活动目录链接

2018 年 1 月 26 日

Active Directory 整合概述

本地 CAMServer Enterprise 透過與 Active Directory 連結，使 ID 驗證變得非常容易。以下情況是可能的：

网络应用程序版本如果使用，則在登入驗證期間將首先顯示 Active Directory 驗證 ID。
在ID認證中，現在可以進行無密碼認證和作業系統密碼認證。
CAMServer使用Active Directory的LDAP協定來判斷身分認證是否成功。

Active Directory ID 連結

啟用 Active Directory ID 連線後，如果使用者已通過 Active Directory 驗證，將自動設定登入 ID。

可自動設定登入ID 网络应用程序版本僅有的。

身份驗證方法

在儲存此設定之前，請務必先完成 LDAP 設定並執行「測試 LDAP 設定」。

啟用Active Directory ID連動後，您可以選擇「無密碼身份驗證」或「作業系統密碼驗證」。

無密碼身份驗證

AD登入時可獲得的資訊經過加密並用作身份驗證令牌，允許服務無需密碼即可登入。在啟用此設定之前，您需要設定「用於代理身份驗證的 AD 使用者」和「測試 LDAP 設定」。

統合Windows認証でのSSO 在安全性方面具有優勢。

・如果啟用此設置，您將只能存取 Web 應用程式版本。
・設定ミスがあると誰もログイン出来なくなりますが、CAMServer/boot.ini ファイルに cam.disableADPasswordless=true を設定し、CAMServer を起動すると「パスワードレス認証」の設定を無効化できます。無効化して起動後、各種設定を見直し必ず「LDAP設定のテスト」を実施後に「パスワードレス認証」を有効化してください。有効化後は cam.disableADPasswordless をcam.ini ファイルから消してから、CAMServer を再起動してください。

作業系統密碼認證

使用作業系統密碼執行使用者身份驗證。

ユーザを新規登録の際は仮の適当なパスワードを設定し登録してください。「OSパスワード認証」が成功したら認証OKとし、C&M上の登録パスワードも上書きします。

・「OSパスワード認証」が失敗した場合でも、C&Mへユーザ登録時にパスワードを設定し、一致する場合は認証OKとします。
・この設定は統合Windows認証でのSSO との併用が可能です。

LDAP 設定

LDAP URL

這是使用 ldap 搜尋 Active Directory 伺服器的 URL。根據需要在 LDAPUrl 中指定位址和連接埠。如果為空 ldap://localhost:389 使用訪問它。 389 連接埠是 ldap 的預設連接埠。

SSLが必要な場合場合は、ldaps で ldaps://<FQDN>:636 と指定します。

LDAP基本DN

LDAPBaseDNは、LDAP サーバのオブジェクトツリー上で、ユーザーを検索する開始位置を指定する値です。改行区切りで複数指定できます。

CAMServer v4.60.17 以降のバージョンでは、ほとんどの場合未指定で問題ありません。過去のバージョンは、未指定の場合、Users コンテナ（例CN=Users,DC=camtest,DC=com）のみ自動で追加する仕様でした。

未指定の場合

未指定の場合、ユーザーIDのドメインからドメインルートの BaseDN を自動生成し、ドメイン全体を検索します。例えば、user1@camtest.com と言うユーザを検索する場合の LDAPBaseDN は「DC=camtest, DC=com」となります。

指定した場合

組織単位（OU）にユーザが配置されている場合は、個別に BaseDN を指定する事で検索対象を絞り込む運用が可能です。下図では、営業部、経理部の組織単位（OU）を検索対象とする設定です。

指定した場合でも、既定の Users コンテナ（CN=Users,DC=yourdomain,DC=com）も自動的に検索対象へ追加されます。

測試 AD 使用者和 LDAP 設定以進行委派身份驗證

Windows統合認証でのSSOやパスワードレス認証を行う場合は、代理認証を行うADユーザを設定し「LDAP設定のテスト」を実施してください。

在上述認證過程中，執行代理認證的AD使用者會透過內部LDAP搜尋來驗證自己是否是合法的AD使用者。

Active Directory 同步設定

啟用 Active Directory 同步設定後，將在指定時間從 Active Directory 檢索訊息，並更新 Chat&Messenger 中的使用者資訊。

待更新資訊如下。

使用者名稱...AD displayName 屬性
群組名...AD部門屬性
電子郵件・・・AD電子郵件屬性

常见问题

我可以建立 Active Directory 中不存在的使用者嗎？

如果您沒有選擇「無密碼」作為身份驗證方法，即使 Active Directory 中不存在該用戶，您也可以在 Chat&Messenger 用戶管理畫面上建立帳戶並登入。

我可以與 Active Directory 同步以自動新增使用者嗎？

目前，Chat&Messenger 不會根據 Active Directory 使用者自動新增或刪除使用者。因此，即使啟用了Active Directory鏈接，管理員也必須使用管理螢幕上的用戶註冊畫面或上傳CSV來建立Chat&Messenger用戶。

我想要取得 Active Directory 使用者清單並建立 CSV。

您可以使用 PowerShell 的 Get-ADUser 來取得 Active Directory 使用者清單。此列表中的 使用者主體名稱 請使用 Chat&Messenger 上的使用者 ID（工作電子郵件地址）建立 CSV 檔案。

> Get-ADUser -Filter {objectClass -eq "user"} -Properties info

DistinguishedName : CN=user1,CN=Users,DC=***,DC=com
GivenName         : ユーザ１
Name              : user1
ObjectClass       : user
ObjectGUID        : bf84cdab-2c21-44cf-aaca-afe493d97f2a
SamAccountName    : user1
SID               : S-1-5-21-3698402442-2374923176-*****-1104
Surname           : ユーザ１
UserPrincipalName : user1@***.com

DistinguishedName : CN=user2,CN=Users,DC=***,DC=com
GivenName         : user2
Name              : user2
ObjectClass       : user
ObjectGUID        : 482450a4-482a-40ac-b89b-434605f45571
SamAccountName    : user2
SID               : S-1-5-21-3698402442-2374923176-*****-1105
Surname           : テスト
UserPrincipalName : user2@***.com

# AD users のリストを CSVで出力
> $users = Get-ADUser -Filter {objectClass -eq "user"} -Properties UserPrincipalName, GivenName
> $selectedUsers = $users | Select-Object UserPrincipalName, GivenName
> $selectedUsers | Export-Csv -Path "C:\path\to\output\users.csv" -NoTypeInformation

網址をコピーしました！