このトピックでは、Alibaba Cloud Disk Enterprise Edition が LDAP から組織図とユーザーを同期できるように LDAP (Lightweight Directory Access Protocol) を設定する方法について説明します。設定が完了すると、ユーザーは LDAP アカウントを使用して Alibaba Cloud Disk Enterprise Edition にログインできるようになり、クラウドディスク上のユーザーとチームの管理が効率化されます。
注意事項
スーパー管理者 または クラウドディスク管理者 のみがこの機能を有効にできます。
前提条件
有効化して購入した Cloud Drive for Enterprises。
LDAP サーバーがデプロイされています。 LDAP サーバーに接続するには、サーバーアドレス、ポート番号、および Base DN 情報が必要です。
LDAP サーバーはインターネット経由でアクセスできます。
手順
操作中に問題が発生した場合は、お問い合わせください。
ステップ 1: LDAP 構成を有効にし、LDAP 情報を構成する
LDAP 構成を有効にします。
Alibaba Cloud Disk Enterprise Edition にログインし、[管理コンソール] に移動します。
左側のナビゲーションウィンドウで、[排他的ログイン構成] > [LDAP 構成] を選択し、[LDAP 構成] スイッチを有効にします。
サーバー接続情報を構成します。
LDAP 構成ページで、サーバー接続の詳細を入力します。
以下はパラメーターの説明です。パラメーター
値の例
説明
サーバーアドレス
ldap://120.XX.XX.XXLDAP サーバーアドレスは
Idap://で始まる必要があります。具体的な形式は次のとおりです。IP アドレス:
Idap://120.XX.XX.XXドメイン名:
Idap://www.exmple.com
ポート番号
389
デフォルトのポート番号は 389 です。変更されている場合は、変更後のポート番号を入力してください。
BaseDN
DC=chwl,DC=comこのディレクトリ範囲内の組織単位とユーザーのみが Alibaba Cloud Disk Enterprise Edition に同期されることを示します。 Windows AD 環境で BaseDN を取得する場合は、付録: Windows 環境でサーバー接続情報を取得する を参照してください。
重要この項目は慎重に入力する必要があります。追加後に任意に変更しないでください。Alibaba Cloud Disk Enterprise Edition が LDAP (または AD) とデータを同期する場合、BaseDN が変更されると、両側の組織構造ディレクトリが一致しなくなり、データ同期が失敗します。
管理者 DN
CN=admin,DC=chwl,DC=comここに管理者の完全な DN (Distinguished Name) を入力する必要があります。管理者には、BaseDN 配下のすべての組織単位とユーザーにアクセスできる権限が必要です。 Windows AD 環境で管理者 DN を取得する場合は、付録 2: 管理者 DN を取得する を参照してください。
パスワード
*****
LDAP の管理者アカウントのログインパスワードを入力します。 Alibaba Cloud Disk Enterprise Edition サーバーはこの管理者アカウントを使用して LDAP システムにログインし、ユーザー情報を読み取って同期とログイン機能を完了します。
タイプ
Windows AD
[Windows AD]、[OpenLDAP]、[その他] の 3 つのオプションがあります。使用しているタイプに応じて選択してください。その他は、LDAP プロトコルを使用する任意のサーバーを指します。
[接続テスト] をクリックします。インターフェイスに [接続成功] メッセージが表示されます。
テストが失敗した場合は、パラメーター設定を確認し、サーバーアドレスとポートがファイアウォールによってブロックされていないことを確認してください。
[次へ] をクリックします。
ログイン情報を構成します。
LDAP 構成ページで、ログインの詳細を入力します。
次の表でパラメーターについて説明します。
パラメーター
値の例
説明
ログインユーザー名フィールド
sAMAccountName
このフィールドは、ユーザーがログインするときのアカウント名として使用されます。 LDAP 属性エディターのフィールドと一致します。
表示名フィールド
displayName
このフィールドは、ユーザーのクラウドディスクに表示名として使用されます。 LDAP 属性エディターのフィールドと一致します。
[次へ] をクリックします。
(オプション) 同期オプションを構成します。
LDAP 同期が必要ない場合は、この手順をスキップします。同期を有効にしないと、組織範囲内の LDAP ユーザーは誰でもエンタープライズクラウドディスクにログインでき、組織図なしでアカウントが自動的に作成されます。
LDAP からユーザーと組織図をインポートするには、同期機能を有効にして、次の手順に従います。
同期構成ページで、[同期構成] スイッチを有効にし、同期の詳細を設定します。
以下はパラメーターの説明です。
説明LDAP の組織とユーザーを同期するには、チームとユーザーの両方を構成します。
LDAP 組織のみの場合は、チームを構成します。
LDAP ユーザーのみの場合は、ユーザーを構成します。
パラメーター
値の例
説明
チームオブジェクトクラス
organizationalUnitOU と略され、ユーザー、グループ、コンピューター、およびその他の組織単位を含めることができる AD コンテナーです。グループポリシー設定または委任された管理権限を割り当てることができる最小のスコープまたは単位です。グループはサポートされていません。
ユーザーオブジェクトクラス
UserorganizationalPerson、inetOrgPerson、またはUserを入力できます。organizationalPersonは、組織に関連する基本的な属性を提供します。inetOrgPersonは、organizationalPersonのすべての属性を提供し、インターネット通信に関連する属性を追加します。Userには、特定のアプリケーションまたは組織のユーザーアカウント用にカスタマイズされた特定の属性セットが含まれています。
同期時間設定
自動同期
同期時間設定は次のとおりです。
手動同期: 組織またはユーザーをクラウドディスクに手動で同期します。手動同期を使用する場合、元のデータが更新されると、変更がクラウドディスクに同期されない場合があります。この場合、同期操作を手動で再実行する必要があります。たとえば、企業の人事管理シナリオでは、新しい従業員がいる場合、これらの変更がサービスにタイムリーに反映されない可能性があり、その結果、新しい従業員がクラウドディスクにログインできなくなります。
自動同期: 指定された同期頻度と時刻に従って、組織またはユーザーをクラウドディスクに同期します。同期頻度を毎日、毎週、または毎月に設定し、1 日の任意の時刻を同期時刻として指定できます。
同期が完了すると、[インポート結果] が表示されます。インポートが失敗した場合、[インポート結果] に失敗の理由が表示されます。
[最後の同期情報] 領域で、[最後の同期時刻] と [最後の同期ステータス] を表示できます。右側の [詳細] をクリックすると、最後の同期の詳細が表示されます。
ステップ 2: LDAP を使用してログインする
Alibaba Cloud Disk Enterprise Edition ログインページ にログインします。 [AD/LDAP] タブをクリックします。
これで、LDAP アカウントとパスワードを使用して Cloud Drive for Enterprises にログインできるようになりました。
付録: Windows 環境でサーバー接続情報を取得する
付録 1: BaseDN を取得する
LDAP ドメインコントローラーで、[Active Directory ユーザーとコンピューター] に移動します。
同期するルートディレクトリのプロパティにアクセスします。たとえば、chwl 配下のすべてのユニットとユーザーを PDS に同期するには、次のようにします。
chwl プロパティを右クリックし、[属性エディター] に移動します。
distinguishedName属性を見つけ、ダブルクリックして [文字列属性エディター] を開き、値DC=chwl,DC=comをコピーします。
付録 2: 管理者 DN を取得する
LDAP ドメインコントローラーで、[Active Directory ユーザーとコンピューター] に移動します。
BaseDN 配下のすべての組織単位とユーザーにアクセスできる権限を持つ管理者アカウントを見つけ、右クリックして [プロパティ] を選択します。次に、[属性エディター] に移動します。
distinguishedName属性を見つけ、ダブルクリックして [文字列属性エディター] を開き、[値] を取得します。例:CN=admin,DC=chwl,DC=com。