同步LDAP组织

本教程指导悦库网盘专业版用户配置LDAP登录,以及从LDAP服务器上同步组织和账号到悦库中。

准备

• 悦库企业网盘7.1.7专业版及以上版本支持此功能。

• LDAP服务器连接信息，包括服务器地址、Search DN、访问密码和Base DN 。

LDAP配置

使用系统管理员账号登录，打开 运维管理 -> 基础设置 -> 第三方组织 -> LDAP 页面，填写LDAP配置信息，然后点击 检查有效性 按钮。

LDAP配置完成后，根据需要开启 LDAP登录和组织同步功能。

使用LDAP账号登录

LDAP配置完成后，如果开启了LDAP登录功能会在登录页面显示LDAP登录图标，点击图标使用LDAP账号密码登录。

LDAP组织同步

LDAP组织同步功能开启后，可以支持定期或手动将LDAP服务器中的组织和用户同步到悦库企业网盘中。

组织同步主要是根据LDAP组织节点生成悦库组织节点并建立关联的过程，但在LDAP服务器上删除组织节点时，为了数据安全不会删除其关联的悦库组织节点，只会解除关联。

同步账号的概要流程：

LDAP同步组织(单位和部门)的概要流程：

如何填写AD域配置

LDAP配置信息包括以下四项：

序号	配置名称	描述
1	服务器地址	LDAP服务器地址
2	Search DN	具有组织查看权限的账户DN
3	Search Password	具有组织查看权限的账户密码
4	Base DN	需要同步的组织的DN

如果使用Windows AD域做LDAP同步，先到AD域所在的服务器上，打开 Windows Powershell 命令行窗口，然后按照以下流程获取配置信息。

1. 查询 服务器地址

   Import-Module ActiveDirectory -ErrorAction Stop; `
   Get-ADDomainController -Filter * | `
   % { $h=$_.HostName; $targets=@($h); `
   $ips=(Resolve-DnsName $h -Type A -EA SilentlyContinue | Select -Expand IPAddress); `
   if($ips){ $targets+=$ips }; `
   $targets | % { if(Test-NetConnection -ComputerName $_ -Port 389 -InformationLevel Quiet -WarningAction SilentlyContinue){"ldap://$($_):389"} } } | `
   Sort-Object -Unique

   命令返回示例如下：

   ldap://192.168.0.100:389
   ldap://192.168.255.100:389
   ldap://192.168.68.1:389
   ldap://WIN-GM2KF1SAEI0.ydisk.cn:389

   在实际返回的URL列表中，有一些可能是虚拟网卡IP或本机域名，这种URL可能无效，因此请选择正确的局域网网段URL，在示例中正确的URL是 ldap://192.168.0.100:389。

   如果LDAP服务器已开启SSL，则URL中的端口应修改为 636 。

2. 查询 Search DN

   使用一个在AD域中具有组织查看权限的LDAP账户，以便同步LDAP时搜索 Base DN 下的组织及用户，以Administrator账号为例，查询其 Search DN 的命令为：

   #实际操作时，下面命令的"Administrator"替换为你的实际账号名称
   Get-ADUser -Identity "Administrator" | Select-Object DistinguishedName

   命令返回示例如下：

   DistinguishedName
   -----------------
   CN=Administrator,CN=Users,DC=ydisk,DC=cn

   其中的 CN=Administrator,CN=Users,DC=ydisk,DC=cn就是 Search DN。

3. 查询 Search Password

   Search Password就是 Search DN 对应LDAP账号的登录密码。

4. 查询 Base DN

   Base DN是需同步的顶级组织的DN。

   例如需要同步的顶级组织名称为组织A，则可以使用下面命令查询其 Base DN ：

   #实际操作时，下面命令的"组织A"替换为你的实际组织名称
   Import-Module ActiveDirectory
   Get-ADOrganizationalUnit -Filter "Name -like '*组织A*'" | Select-Object DistinguishedName

   命令返回示例如下：

   DistinguishedName
   -----------------
   OU=组织A,DC=ydisk,DC=cn

   其中的 OU=组织A,DC=ydisk,DC=cn就是 Base DN 。

清除所有LDAP组织关联

如果需要更换LDAP服务器，需要先在悦库服务器中清除现有所有组织的LDAP关联，然后才能从其他LDAP服务器中同步组织。

在确保悦库服务端正常运行的情况下进行操作：

Windows

打开悦库服务端的安装路径，例如：C:\Program Files (x86)\ydiskserver ，进入bin目录，找到 clearorgrelation.bat文件，双击运行即可。

Linux

执行命令：

#进入ydisk-db容器
sudo docker exec -it ydisk-db /bin/bash
#清理ldap关联关系
mysql -uroot -p666666 -P2021 -Dydisk --default-character-set=utf8 -e "DELETE FROM ydisk_org_relation WHERE remote='ldap';"
#退出容器
exit