AD域/LDAP登录如何配置_网盘与相册服务(PDS)-阿里云帮助中心

本文介绍如何配置LDAP（轻量级目录访问协议），以便网盘与相册服务（开发者版）能够同步LDAP内的组织结构及用户。配置完成后，用户将能够使用LDAP账号直接登录网盘与相册服务（开发者版），从而实现云盘内用户和团队的便捷管理。

前提条件

已有网盘与相册服务（PDS）控制台操作权限。如果使用的是RAM用户且未对RAM用户授予操作相册与网盘服务（AliyunPDSFullAccess）的权限，则需要对为RAM用户授权。
已创建网盘与相册服务（开发者版）域。
已有LDAP服务器。接入需提供LDAP服务器地址、端口号和根目录（BaseDN）信息。
LDAP服务器需开放公网访问权限。

打开启用LDAP登录开关，根据以下列表提示进行填写。

参数	示例值	说明
Host	`ldap://120.XX.XX.XX`	LDAP服务器地址，必须以`Idap://`开头。具体格式为 IP地址：`Idap://120.XX.XX.XX` 域名：`Idap://www.exmple.com`
端口	389	默认端口号389，如果有修改则填写修改后的端口号。
UID	sAMAccountName	该字段作为用户登录时使用的账号名称。与LDAP中属性编辑器内字段保持一致。
管理员DN	`CN=admin,DC=chwl,DC=com`	此处需要填写管理员DN（Distinguished Name标识名）。管理员必须有权限访问BaseDN下所有组织单位和用户。如果是Windows AD环境中获取管理员DN，则请参见获取管理员DN。
管理员密码	*****	输入管理员账号在LDAP中的登录密码，网盘与相册服务（开发者版）服务器会通过此管理员账号登录到LDAP系统读取用户信息，完成同步和登录功能。
BaseDN	`DC=chwl,DC=com`	表示只有在此目录范围以内的组织单位和用户，才可以将组织单位和用户同步到阿里云盘企业版。如果是Windows AD环境中获取BaseDN，则请参见获取BaseDN。重要此项请务必谨慎填写，添加完成后请勿随意更改，在网盘与相册服务（开发者版）与 LDAP（或 AD）进行同步数据时，如果BaseDN发生改变会使双方组织机构目录无法对应而导致数据同步失败。

使用桌面端或浏览器访问URL https://domainID.apps.aliyunpds.com。
重要
浏览器访问时，请替换示例中的domainID。
在登录界面，单击AD/LDAP。
输入LDAP登录用户名和密码进行登录。

重要

LDAP账号同步配置默认未开启，如需使用请联系我们开启功能。

填写登录配置。

在LDAP配置页面，填写登录配置。

登录配置

配置参数说明请参见下表。

参数	示例值	说明
登录用户名字段	sAMAccountName	该字段作为用户登录时使用的账号名称。与LDAP中属性编辑器内字段保持一致。
显示名字段	displayName	该字段作为用户网盘中的显示名称。与LDAP中属性编辑器内字段保持一致。

填写同步配置。

如果不需要开启LDAP同步功能，请跳过此步骤。如果不开启同步配置功能，仅启用LDAP登录功能，任何组织范围内的LDAP用户都可以登录企业云盘，在登录时自动创建账号，无组织结构。

如果开启同步功能，则可导入LDAP内的用户和组织结构。具体配置步骤如下：

在同步配置页面，打开同步配置开关并配置同步信息。

配置参数说明请参见下表。

说明

参数	示例值	说明
团队 Object Classes	`organizationalUnit`	简称OU是可以将用户、组、计算机和其它组织单位放入其中的AD容器，是可以指派组策略设置或委派管理权限的最小作用域或单元。不支持group。
用户 Object Classes	`User`	可填写`organizationalPerson`、`inetOrgPerson`、`User`。 `organizationalPerson`提供了基础的与组织相关的属性。 `inetOrgPerson`提供了`organizationalPerson`的所有属性，并增加了与互联网通信相关的属性。 `User`包含特定的属性集合，这些属性是针对特定应用程序或组织的用户账户定制的。
同步时间设置	自动同步	取值范围如下：手动同步：手动同步组织或用户到云盘。使用手动同步时，如果原数据有更新，可能无法同步变更到云盘，此时需要再次手动执行同步操作。例如，在企业人员管理应用场景下，员工有新增，这些变更可能无法及时反映到服务中，导致新配置人员无法登录到云盘。自动同步：根据指定同步频率和时间将组织或用户同步到云盘。同步频率可设置为每日、每周或每月，同步时间可选择24小时中的任意整点时间。