活动目录链接

活动目录链接概述

通过提供活动目录链接，内部 CAMServer 企业版可轻松进行身份验证。可以实现以下功能

• 网络应用程序版本Active Directory 身份验证 ID 最初会在登录身份验证时显示。
• 在 ID 身份验证中，可以使用无密码身份验证和操作系统密码进行身份验证。
• CAMServer 使用 Active Directory 的 LDAP 协议来确定身份验证是否成功。

活动目录 ID 链接

启用 Active Directory ID 集成后，如果用户有 Active Directory 身份验证，登录 ID 将自动设置。

登录 ID 可以通过以下方式自动设置 网络应用程序版本 只有

认证方法

在保存此设置之前，请务必先完成 LDAP 设置并执行“测试 LDAP 设置”。

启用Active Directory ID联动后，您可以选择“无密码身份验证”或“操作系统密码身份验证”。

无密码身份验证

AD登录时可以获得的信息经过加密并用作身份验证令牌，允许服务无需密码即可登录。在启用此设置之前，您需要设置“用于代理身份验证的 AD 用户”和“测试 LDAP 设置”。

統合Windows認証でのSSO 在安全性方面具有优势。

中点如果激活此设置，则只能访问网络应用程序版本。
・設定ミスがあると誰もログイン出来なくなりますが、CAMServer/boot.ini ファイルに cam.disableADPasswordless=true を設定し、CAMServer を起動すると「パスワードレス認証」の設定を無効化できます。無効化して起動後、各種設定を見直し必ず「LDAP設定のテスト」を実施後に「パスワードレス認証」を有効化してください。有効化後は cam.disableADPasswordless をcam.ini ファイルから消してから、CAMServer を再起動してください。

操作系统密码验证

操作系统密码用于用户身份验证。

ユーザを新規登録の際は仮の適当なパスワードを設定し登録してください。「OSパスワード認証」が成功したら認証OKとし、C&M上の登録パスワードも上書きします。

・「OSパスワード認証」が失敗した場合でも、C&Mへユーザ登録時にパスワードを設定し、一致する場合は認証OKとします。
・この設定は 統合Windows認証でのSSO との併用が可能です。

配置 LDAP

LDAPUrl

这是使用 ldap 搜索 Active Directory 服务器的 URL。根据需要在 LDAPUrl 中指定地址和端口。如果为空 ldap://localhost:389 使用 访问它。 389 端口是 ldap 的默认端口。

SSLが必要な場合場合は、ldaps で ldaps://<FQDN>:636 と指定します。

LDAPBaseDN

LDAPBaseDNは、LDAP サーバのオブジェクトツリー上で、ユーザーを検索する開始位置を指定する値です。改行区切りで複数指定できます。

CAMServer v4.60.17 以降のバージョンでは、ほとんどの場合未指定で問題ありません。過去のバージョンは、未指定の場合、Users コンテナ（例CN=Users,DC=camtest,DC=com）のみ自動で追加する仕様でした。

未指定の場合

未指定の場合、ユーザーIDのドメインからドメインルートの BaseDN を自動生成し、ドメイン全体を検索します。例えば、user1@camtest.com と言うユーザを検索する場合の LDAPBaseDN は「DC=camtest, DC=com」となります。

指定した場合

組織単位（OU）にユーザが配置されている場合は、個別に BaseDN を指定する事で検索対象を絞り込む運用が可能です。下図では、営業部、経理部の組織単位（OU）を検索対象とする設定です。

指定した場合でも、既定の Users コンテナ（CN=Users,DC=yourdomain,DC=com）も自動的に検索対象へ追加されます。

测试 AD 用户和 LDAP 设置以进行委派身份验证

Windows統合認証でのSSOやパスワードレス認証を行う場合は、代理認証を行うADユーザを設定し「LDAP設定のテスト」を実施してください。

在上述认证过程中，执行代理认证的AD用户会通过内部LDAP搜索来验证自己是否是合法的AD用户。

Active Directory 同步设置

启用 Active Directory 同步设置后，将在指定时间从 Active Directory 检索信息，并更新 Chat&Messenger 中的用户信息。

待更新信息如下。

• 用户名...AD displayName 属性
• 组名...AD部门属性
• 电子邮件・・・AD电子邮件属性

常见问题

我可以创建一个不存在于 Active Directory 中的用户吗？

如果您未选择“无密码”作为身份验证方法，则即使 Active Directory 中不存在该用户，您也可以在 Chat&Messenger 用户管理屏幕上创建帐户并登录。

我可以与 Active Directory 同步以自动添加用户吗？

目前，Chat&Messenger 不会根据 Active Directory 用户自动添加或删除用户。因此，即使启用了Active Directory链接，管理员也必须使用管理屏幕上的用户注册屏幕或上传CSV来创建Chat&Messenger用户。

*CSV 上传仅添加/更改 Chat&Messenger 用户，不会删除他们。如需删除项目，请在管理画面中将其一一删除。

我想要获取 Active Directory 用户列表并创建 CSV。

您可以使用 PowerShell 的 Get-ADUser 获取 Active Directory 用户列表。此列表中的 用户主体名称 请使用 Chat&Messenger 上的用户 ID（工作电子邮件地址）创建 CSV 文件。

> Get-ADUser -Filter {objectClass -eq "user"} -Properties info

DistinguishedName : CN=user1,CN=Users,DC=***,DC=com
GivenName         : ユーザ１
Name              : user1
ObjectClass       : user
ObjectGUID        : bf84cdab-2c21-44cf-aaca-afe493d97f2a
SamAccountName    : user1
SID               : S-1-5-21-3698402442-2374923176-*****-1104
Surname           : ユーザ１
UserPrincipalName : user1@***.com

DistinguishedName : CN=user2,CN=Users,DC=***,DC=com
GivenName         : user2
Name              : user2
ObjectClass       : user
ObjectGUID        : 482450a4-482a-40ac-b89b-434605f45571
SamAccountName    : user2
SID               : S-1-5-21-3698402442-2374923176-*****-1105
Surname           : テスト
UserPrincipalName : user2@***.com

# AD users のリストを CSVで出力
> $users = Get-ADUser -Filter {objectClass -eq "user"} -Properties UserPrincipalName, GivenName
> $selectedUsers = $users | Select-Object UserPrincipalName, GivenName
> $selectedUsers | Export-Csv -Path "C:\path\to\output\users.csv" -NoTypeInformation