活动目录链接

活动目录链接概述

通过提供活动目录链接，内部 CAMServer 企业版可轻松进行身份验证。可以实现以下功能

• 网络应用程序版本Active Directory 身份验证 ID 最初会在登录身份验证时显示。
• 在 ID 身份验证中，可以使用无密码身份验证和操作系统密码进行身份验证。
• CAMServer 使用 Active Directory 的 LDAP 协议来确定身份验证是否成功。

活动目录 ID 链接

启用 Active Directory ID 集成后，如果用户有 Active Directory 身份验证，登录 ID 将自动设置。

登录 ID 可以通过以下方式自动设置 网络应用程序版本 只有

认证方法

在保存此设置之前，请务必先完成 LDAP 设置并执行“测试 LDAP 设置”。

启用Active Directory ID联动后，您可以选择“无密码身份验证”或“操作系统密码身份验证”。

*如果要加强认证，请选择“操作系统密码认证”。

无密码身份验证

AD登录时可以获得的信息经过加密并用作身份验证令牌，允许服务无需密码即可登录。在启用此设置之前，您需要设置“用于代理身份验证的 AD 用户”和“测试 LDAP 设置”。

使用 IIS 集成 Windows 身份验证的 SSO 在安全性方面具有优势。

中点如果激活此设置，则只能访问网络应用程序版本。
- 如果设置错误，任何人都无法登录，但您可以通过在 CAMServer/cam.ini 文件中设置 cam.disableADPasswordless=true 并启动 CAMServer 来禁用“无密码身份验证”设置。禁用并启动后，请检查各种设置，并确保在启用“无密码验证”之前执行“测试 LDAP 设置”。启用后，删除cam.ini文件中的cam.disableADPasswordless并重新启动CAMServer。

操作系统密码验证

使用操作系统密码执行用户身份验证。注册新用户时，请设置临时密码并注册。使用以下流程进行身份验证。

1. 如果“操作系统密码认证”成功，则认证成功，C&M 上注册的密码也会被覆盖。
2. 如果“操作系统密码验证”失败，请使用C&M注册时使用的密码进行验证。

配置 LDAP

LDAPUrl

这是使用 ldap 搜索 Active Directory 服务器的 URL。根据需要在 LDAPUrl 中指定地址和端口。如果为空 ldap://localhost:389 使用 访问它。 389 端口是 ldap 的默认端口。

LDAPBaseDN

LDAPBaseDN 是一个值，指示将在 LDAP 服务器的对象树上的哪个位置执行用户搜索。

ブランクの場合、ユーザIDからドメインを参照し、CN=Users を検索対象とします。変更する場合は改行を入れ複数入力が可能です。また、ブランク以外に設定した場合でもデフォルトの「CN=Users, DC=yourdomain, DC=com」は自動で検索対象となります。

例えば、user1@camtest.com と言うユーザを検索する場合の LDAPBaseDN は「CN=Users, DC=camtest, DC=com」となり、これはデフォルトで検索対象のため、LDAPBaseDN を指定する必要はありません。

Users 以外の組織単位（OU）を作成しそこにユーザを追加した場合で検索対象とする場合は LDAPBaseDN を指定します。例えば下図では、Users 以外に営業部、経理部の組織単位（OU）を検索対象とする設定です。

测试 AD 用户和 LDAP 设置以进行委派身份验证

使用 IIS 执行单点登录或无密码身份验证时，设置 AD 用户以执行代理身份验证并执行“测试 LDAP 设置”。

在上述认证过程中，执行代理认证的AD用户会通过内部LDAP搜索来验证自己是否是合法的AD用户。

Active Directory 同步设置

启用 Active Directory 同步设置后，将在指定时间从 Active Directory 检索信息，并更新 Chat&Messenger 中的用户信息。

待更新信息如下。

• 用户名...AD displayName 属性
• 组名...AD部门属性
• 电子邮件・・・AD电子邮件属性

常见问题

我可以创建一个不存在于 Active Directory 中的用户吗？

如果您未选择“无密码”作为身份验证方法，则即使 Active Directory 中不存在该用户，您也可以在 Chat&Messenger 用户管理屏幕上创建帐户并登录。

我可以与 Active Directory 同步以自动添加用户吗？

目前，Chat&Messenger 不会根据 Active Directory 用户自动添加或删除用户。因此，即使启用了Active Directory链接，管理员也必须使用管理屏幕上的用户注册屏幕或上传CSV来创建Chat&Messenger用户。

*CSV 上传仅添加/更改 Chat&Messenger 用户，不会删除他们。如需删除项目，请在管理画面中将其一一删除。

我想要获取 Active Directory 用户列表并创建 CSV。

您可以使用 PowerShell 的 Get-ADUser 获取 Active Directory 用户列表。此列表中的 用户主体名称 请使用 Chat&Messenger 上的用户 ID（工作电子邮件地址）创建 CSV 文件。

> Get-ADUser -Filter {objectClass -eq "user"} -Properties info

DistinguishedName : CN=user1,CN=Users,DC=***,DC=com
GivenName         : ユーザ１
Name              : user1
ObjectClass       : user
ObjectGUID        : bf84cdab-2c21-44cf-aaca-afe493d97f2a
SamAccountName    : user1
SID               : S-1-5-21-3698402442-2374923176-*****-1104
Surname           : ユーザ１
UserPrincipalName : user1@***.com

DistinguishedName : CN=user2,CN=Users,DC=***,DC=com
GivenName         : user2
Name              : user2
ObjectClass       : user
ObjectGUID        : 482450a4-482a-40ac-b89b-434605f45571
SamAccountName    : user2
SID               : S-1-5-21-3698402442-2374923176-*****-1105
Surname           : テスト
UserPrincipalName : user2@***.com

# AD users のリストを CSVで出力
> $users = Get-ADUser -Filter {objectClass -eq "user"} -Properties UserPrincipalName, GivenName
> $selectedUsers = $users | Select-Object UserPrincipalName, GivenName
> $selectedUsers | Export-Csv -Path "C:\path\to\output\users.csv" -NoTypeInformation