Drive and Photo Service：AD域/LDAP 登入配置

步驟一：配置LDAP登入

1. 進入網盤與相簿服務（開發人員版）的域列表。

2. 在介面左上方選擇開發人員版域所在的地區。

   

3. 選擇您需要配置LDAP登入的域，在該域的右側列單擊詳情。

   

4. 進入域詳情頁面後，選擇使用者體系，單擊配置，開啟PDS登入頁面配置。

5. 開啟啟用LDAP登入開關，根據以下列表提示進行填寫。

   參數	樣本值	說明
   Host	ldap://120.XX.XX.XX	LDAP伺服器位址，必須以Idap://開頭。具體格式為 IP地址：Idap://120.XX.XX.XX 網域名稱：Idap://www.exmple.com
   連接埠	389	預設連接埠號碼389，如果有修改則填寫修改後的連接埠號碼。
   UID	sAMAccountName	該欄位作為使用者登入時使用的帳號名稱。與LDAP中屬性編輯器內欄位保持一致。
   管理員DN	CN=admin,DC=chwl,DC=com	此處需要填寫管理員DN（Distinguished Name標識名）。管理員必須有許可權訪問BaseDN下所有組織單位和使用者。如果是Windows AD環境中擷取管理員DN，則請參見擷取管理員DN。
   管理員密碼	*****	輸入管理員帳號在LDAP中的登入密碼，網盤與相簿服務（開發人員版）伺服器會通過此管理員帳號登入到LDAP系統讀取使用者資訊，完成同步和登入功能。
   BaseDN	DC=chwl,DC=com	表示只有在此目錄範圍以內的組織單位和使用者，才可以將組織單位和使用者同步到阿里雲盤企業版。如果是Windows AD環境中擷取BaseDN，則請參見擷取BaseDN。 重要 此項請務必謹慎填寫，添加完成後請勿隨意更改，在網盤與相簿服務（開發人員版）與 LDAP（或 AD）進行同步資料時，如果BaseDN發生改變會使雙方組織機構目錄無法對應而導致資料同步失敗。

6. 填寫完成後，單擊確認儲存。

步驟二：使用LDAP登入

1. 使用案頭端或瀏覽器訪問URL https://domainID.apps.aliyunpds.com。

   重要

   瀏覽器訪問時，請替換樣本中的domainID。

2. 在登入介面，單擊AD/LDAP。

   

3. 輸入LDAP登入使用者名稱和密碼進行登入。

步驟三：LDAP帳號同步配置

1. 使用管理員帳號登入網盤與相簿服務（開發人員版），進入管理主控台。

2. 在左側導覽列選擇專屬登入配置>LDAP配置。

   

3. 在同步配置模組單擊編輯。

4. 填寫登入配置。

   1. 在LDAP配置頁面，填寫登入配置。

      

      配置參數說明請參見下表。

      參數	樣本值	說明
      登入使用者名稱欄位	sAMAccountName	該欄位作為使用者登入時使用的帳號名稱。與LDAP中屬性編輯器內欄位保持一致。
      顯示名稱欄位	displayName	該欄位作為使用者網盤中的顯示名稱。與LDAP中屬性編輯器內欄位保持一致。

   2. 單擊下一步。

5. 填寫同步配置。

   • 如果不需要開啟LDAP同步功能，請跳過此步驟。如果不開啟同步配置功能，僅啟用LDAP登入功能，任何組織範圍內的LDAP使用者都可以登入企業雲端硬碟，在登入時自動建立帳號，無組織圖。

   • 如果開啟同步功能，則可匯入LDAP內的使用者和組織圖。具體配置步驟如下：

     1. 在同步配置頁面，開啟同步配置開關並配置同步資訊。

        

        配置參數說明請參見下表。

        說明

        • 如果您希望同步LDAP組織和使用者，則需要同時設定團隊和使用者。

        • 如果您只想同步LDAP組織，則僅需設定團隊。

        • 如果您只想同步LDAP使用者，則僅需設定使用者。

        參數	樣本值	說明
        團隊 Object Classes	organizationalUnit	簡稱OU是可以將使用者、組、電腦和其它組織單位放入其中的AD容器，是可以指派組原則設定或委派系統管理權限的最小範圍或單元。不支援group。
        使用者 Object Classes	User	可填寫organizationalPerson、inetOrgPerson、User。 organizationalPerson提供了基礎的與組織相關的屬性。 inetOrgPerson提供了organizationalPerson的所有屬性，並增加了與互連網通訊相關的屬性。 User包含特定的屬性集合，這些屬性是針對特定應用程式或組織的使用者賬戶定製的。
        同步時間設定	自動同步	取值範圍如下： 手動同步：手動同步群組織或使用者到雲端硬碟。使用手動同步時，如果原資料有更新，可能無法同步變更到雲端硬碟，此時需要再次手動執行同步操作。例如，在企業人員管理應用情境下，員工有新增，這些變更可能無法及時反映到服務中，導致新配置人員無法登入到雲端硬碟。 自動同步：根據指定同步頻率和時間將組織或使用者同步到雲端硬碟。同步頻率可設定為每日、每周或每月，同步時間可選擇24小時中的任意整點時間。

     2. 單擊配置檢測。

     3. 單擊立即同步。

        同步完成後會展示匯入結果。如遇到匯入失敗情況，會在匯入結果展示匯入失敗原因。

        

     4. 單擊確認匯入。

     5. 在上次同步資訊地區，可查看上次同步時間和上次同步狀態。單擊右側詳情，可查看上次同步詳細資料。

        

附錄一：擷取BaseDN

1. 在LDAP域控內，進入Active Directory使用者和電腦。

2. 開啟您希望同步的根目錄的屬性。以chwl為例，需要將其下的所有組織單位和使用者同步到PDS。

3. 按右鍵chwl的屬性，進入屬性編輯器。

4. 找到distinguishedName屬性，雙擊進入字串屬性編輯器，複製值DC=chwl,DC=com。

附錄二：擷取管理員DN

1. 在LDAP域控內，進入Active Directory使用者和電腦。

2. 找到管理員帳號（有許可權訪問BaseDN下所有組織單位和使用者），右鍵選擇屬性，進入屬性編輯器。

3. 找到distinguishedName屬性，雙擊進入字串屬性編輯器，複製值。例如：CN=admin,DC=chwl,DC=com。