配置 LDAP 同步

为简化连接并访问公司网络的流程，Enterprise Server 通过其浏览器界面提供对目录服务的支持。

这提供了基于 Lightweight Directory Access Protocol（LDAP）的域用户同步，它会查询网络的中央 LDAP 服务器，以获取域用户的组与角色成员关系信息。通过这种方式使用既有目录服务来对域用户进行身份验证，有望实现一次登录即可访问所有公司系统（包括 Enterprise Server）。

Enterprise Server 的 LDAP 同步会按用户角色对网络服务进行查询，并收集角色成员关系信息，用于 Enterprise Server 用户访问授权。通过 LDAP 服务轮询域成员关系（同步），系统可以在一个同步周期内响应域用户配置的变更。

LDAP 同步

LDAP 同步允许 Enterprise Server Workspace 的管理员利用网络域中现有的用户名与密码凭据，这样就无需在 Workspace 浏览器界面的 Users 页面上手动逐个创建用户凭据。正确设置后，Users 页面将自动填充用户凭据，使列表中的任何用户都能使用其常规的公司网络用户名与密码访问 Workspace。

本文详细介绍了一种已验证的方法，该方法已成功用于在域上设置 LDAP 同步。在你自己的域上设置 LDAP 同步时，可尝试采用此方法。

我需要什么？

• 对 Workspace 的管理访问权限。
• 可选项：一个非常有用的工具是名为 LDAP Admin 的应用程序（从 https://sourceforge.net/projects/ldapadmin/ 下载 LdapAdminExe-<version>.zip）

获取 LDAP 搜索字符串（Distinguished Name）

通过 Workspace 的浏览器界面配置 LDAP 同步任务时，你需要提供 LDAP Distinguished Name（DN）。它以字符串格式输入，用于标识 LDAP 搜索的基对象。为获取该字符串，我们将使用 LDAP Admin 工具，因此请先确保已下载 zip 文件，并解压其中的 LdapAdmin 可执行文件。

下载并解压 LdapAdmin.exe 文件。

以管理员身份运行 LdapAdmin.exe 可执行文件（右键单击并选择 Run as administrator）。

当 LDAP Admin 面板打开后，选择 Start » Connect 以访问 Connections 对话框，然后双击 New connection 以访问 Connection properties 对话框。

在 LDAP Admin 工具中创建新连接。

在 Connection properties 对话框的 General 选项卡中，根据你的域配置连接信息，例如：

• Connection name：连接图标使用的任意名称。
• Host：testsite.com
• Port：389

• Base：DC=testsite, DC=com
• 启用 GSS-API 选项。

• Account：保持 Use current user credentials 选项启用即可。

使用标准 LDAP 时的连接配置示例。如果使用 LDAPS（LDAP over SSL），将端口改为 636，并启用 SSL 选项。

连接属性配置完成后，按下 Test connection 按钮。如果一切设置正确，你应会看到 Connection is successful 消息。点击 OK 完成新连接的创建。

现在需要识别用于定位 LDAP 搜索基对象的字符串。操作如下：

1. 选择你新建的连接，并在 Connections 对话框中点击 OK——将显示你的网络域及用户组层级结构。
2. 展开相关文件夹路径，直到到达包含所需用户的文件夹。
3. 右键单击该文件夹，并从上下文菜单中选择 Search 命令。这将打开 Search 面板。你要找的关键信息是 Path 字段中已填充的字符串。从左到右读取，该字符串表示在域结构中从下往上到达此用户文件夹的路径。以我们的示例为例，假设有一个特定用户文件夹——Engineers——它是父文件夹——Users——的子级。此时字符串为： OU=Engineers,OU=Users,DC=testsite,DC=com。
4. 将该字符串复制并粘贴到文本文件中以便后续配置使用，或也可以选择让 Search 面板保持可访问状态。

到此为止，后续步骤不再需要 LDAP Admin 工具。

配置 Workspace 使用 LDAP 同步

现在通过浏览器界面以管理员身份登录目标 Workspace。如果你打算从 LDAP 自动创建用户凭据，那么你可能需要删除任何现有的手动创建用户。因此理想情况下，只保留默认的管理用户——admin（位于界面的 Admin - Users 页面）。

示例目标 Workspace，仅包含默认管理用户 admin。

如果你希望 LDAP 同步导入的用户关联到某个特定组，可以切换到 Groups 页面并按需创建新组（例如 Electrical Designers、Mechanical Designers、PCB Specialists 等），并保持该组为空（不添加用户）。此处示例使用的是安装示例数据时自带的默认组，名为 Engineers。

现在切换到 LDAP Sync 页面，点击 按钮（或本例中的 Create a new one 链接）以打开 LDAP Sync Creation 窗口。

通过 Workspace 的浏览器界面添加新的 LDAP 同步任务。

填写以下信息（基于上一节使用的示例域结构）：

常规

• Target Role：Engineers

• Distinguished Name：OU=Engineers,OU=Users,DC=testsite,DC=com

  这是上一节使用 LDAP Admin 工具时，在 Search 面板的 Path 字段中获取的字符串。

• Url：LDAP://testsite.com:389

  如果配置为 LDAPS（LDAP over SSL），则本例中的 Url 应为：LDAPS://testsite.com:636。

• Scope：sub

• Attributes：sAMAccountName

• Filter：将此字段留空，以获取域中（由 DN 字段确定的）指定组内的所有用户。如果域结构中该指定区域还包含进一步的用户分组，你可以在此处使用合适的过滤字符串，仅提取其中一部分用户。

  例如，假设在 Engineers 组下还有一组被赋予管理权限的用户（CN=Administrators）。若要仅定位这组用户，而不是 Engineers（位于域结构的 OU=Engineers 区域下）中的所有用户，则可以编写一个查询字符串来定位域结构中的该节点：

  (&(objectClass=user)(memberof=CN=Administrators,OU=Engineers,OU=Users,DC=testsite,DC=com))

  虽然 Filter 字段可以留空，从而返回由 DN 字段定义路径上的所有用户，但这可能非常危险。该路径可能指向域结构中包含大量用户的区域，并可能因 Enterprise Server 与 Active Directory 负载过高而导致整个组织被“卡死”。更好的做法是使用专用过滤来定位一个或多个特定用户集合。

属性映射

• First Name：givenName
• Last Name：sn
• Email：mail
• User Name：sAMAccountName
• Overwrite existing users——启用后，只要用户名完全匹配，LDAP 同步将用同步查询返回的用户覆盖手动创建的用户。

身份验证

• User Name：domain\<your username>（例如 testsite\jason.howie）
• Password：<your password>
• User authentication type：Windows
• Domain：testsite.com

使用标准 LDAP 时，包含所有必需信息的 LDAP 同步任务配置示例。如果使用 LDAPS（LDAP over SSL），则 Url 条目应更改为 LDAPS://testsite.com:636。

完成所有设置输入后，点击 。这将启动同步过程；在处理你刚输入的信息时，可能需要一两分钟。

现在访问 Users 页面。该列表现在应会按 OU=<GroupName> 设置填充所有用户（见下方示例图）。此后，任何人都可以使用其常规 Windows 登录访问 Workspace。

通过 LDAP 同步为 Workspace 填充用户的示例。