使用者管理 身分認證 頁面中,如系統管理者要以 AD, LDAP或 Openfind Mail2000群組的使用者到SecuShare Pro,請在這個頁面先選擇身分認證類別(預設值為無(None)),接著輸入相關網路設定

  • 在設定AD/LDAP身分認證之前,請先確認 SecuShare Pro 之 DNS 設定,與 AD/LDAP/Mail2000 伺服器使用的 DNS 是相同的,並且建議只使用一台DNS
  • 請確認SecuShare Pro  AD 伺服器時間差必須在五分鐘以內


AD認證(外購模組)

在此頁面輸入AD使用者等相關設定(包含AD伺服器主機名稱和網域,以及帳號密碼)。

  • 輸入網路NetBIOS, AD伺服器名稱以網域資訊。您也可以參考下列步驟來取得此資訊:找一台有加入AD的PC, 進到 Windows 命令提示字元, 輸入: gpresult /r 指令指令結果對照關係會如下表, 實際在貴司環境參數需會與下表不同:
SecuShare Progpresult /r 指令結果
網路NetBIOS名稱
e.g. 網域名稱:OPENFIND
AD伺服器名稱e.g. 套用的群組原則˙來自(紅字部分):opdc.openfind.com
網域e.g. 套用的群組原則˙來自(紅字部分):opdc.openfind.com
  • 在 "網域管理者帳號" 欄位中,請確認使用具有 Administrator 層級權限的 AD使用者來匯入。
  • 請輸入具有相關Windows domain管理者權限的帳號。
  • 加密方式:提供SSL/TLS與STARTTLS兩種認證加密方式。
  • 連接埠:連接AD所用的埠口,會隨著加密方式自動調整至常用的加密埠號。
  • 自動匯入使用者:若要讓AD群組的所有使用者自動成為SecuShare Pro的使用者,請在此頁面中確認已經勾選 "自動匯入使用者" 的選項,並且輸入正確的AD認證資訊,然後點擊套用,則AD連線狀態會自動設定為ON,此時AD群組的所有使用者已經自動成為SecuShare Pro的使用者。若不勾選自動匯入,手動匯入模式可以讓系統管理者自行挑選允許使用SecuShare Pro的AD使用者。自動匯入模式將會自動套用系統預設的使用者等級。
  • 一旦AD連線狀態設定為 ON 之後,若要更改此頁有關AD群組的設定,請於更改之後,點擊「套用」,更改即會立刻生效。
  • 若您將AD連線狀態切換到 OFF  時,原有AD群組的所有使用者均暫時無法使用 SecuShare Pro。如要取消此暫停狀態,請切換回 ON
  • 若勾選 "啟用篩選" 並點擊「編輯圖示」,您可以輸入要匯入AD使用者的篩選條件,以便匯入符合篩選條件的AD使用者,請參考後續 啟用篩 以獲取進一步資訊。
  • 系統預設和AD伺服器進行同步的週期為24小時(亦即為每隔24小時進行同步一次。您也可以自行選擇每天進行同步的頻率,請設定1~24的整數數值,以小時為單位)。
  • 您可以隨時點擊「立即同步」以因應AD群組的使用者可能會有更動的情況,因此可以確保匯入AD群組的使用者清單和AD群組的使用者清單是同步一致的。
  • 匯入成功之後,將會跳出「匯入 Domain 狀態」的視窗告知匯入結果。匯入時間會取決於與AD的網路連線速度以及AD的使用數量, 1000人約在5分鐘內,10000人約在20分鐘內會完成。在匯入未完成前,請耐心等待,請勿切換到其他頁面。
  • 若以上設定都正確無誤,但仍無法成功匯入AD/LDAP,請將系統日誌上關於 AD 匯入失敗的 log, 提交到網擎資訊技術支網站,以利網擎資訊進行分析。

※ 請注意,若使用者同時存在於AD以及本地使用者,當AD匯入後,本地使用者即會被停用。


LDAP認證(外購模組)

請在此頁面輸入LDAP使用者等相關設定(例如LDAP伺服器主機位址、LDAP網域、LDAP root使用者以及密碼等等)。

  • 在 "網域管理者帳號" 欄位中,請確認使用具有 Administrator 層級權限的LDAP使用者來匯入。 
  • 自動匯入使用者:若要讓LDAP群組的所有使用者自動成為 SecuShare Pro 的使用者,請在此頁面中確認已經勾選 "自動匯入使用者" 的選項,並且輸入正確的LDAP認證資訊,然後點擊「套用」,則LDAP連線狀態會自動設定為 ON,此時LDAP群組的所有使用者已經自動成為SecuShare Pro的使用者。若不勾選自動匯入,手動匯入模式可以讓系統管理者自行挑選允許使用 SecuShare Pro的LDAP使用者
  • 一旦LDAP連線狀態設定為 ON 之後,若要更改此頁有關LDAP群組的設定,請於更改之後,點擊套用,更改即會立刻生效。
  • 若您將LDAP連線狀態切換到 OFF 時,原有LDAP群組的所有使用者均暫時無法使用SecuShare Pro。如要取消此暫停狀態,請切換到 ON
  • 若勾選 "啟用篩選" 並點擊 「編輯圖示」 之後,您可以輸入要匯入LDAP使用者的篩選條件,以便匯入符合篩選條件的LDAP使用者,請參考「啟用篩選」獲取進一步資訊。
  • 系統預設和LDAP伺服器進行同步的週期為24小時(亦即為每隔24小時進行同步一次。您也可以自行選擇每天進行同步的頻率。)
  • 您可以隨時點擊「立即同步」,以便因應AD/LDAP群組的使用者可能會有更動的情況,因此可以確保匯入AD/LDAP群組的使用者清單和AD群組的使用者清單是同步一致的。
  • 匯入LDAP群組時,SecuShare Pro僅能匯入LDAP群組兩種type(如下列)中的一種。同時,SecuShare Pro會先嘗試匯入type 1的LDAP群組。若無法找到type 1的LDAP群組,SecuShare Pro便會進一步嘗試尋找並匯入type 2的LDAP群組。
    • Type 1: 
      • Generic: Posix Group
      • Samba: Group Mapping
    • Type 2:
      • User Group
  • 匯入LDAP群組時,可以選擇使用者的屬性(在 "登入" 欄位有2個選項: uid和cn;) 以及相關的使用者完整名稱(3個選項: cn,displayname以及description)。
    • 匯入成功之後,將會跳出如下視窗。匯入時間會取決於與LDAP的網路連線速度以及LDAP的使用數量, 1000人約在5分鐘內,10000人約在20分鐘內會完成。在匯入未完成前,請耐心等待,請勿切換到其他頁面。
       
    • 若以上設定都正確無誤,但仍無法成功匯入AD/LDAP,請將系統日誌上關於 AD 匯入失敗的 log,提交到網擎資訊技術支網站,以利網擎資訊進行分析。

請注意,若使用者同時存在於LDAP 以及本地使用者,當LDAP匯入後,本地使用者即會被停用。

請注意,LDAP整合功能可能無法正確與Microsoft Active Dirctory提供的LDAP連線功能相容,若有此需求請與Openfind取得技術支援。


  • 啟用篩選

如果您在身分認證頁面點選了 "Active Directory" 或 "LDAP",並且勾選了 "啟用篩選",並點擊  之後,您可以輸入要匯入AD/LDAP使用者的篩選條件(以下以篩選AD使用者為例,篩選LDAP使用者的方法亦同):

  • 勾選要加入SecuShare Pro的群組(group)和/或組織單位(OU)。
  • 若要在這些選定的組織單位(OU)做進一步的篩選動作,請勾選 "手動編輯" 之後,在下面的空白欄位中,按照以下的篩選規則之基本語法並且參考微軟官方的相關文件 "Active Directory: LDAP Syntax Filters" 作為輸入篩選條件的依據。

[基本語法]

"(A)" 代表一個filter條件。您可以加入多個條件,條件和條件之間可以加入一個空格(space)便於區分不同條件:

  • 若條件要同時滿足(A)、(B)和(C)的3個條件時,語法為 ( & (A) (B) (C) )。
  • 若條件要滿足(A)或(B),並且同時要滿足(C)時,語法為 ( & ( | (A) (B) ) (C) )。
  • 若條件要滿足(A)和(B),但是不要符合(C)時,語法為 ( & (A) (B) ( ! (C) ) )。
  • 語法 (!(userAccountControl:1.2.840.113556.1.4.803:=2)) 代表所有狀態為已啟用的AD使用者。
  • 若需要以部分符合作為篩選條件時,語法可以使用 "*"。
  • 系統預設會自動加入objectCategory與objectClass相關的語法條件,所以您不需要重複輸入左列語法,以協助您節省輸入篩選條件所需時間。
  • 系統預設不會匯入的使用者為 "Admin"、"Administrator" 以及 "Guest"。
  • 基本語法不適用於組織單位(OU)。

[輸入範例]:

  • 若要匯入所有使用者名稱為hbt開頭且狀態為已啟用的user objects,語法為 (&(name=hbt*) (!(userAccountControl:1.2.840.113556.1.4.803:=2)))。
  • 若要匯入使用者名稱為attribute "samaccountname" 並以 "_mkt" 或 "_sales" 作為結尾的所有AD使用者,語法為 ( | (samaccountname=*_mkt) (samaccountname=*_sales) )。
  • 完成輸入篩選規則之後,請點擊 "套用"。
    • 在篩選對話方塊中,您必須勾選至少一個要加入 SecuShare Pro的群組(group)和/或組織單位(OU),然後點擊 "套用" 按鈕之後所有篩選規則即會生效。
    • 若您需要加入手動編輯(非必要)的篩選規則,您必須勾選至少一個要加入 SecuShare Pro的群組(group)和/或組織單位(OU),才能讓手動編輯的篩選規則有相對應的使用者並啟用 "套用" 按鈕。然後點擊 "套用" 按鈕之後所有篩選規則即會生效。



Mail2000 身分認證

請在此頁面輸入Mail2000使用者等相關設定(例如Mail2000主機位址、連接埠、登入時是否要自動匯入使用者以及預設群組)。設定之前,請確認SecuShare Pro系統之DNS是否能解析到Mail2000主機。

  • 在 "Mail2000主機" 欄位中,請輸入Mail2000主機的網域名稱,格式必須是http://<domain name>或https://<domain name>,若您不清楚是使用何種設定請與Mail2000系統管理者聯繫。
  • 在"同步網域對象"欄位中,請輸入想要同步Mail2000上的哪一個網域中的帳號與群組資訊。
  • 在 "連接埠" 欄位中,請輸入Mail2000主機使用的埠號,而預設埠號為5123,若要使用其他埠號,請與Mail2000管理者聯繫。
  • 在"API Key"欄位中,請輸入Mail2000上所產生的API Key資訊,若無API Key資訊請與網擎資訊技術服務聯繫。
  • 登入自動匯入使用者:若勾選此項,即會將Mail2000系統特定網域中的所有帳號與群組資訊都匯入到SecuShare Pro中,若授權數量不足則無法完成該次匯入的操作,請確認授權數量或是取消此選項勾選。