AD域账户认证

功能说明

1. 用户数据集成：AD域账户集成同步到可道云。
2. 部门数据集成：AD域部门集成同步到可道云。
3. 用户定时同步：在AD域账户后台新增、修改、删除用户, 数据定时同步到可道云。
4. 部门定时同步：在AD域账户后新增、修改、删除部门, 数据定时同步到可道云。
5. 用户、部门数据锁定: 禁用 “用户修改密码”, 禁用 “添加、删除(非管理员)用户”, 不支持修改用户名。
6. 统一认证: 登陆认证统一走AD域进行判定, kod不记录用户密码。

提示：

• 用户登陆数据是实时的(新用户时自动同步数据)，部门数据、用户所在部门根据定时自动进行同步。
• 支持清除全部数据(保留管理员,根部门)，手动同步数据。

名词解释

• 是否同步组织架构：如选择关闭，将不同步部门，只同步用户账号（部门归属默认为根部门）。
• 允许账号昵称重复：在AD域中，可能存在用户昵称（姓名）相同的情况，如关闭该项，同名账号将无法同步。
• 允许账号自动绑定：如果打算使用已有账号和AD域账号合并, 请设置绑定唯一字段 邮箱, kod用户邮箱 和AD域用户邮箱一致时则不会再创建新账号。
• 失效数据处理：此处的失效数据，主要是指已同步到kodbox系统，但在AD域中被删除了的部门和用户。
  • 如选择开启，同步时失效数据将被直接禁用。
  • 如选择关闭，则只对失效数据做标记，而不直接禁用，管理员可在后台【用户与部门管理】-【待处理账号】选择管理。
• 同步指定排除：不需要同步的部门/用户，按名称进行排除，多个时以”,”分隔。关于排除指定部门，如待同步用户的归属部门都在排除指定范围内，则该用户也不会被同步。

插件截图

1. 服务器配置

提示：

• 可道云服务器需要安装php-ldap扩展。一般通过yum install php-ldap或apt install php-ldap即可, 宝塔面板上在PHP管理可以直接安装。

• LDAP类型：根据域控服务器类型, windows版通常是AD,linux通常选择OpenLDAP
• AD域服务器地址：填写ip或域名
• AD域服务器域名：填写域服务器设置的域名
• 管理员用户名：填写管理员
• 管理员密码：填写密码
• 域服务器端口：389, 默认不需要修改
• 连接超时时间：5, 单位:秒, 默认不需要修改
• 定时同步时间间隔：240, 单位：分钟, 0代表不同步

连接测试提示成功时说明配置正常, 可以等待插件自动同步, 或在同步设置中立即 手动同步用户数据。

2. 同步设置

3. 其他

注意：

• 默认会同步Active Directory中的所有OU(组织单元), 如果有需要排除的请在 插件-排除指定部门中提前配置, 多个部门使用英文逗号隔开。
• 如果打算清空已同步架构, 请长按 清空用户及部门数据按钮, 然后可以重新设置插件并同步。