配置 LDAP 同步

Parent page: 高级主题

为简化连接并访问公司网络的流程，Enterprise Server 通过其浏览器界面提供目录服务支持。

这提供了基于 Lightweight Directory Access Protocol（LDAP）的域用户同步，它会查询网络的中央 LDAP 服务器，以获取域用户的用户组与角色成员关系信息。通过这种方式，使用既有目录服务来对域用户进行身份验证，有望实现一次登录即可访问包括 Enterprise Server 在内的所有公司系统。

Enterprise Server 的 LDAP 同步会按用户角色为基础查询网络服务，并收集角色成员关系信息，用于 Enterprise Server 用户访问授权。通过 LDAP 服务轮询域成员关系（同步），系统能够在一个同步周期内响应域用户配置的变更。

LDAP 同步

LDAP 同步允许 Enterprise Server Workspace 的管理员利用网络域中现有的用户名和密码凭据，这样就无需在 Workspace 浏览器界面的 Users 页面上逐个手动创建用户凭据。正确设置后，Users 页面将自动填充用户凭据，使列表中的任何用户都能使用其常规的公司网络用户名和密码访问该 Workspace。

本文详细介绍一种已在域上成功用于设置 LDAP 同步的成熟方法。在你自己的域上设置 LDAP 同步时，可尝试采用该方法。

我需要什么？

• 对 Workspace 的管理访问权限。
• 可选项：一个非常有帮助的工具是名为 LDAP Admin 的应用程序（从 https://sourceforge.net/projects/ldapadmin/ 下载 LdapAdminExe-<version>.zip）

获取 LDAP 搜索字符串（Distinguished Name）

通过 Workspace 的浏览器界面配置 LDAP 同步任务时，你需要提供 LDAP 的 Distinguished Name（DN）。它以字符串格式输入，用于标识 LDAP 搜索的基对象。为获取该字符串，我们将使用 LDAP Admin 工具，因此请先确保已下载 zip 文件，并解压其中的 LdapAdmin 可执行文件。

下载并解压 LdapAdmin.exe 文件。

以管理员身份运行 LdapAdmin.exe 可执行文件（右键单击并选择 Run as administrator）。

当 LDAP Admin 面板打开后，选择 Start » Connect 以访问 Connections 对话框，然后双击 New connection 以访问 Connection properties 对话框。

在 LDAP Admin 工具中创建新连接。

在 Connection properties 对话框的 General 选项卡中，根据你的域配置连接信息，例如：

• Connection name：用于连接图标的任意名称。
• Host：testsite.com
• Port：389

• Base：DC=testsite, DC=com
• 启用 GSS-API 选项。

• Account：保持 Use current user credentials 选项启用即可。

使用标准 LDAP 时的连接配置示例。如果使用 LDAPS（LDAP over SSL），将端口改为 636，并启用 SSL 选项。

连接属性配置完成后，点击 Test connection 按钮。如果一切设置正确，你应会看到 Connection is successful 消息。点击 OK 完成创建新连接。

现在需要确定用于定位 LDAP 搜索基对象的字符串。操作如下：

1. 选择你新创建的连接，并在 Connections 对话框中点击 OK——将显示你的网络域以及用户组层级结构。
2. 展开相关文件夹路径，直到到达包含所需用户的文件夹。
3. 右键单击该文件夹，并从上下文菜单中选择 Search 命令。这将打开 Search 面板。你需要的关键信息是 Path 字段中已填充的字符串。从左到右读取，该字符串表示在域结构中从下往上到达此用户文件夹的路径。以我们的示例为例，假设有一个特定用户文件夹——Engineers——它是父文件夹——Users——的子级。在这种情况下，我们的字符串为： OU=Engineers,OU=Users,DC=testsite,DC=com。
4. 将该字符串复制并粘贴到文本文件中，以便在后续配置过程中使用；或者也可以直接保持 Search 面板处于可访问状态。

到此为止，后续步骤不再需要 LDAP Admin 工具。

配置 Workspace 使用 LDAP 同步

现在通过浏览器界面以管理员身份登录目标 Workspace。如果你打算从 LDAP 自动创建用户凭据，那么你可能希望删除任何现有的手动创建用户。因此，理想情况下只保留默认的管理用户——admin（位于界面的 Admin - Users 页面）。

示例目标 Workspace，仅包含默认管理用户 admin。

如果你希望 LDAP 同步中的用户与特定角色关联，可以切换到 Roles 页面并按需创建新角色（例如 Electrical Designers、Mechanical Designers、PCB Specialists 等），并保持该角色不包含任何用户。此处示例使用安装示例数据时自带的默认角色，名为 Engineers。

现在切换到 LDAP Sync 页面，点击 按钮（或本例中的 Create a new one 链接）以打开 LDAP Sync Creation 窗口。

通过 Workspace 的浏览器界面添加新的 LDAP 同步任务。

填写以下信息（基于上一节使用的示例域结构）：

常规

• Target Role：Engineers

• Distinguished Name：OU=Engineers,OU=Users,DC=testsite,DC=com

  这是上一节使用 LDAP Admin 工具时，从 Search 面板的 Path 字段获取的字符串。

• Url：LDAP://testsite.com:389

  如果配置为 LDAPS（LDAP over SSL），则本例中的 Url 将为：LDAPS://testsite.com:636。

• Scope：sub

• Attributes：sAMAccountName

• Filter：将此字段留空，以获取域上（由 DN 字段确定的）指定组中的所有用户。如果域结构中指定区域还包含进一步的用户分组，你可以在此处使用合适的过滤字符串来仅提取其中一部分用户。

  例如，假设在 Engineers 组下还有一组被赋予管理权限的用户（CN=Administrators）。若要仅定位这组用户，而不是 Engineers 下的所有用户（位于域结构的 OU=Engineers 区域），则可以编写一个查询字符串来定位到域结构中的该位置：

  (&(objectClass=user)(memberof=CN=Administrators,OU=Engineers,OU=Users,DC=testsite,DC=com))

  虽然 Filter 字段可以留空，从而返回由 DN 字段定义路径上的所有用户，但这可能非常危险。该路径可能指向域结构中包含大量用户的区域，并可能因 Enterprise Server 与 Active Directory 负载过高而导致整个组织被“卡死”。更好的做法是使用专门的过滤条件，定位一个或多个特定用户集合。

属性映射

• First Name：givenName
• Last Name：sn
• Email：mail
• User Name：sAMAccountName
• Overwrite existing users——启用后，只要用户名完全匹配，LDAP 同步将用同步查询返回的用户覆盖手动创建的用户。

身份验证

• User Name：domain\<your username>（例如 testsite\jason.howie）
• Password：<your password>
• User authentication type：Windows
• Domain：testsite.com

使用标准 LDAP 时，已配置所有必需信息的 LDAP 同步任务示例。如果使用 LDAPS（LDAP over SSL），则 Url 条目将更改为 LDAPS://testsite.com:636。

完成所有设置输入后，点击 。这将启动同步过程；在处理你刚输入的信息时，可能需要一两分钟。

现在访问 Users 页面。该列表现在应会根据 OU=<GroupName> 设置填充所有用户（见下方示例图）。现在任何人都可以使用其常规 Windows 登录访问该 Workspace。

通过 LDAP 同步为 Workspace 填充用户的示例。