывает, какие пользователи состоят в этой группе)
      Пожалуйста, обратите внимание: настройки по умолчанию указаны для OpenLDAP Server. Для Active Directory необходимо изменить следующие настройки:
      • Фильтр групп - (objectClass=group)
      • Атрибут пользователя - distinguishedName
      • Атрибут группы - member
    • в поле DN каталога групп (англ. Group Distinguished Name) укажите абсолютный путь к каталогу верхнего уровня, содержащему группы, которые требуется импортировать, например, ou=Groups,dc=example,dc=com.
    • Атрибут пользователя (атрибут, который определяет, состоит ли этот пользователь в группах);
    • заполните поле Фильтр групп, если необходимо импортировать группы, соответствующие указанным критериям поиска. Значение фильтра, заданное по умолчанию (objectClass=group), позволяет импортировать все группы;
    • значения следующих параметров заданы по умолчанию, но в случае необходимости их можно изменить:
      • Атрибут названия группы (атрибут, который соответствует названию группы, в которой состоит пользователь)
      • Атрибут группы (атрибут, который указывает, какие пользователи состоят в этой группе)
      Пожалуйста, обратите внимание: настройки по умолчанию указаны для Active Directory. Для OpenLDAP Server необходимо изменить следующие настройки:
      • Фильтр групп - (objectClass=posixGroup)
      • Атрибут пользователя - uid
      • Атрибут группы - memberUid
  7. Задайте Настройки прав администратора: нажмите на соответствующую кнопку, выберите полный доступ и укажите группу, которая должна иметь права администраторов с полным доступом. Выберите из списка какой-либо модуль портала и укажите группу, у которой должны быть права администратора в выбранном модуле.
  8. Включите переключатель Аутентификация пользователей, если у текущего пользователя Windows нет прав на чтение из LDAP server/Active Directory. В полях Логин и Пароль введите учетные данные пользователя, у которого есть права на чтение данных с сервера LDAP (по умолчанию используются логин и пароль текущей сессии Windows).
  9. Отметьте опцию Отправить пригласительное письмо в разделе Дополнительные параметры, если вы хотите отправить приглашения по электронной почте всем новым пользователям. Пригласительное письмо содержит кнопку для перехода на страницу логина и активации адреса электронной почты. Эта возможность доступна только если настроено сопоставление атрибута почты.
  10. Нажмите кнопку СОХРАНИТЬ.
  11. В открывшемся окне 'Подтверждение импорта' нажмите кнопку OK, чтобы начать импорт пользователей.

Импорт займет некоторое время в зависимости от количества пользователей, групп, технических характеристик компьютера и т.д.

Пожалуйста, обратите внимание: адрес электронной почты пользователя портала будет взят из настройки Атрибут почты. Если он отсутствует, то он будет формироваться следующим образом: Атрибут логина + @ + Домен LDAP.
  • Если на портале есть ранее созданный пользователь с таким адресом электронной почты, этот пользователь автоматически будет синхронизирован с LDAP-пользователем.
  • Если такой адрес электронной почты не существует, пользователь не будет получать никаких оповещений с портала.

Начиная с версии Сервера совместной работы v. 10.0SaaS v. 11.5, есть следующие особенности:

  • владелец портала не затрагивается изменениями прав доступа через LDAP;
  • при исключении из фильтра пользователей или групп владелец портала перестает быть LDAP-пользователем, но всегда остается активным;
  • при выключении LDAP все выданные через LDAP права доступа отбираются у пользователей;
    • если пользователь, выключивший LDAP, должен был лишиться прав, права остаются, но пользователь получает уведомление о попытке снять с себя права;
  • при исключении себя из фильтра пользователей/групп, пользователь остается активным и получает уведомление о том, что LDAP-пароль недействителен и пользователю нужно сменить пароль в настройках профиля;
  • при попытке снять с себя права (и через раздел прав, и при исключении себя из фильтра), пользователь сохраняет права и получает уведомление о попытке снять с себя права.

Аутентификация LDAP-пользователей

Каждый импортированный пользователь сможет заходить на портал, используя логин, формируемый по следующим схемам:

  • Атрибут логина, например Andrew.Stone
  • Атрибут логина + @ + Домен LDAP, например Andrew.Stone@example.com
  • Домен LDAP + \ + Атрибут логина (поддерживаются неполные имена доменов), например example\Andrew.Stone

На странице авторизации доступна опция Войти в домен для передачи пароля в явном виде. Пользователи портала не из домена могут отключить эту настройку. В таком случае пароль будет передаваться в хешированном виде.

Аутентификация LDAP-пользователей Аутентификация LDAP-пользователей

Профили импортированных пользователей в модуле Люди будут отмечены значком LDAP для администратора портала. Поля профиля пользователя, импортированные по LDAP, заблокированы для редактирования.

Синхронизация данных LDAP

Если вы измените данные на сервере LDAP (например, добавите новых пользователей или группы, переименуете существующие группы или отредактируете какую-то информацию в записи пользователя), данные на портале можно легко синхронизировать с новой информацией с LDAP-сервера.

Чтобы настроить параметры синхронизации, включите переключатель Автоматическая синхронизация и задайте нужное время выполнения автоматической синхронизации: данные можно синхронизировать каждый час в указанные минуты, каждый день в указанное время, а также каждую неделю или месяц в указанный день и время. Нажмите кнопку Сохранить, чтобы применить настройки. Также можно синхронизировать данные вручную, нажав кнопку СИНХРОНИЗИРОВАТЬСинхронизировать пользователей внизу страницы LDAP. Можно также использовать кнопку СОХРАНИТЬ внизу раздела Настройки LDAP.

Информация об отдельном пользователе также будет синхронизирована после того, как этот пользователь войдет на портал.

How to import users from Active Directory to ONLYOFFICE
Закрыть
Скачать Разместите на собственном сервере Доступно для
Docker, Windows и Linux
Вас также может заинтересовать:
Закрыть