通过LDAP配置实现LDAP账号登录_网盘与相册服务(PDS)-阿里云帮助中心

本文介绍如何配置LDAP（轻量级目录访问协议），以便阿里云盘企业版能够同步LDAP内的组织结构及用户。配置完成后，用户将能够使用LDAP账号直接登录阿里云盘企业版，从而实现云盘内用户和团队的便捷管理。

注意事项

已搭建LDAP服务器，获取服务器地址、端口号、BaseDN信息。

说明

如果操作过程中遇到问题，请联系我们。

启用LDAP配置。
1. 登录阿里云盘企业版，进入到管理控制台。
2. 在左侧导航栏选择专属登录配置>LDAP配置，打开LDAP配置开关。

配置服务器连接信息。

在LDAP配置页面，配置服务器连接信息。

ldap配置配置参数说明请参见下表。

参数	示例值	说明
服务器地址	`ldap://120.XX.XX.XX`	LDAP服务器地址，必须以`Idap://`开头。具体格式为 IP地址：`Idap://120.XX.XX.XX` 域名：`Idap://www.exmple.com`
端口号	389	默认端口号389，如果有修改则填写修改后的端口号。
BaseDN	`DC=chwl,DC=com`	表示只有在此目录范围以内的组织单位和用户，才可以将组织单位和用户同步到阿里云盘企业版。如果是Windows AD环境中获取BaseDN，则请参见附录：在Windows环境中获取服务器连接信息。重要此项请务必谨慎填写，添加完成后请勿随意更改，在阿里云盘企业版与 LDAP（或 AD）进行同步数据时，如果BaseDN发生改变会使双方组织机构目录无法对应而导致数据同步失败。
管理员DN	`CN=admin,DC=chwl,DC=com`	此处需要填写管理员的完整DN（Distinguished Name标识名）。管理员必须有权限访问BaseDN下所有组织单位和用户。如果是Windows AD环境中获取管理员DN，则请参见附录二：获取管理员DN。
密码	*****	输入管理员账号在LDAP中的登录密码，阿里云盘企业版服务器会通过此管理员账号登录到LDAP系统读取用户信息，完成同步和登录功能。
类型	Windows AD	具有Windows AD、OpenLDAP、其他三种选项，请按照您所使用的类型进行选择。其他指的是使用LDAP协议的任何服务器。

配置登录信息。

在LDAP配置页面，配置登录信息。

登录配置

配置参数说明请参见下表。

参数	示例值	说明
登录用户名字段	sAMAccountName	该字段作为用户登录时使用的账号名称。与LDAP中属性编辑器内字段保持一致。
显示名字段	displayName	该字段作为用户网盘中的显示名称。与LDAP中属性编辑器内字段保持一致。

（可选）配置同步选项。

如果不需要开启LDAP同步功能，请跳过此步骤。如果不开启同步配置功能，仅启用LDAP登录功能，任何组织范围内的LDAP用户都可以登录企业云盘，在登录时自动创建账号，无组织结构。

如果开启同步功能，则可导入LDAP内的用户和组织结构。具体配置步骤如下：

在同步配置页面，打开同步配置开关并配置同步信息。

配置参数说明请参见下表。

说明

参数	示例值	说明
团队 Object Classes	`organizationalUnit`	简称OU是可以将用户、组、计算机和其它组织单位放入其中的AD容器，是可以指派组策略设置或委派管理权限的最小作用域或单元。不支持group。
用户 Object Classes	`User`	可填写`organizationalPerson`、`inetOrgPerson`、`User`。 `organizationalPerson`提供了基础的与组织相关的属性。 `inetOrgPerson`提供了`organizationalPerson`的所有属性，并增加了与互联网通信相关的属性。 `User`包含特定的属性集合，这些属性是针对特定应用程序或组织的用户账户定制的。
同步时间设置	自动同步	同步时间设置，取值范围如下：手动同步：手动同步组织或用户到云盘。使用手动同步时，如果原数据有更新，可能无法同步变更到云盘，此时需要再次手动执行同步操作。例如，在企业人员管理应用场景下，员工有新增，这些变更可能无法及时反映到服务中，导致新配置人员无法登录到云盘。自动同步：根据指定同步频率和时间将组织或用户同步到云盘。同步频率可设置为每日、每周或每月，同步时间可选择24小时中的任意整点时间。