Udostępnij przez

Dokumentacja techniczna ogólnego łącznika LDAP

W tym artykule opisano ogólny łącznik LDAP. Artykuł dotyczy następujących produktów:

Dla MIM2016 łącznik jest dostępny do pobrania z Centrum pobierania Microsoft.

W przypadku odwoływania się do dokumentów IETF ten dokument używa formatu (RFC [numer RFC]/[sekcja w dokumencie RFC]), na przykład (RFC 4512/4.3). Więcej informacji można znaleźć na stronie https://tools.ietf.org/. In the left panel, enter an RFC number in the Doc fetch dialog box and test it to make sure it is valid.

Uwaga

Microsoft Entra ID teraz oferuje lekkie rozwiązanie oparte na agencie do aprowizowania użytkowników na serwerze LDAPv3, bez potrzeby wdrażania synchronizacji programu MIM. We recommend using it for outbound user provisioning. Dowiedz się więcej.

Omówienie ogólnego łącznika LDAP

Ogólny łącznik LDAP umożliwia integrację usługi synchronizacji z serwerem LDAP w wersji 3.

Certain operations and schema elements, such as those needed to perform delta import, aren't specified in the IETF RFCs. W przypadku tych operacji obsługiwane są tylko jawne katalogi LDAP.

Aby nawiązać połączenie z katalogami, testujemy przy użyciu konta głównego/administratora. Aby użyć innego konta w celu zastosowania bardziej szczegółowych uprawnień, może być konieczna konsultacja z zespołem zarządzającym katalogiem LDAP.

Bieżąca wersja łącznika obsługuje następujące funkcje:

Funkcja Wsparcie
Połączone źródło danych The Connector is supported with all LDAP v3 servers (RFC 4510 compliant), except where called out as unsupported. Został przetestowany z następującymi serwerami katalogów:
  • Microsoft Active Directory Lightweight Directory Services (AD LDS)
  • Katalog globalny usługi Microsoft Active Directory (AD GC)
  • Serwer katalogowy 389
  • Serwer katalogów Apache
  • IBM Tivoli DS
  • Katalog Isode
  • NetIQ eDirectory
  • Novell eDirectory
  • Open DJ
  • Otwórz usługę DS
  • Otwórz protokół LDAP (openldap.org)
  • Oracle (wcześniej Sun) Directory Server Enterprise Edition
  • RadiantOne Virtual Directory Server (VDS)
  • Serwer Katalogowy Sun One
  • Microsoft Active Directory Domain Services (AD DS)
    • W większości scenariuszy należy użyć wbudowanego łącznika usługi Active Directory, ponieważ niektóre funkcje mogą nie działać
    Notable known directories or features not supported:
  • Microsoft Active Directory Domain Services (AD DS)
    • Usługa powiadamiania o zmianie hasła (PCNS)
    • Exchange provisioning
    • Usuwanie urządzeń z synchronizacją aktywną
    • Obsługa klasy nTDescurityDescriptor
  • Oracle Internet Directory (OID)
    		•
    Scenariusze
  • Zarządzanie cyklem życia obiektów
  • Zarządzanie grupami
  • Zarządzanie hasłami
    		•
    Operacji Następujące operacje są obsługiwane we wszystkich katalogach LDAP:
  • Pełny import
  • Eksport
    • Następujące operacje są obsługiwane tylko w określonych katalogach:
  • Delta import
  • Ustawianie hasła, zmienianie hasła
    		•
    Schemat
  • Schemat jest wykrywany ze schematu LDAP (RFC3673 i RFC4512/4.2)
  • Obsługuje klasy strukturalne, klasy aux i klasę obiektów extensibleObject (RFC4512/4.3)
    		•

    Obsługa zarządzania importowaniem i hasłami w usłudze Delta

    Supported Directories for Delta import and Password management:

    • Microsoft Active Directory Lightweight Directory Services (AD LDS)
      • Supports all operations for delta import
      • Obsługuje ustawianie hasła
    • Katalog globalny usługi Microsoft Active Directory (AD GC)
      • Supports all operations for delta import
      • Obsługuje ustawianie hasła
    • Serwer katalogowy 389
      • Supports all operations for delta import
      • Obsługuje ustawianie hasła i zmienianie hasła
    • Serwer katalogów Apache
      • Doesn't support delta import since this directory Doesn't have a persistent change log
      • Obsługuje ustawianie hasła
    • IBM Tivoli DS
      • Supports all operations for delta import
      • Obsługuje ustawianie hasła i zmienianie hasła
    • Katalog Isode
      • Supports all operations for delta import
      • Obsługuje ustawianie hasła i zmienianie hasła
    • Novell eDirectory i NetIQ eDirectory
      • Obsługuje operacje dodawania, aktualizowania i zmieniania nazw dla importu delta.
      • Doesn't support Delete operations for delta import
      • Obsługuje ustawianie hasła i zmienianie hasła
    • Otwórz DJ-a
      • Supports all operations for delta import
      • Obsługuje ustawianie hasła i zmienianie hasła
    • Otwórz usługę DS
      • Supports all operations for delta import
      • Obsługuje ustawianie hasła i zmienianie hasła
    • Otwórz protokół LDAP (openldap.org)
      • Supports all operations for delta import
      • Obsługuje ustawianie hasła
      • Nie obsługuje zmiany hasła
    • Oracle (wcześniej Sun) Directory Server Enterprise Edition
      • Supports all operations for delta import
      • Obsługuje ustawianie hasła i zmienianie hasła
    • RadiantOne Virtual Directory Server (VDS)
      • Musi być używana wersja 7.1.1 lub nowsza
      • Supports all operations for delta import
      • Obsługuje ustawianie hasła i zmienianie hasła
    • Sun One Directory Server
      • Supports all operations for delta import
      • Obsługuje ustawianie hasła i zmienianie hasła

    Wymagania wstępne

    Przed użyciem łącznika upewnij się, że na serwerze synchronizacji są następujące elementy:

    • Microsoft .NET 4.6.2 Framework lub nowszy

    Wdrożenie tego łącznika może wymagać zmian w konfiguracji serwera katalogów, a także zmian konfiguracji w programie MIM. W przypadku wdrożeń obejmujących integrację programu MIM z serwerem katalogu innej firmy w środowisku produkcyjnym zalecamy klientom pracę z dostawcą serwera katalogów lub partnerem wdrażania, aby uzyskać pomoc, wskazówki i obsługę tej integracji.

    Wykrywanie serwera LDAP

    Łącznik opiera się na różnych technikach wykrywania i identyfikowania serwera LDAP. The Connector uses the Root DSE, vendor name/version, and it inspects the schema to find unique objects and attributes known to exist in certain LDAP servers. Te dane, jeśli zostaną znalezione, są używane do wstępnego wypełniania opcji konfiguracji w łączniku.

    Uprawnienia połączonego źródła danych

    Aby wykonać operacje importowania i eksportowania obiektów w połączonym katalogu, konto łącznika musi mieć wystarczające uprawnienia. Łącznik musi mieć uprawnienia do zapisu, aby móc eksportować i uprawnienia do odczytu, aby móc importować. Permission configuration is performed within the management experiences of the target directory itself.

    Porty i protokoły

    Łącznik używa numeru portu określonego w konfiguracji, który domyślnie wynosi 389 dla protokołu LDAP i 636 dla protokołu LDAPS.

    W przypadku protokołu LDAPS należy użyć protokołu SSL 3.0 lub TLS. Protokół SSL 2.0 nie jest obsługiwany i nie można go aktywować.

    Wymagane kontrolki i funkcje

    Następujące kontrolki/funkcje LDAP muszą być dostępne na serwerze LDAP, aby łącznik działał prawidłowo:
    1.3.6.1.4.1.4203.1.5.3 True/False filters

    The True/False filter is frequently not reported as supported by LDAP directories and might show up on the Global Page under Mandatory Features Not Found. Służy do tworzenia filtrów LUB w zapytaniach LDAP, na przykład podczas importowania wielu typów obiektów. Jeśli możesz zaimportować więcej niż jeden typ obiektu, serwer LDAP obsługuje tę funkcję.

    Jeśli używasz katalogu, w którym unikatowy identyfikator jest kotwicą, musi być również dostępna następująca funkcja (aby uzyskać więcej informacji, zobacz sekcję Konfigurowanie kotwic):
    1.3.6.1.4.1.4203.1.5.1 Wszystkie atrybuty operacyjne

    Jeśli katalog ma więcej obiektów niż to, co można zmieścić w jednym wywołaniu do katalogu, zaleca się użycie stronicowania. For paging to work, you need one of the following options:

    Opcja 1.
    1.2.840.113556.1.4.319 pagedResultsControl

    Opcja 2:
    2.16.840.1.113730.3.4.9 VLVControl
    1.2.840.113556.1.4.473 SortControl

    Jeśli obie opcje są włączone w konfiguracji łącznika, zostanie użyta pagedResultsControl.

    1.2.840.113556.1.4.417 ShowDeletedControl

    ShowDeletedControl is only used with the USNChanged delta import method to be able to see deleted objects.

    Łącznik próbuje wykryć opcje obecne na serwerze. Jeśli nie można wykryć opcji, na stronie globalnej we właściwościach łącznika jest wyświetlane ostrzeżenie. Nie wszystkie serwery LDAP zawierają wszystkie obsługiwane kontrolki/funkcje, a nawet jeśli to ostrzeżenie jest obecne, łącznik może działać bez problemów.

    Delta import

    Delta import is only available when a directory that supports it has been detected. Obecnie są używane następujące metody:

    Niewspierane

    Następujące funkcje LDAP nie są obsługiwane:

    • Przekierowania LDAP między serwerami (RFC 4511/4.1.10)

    Tworzenie nowego łącznika

    To Create a Generic LDAP connector, in Synchronization Service select Management Agent and Create. Select the Generic LDAP (Microsoft) Connector.

    interfejs synchronizacji MIM do utworzenia nowego łącznika

    Łączność

    Na stronie Łączność należy określić informacje o hoście, porcie i powiązaniu. Depending on which Binding is selected, additional information might be supplied in the following sections.

    MIM Sync connector configuration Connectivity page

    • Ustawienie Limit czasu połączenia jest używane tylko dla pierwszego połączenia z serwerem podczas wykrywania schematu.
    • Jeśli powiązanie jest anonimowe, ani nazwa użytkownika/hasło, ani certyfikat nie są używane.
    • W przypadku innych powiązań wprowadź informacje w polu nazwa użytkownika/hasło lub wybierz certyfikat.
    • Jeśli używasz protokołu Kerberos do uwierzytelniania, podaj również obszar/domenę użytkownika.

    The attribute aliases text box is used for attributes defined in the schema with RFC4522 syntax. Nie można wykryć tych atrybutów podczas wykrywania schematu, a łącznik wymaga oddzielnego skonfigurowania tych atrybutów. Na przykład w polu aliasów atrybutów należy wprowadzić następujący ciąg, aby poprawnie zidentyfikować atrybut userCertificate jako atrybut binarny:

    userCertificate;binary

    Poniższa tabela zawiera przykład sposobu, w jaki ta konfiguracja może wyglądać następująco:

    MIM Sync connector configuration Connectivity page with attributes

    Select the include operational attributes in schema checkbox to also include attributes created by the server. Obejmują one atrybuty, takie jak czas utworzenia obiektu i czas ostatniej aktualizacji.

    Wybierz pozycję Dołącz rozszerzalne atrybuty w schematu, jeśli są używane rozszerzalne obiekty (RFC4512/4.3) i włączenie tej opcji umożliwia używanie każdego atrybutu na wszystkich obiektach. Wybranie tej opcji sprawia, że schemat jest bardzo duży, chyba że połączony katalog korzysta z tej funkcji, zaleca się pozostawienie opcji niezaznaczonej.

    Global Parameters

    On the Global Parameters page, you configure the DN to the delta change log and additional LDAP features. Strona jest wstępnie wypełniana informacjami dostarczonymi przez serwer LDAP.

    MIM Sync connector configuration global parameters page

    W górnej sekcji przedstawiono informacje dostarczane przez sam serwer, takie jak nazwa serwera. The Connector also verifies that the mandatory controls are present in the Root DSE. Jeśli te kontrolki nie są wyświetlane, zostanie wyświetlone ostrzeżenie. Niektóre katalogi LDAP nie wyświetlają listy wszystkich funkcji w głównym środowisku DSE i istnieje możliwość, że łącznik działa bez problemów, nawet jeśli jest obecne ostrzeżenie.

    The supported controls checkboxes control the behavior for certain operations:

    • Po wybraniu usuwania drzewa hierarchia jest usuwana z jednym wywołaniem LDAP. Gdy opcja usuwania drzewa jest niezaznaczona, łącznik wykonuje rekursywne usuwanie w razie potrzeby.
    • With paged results selected, the Connector does a paged import with the size specified on the run steps.
    • VLVControl i SortControl są alternatywą dla pagedResultsControl do odczytu danych z katalogu LDAP.
    • Jeśli wszystkie trzy opcje (pagedResultsControl, VLVControl i SortControl) są niezaznaczone, łącznik importuje cały obiekt w jednej operacji, co może zakończyć się niepowodzeniem, jeśli jest to duży katalog.
    • ShowDeletedControl is only used when the Delta import method is USNChanged.

    The change log DN is the naming context used by the delta change log, for example cn=changelog. This value must be specified to be able to do delta import.

    The following table is a list of default change log DNs:

    Katalog Delta change log
    Microsoft AD LDS i AD GC Automatycznie wykryto. USNChanged.
    Serwer katalogów Apache Niedostępne.
    Katalog 389 Dziennik zmian. Wartość domyślna do użycia: cn=changelog
    IBM Tivoli DS Dziennik zmian. Wartość domyślna do użycia: cn=changelog
    Katalog Isode Dziennik zmian. Wartość domyślna do użycia: cn=changelog
    Novell/NetIQ eDirectory Niedostępne. TimeStamp. Konektor używa daty i godziny ostatniej aktualizacji do pobierania dodanych i zaktualizowanych rekordów.
    Otwórz DJ/DS Dziennik zmian. Wartość domyślna do użycia: cn=changelog
    Otwórz protokół LDAP Dziennik dostępu. Wartość domyślna do użycia: cn=accesslog
    Oracle DSEE Dziennik zmian. Wartość domyślna do użycia: cn=changelog
    RadiantOne VDS Katalog wirtualny. Zależy od katalogu połączonego z usługą VDS.
    Serwer Katalogowy Sun One Dziennik zmian. Wartość domyślna do użycia: cn=changelog

    Atrybut hasła jest nazwą atrybutu, który łącznik powinien użyć do ustawienia hasła w operacjach zmiany hasła i zestawu haseł. Ta wartość jest domyślnie ustawiona na userPassword, ale można je zmienić w razie potrzeby dla określonego systemu LDAP.

    Na liście dodatkowych partycji można dodać dodatkowe przestrzenie nazw, które nie są wykrywane automatycznie. Na przykład to ustawienie może być używane, jeśli kilka serwerów składa się z klastra logicznego, co powinno być importowane w tym samym czasie. Podobnie jak Active Directory może mieć wiele domen w jednym lesie, ale wszystkie domeny współużytkują jeden schemat, to samo można zasymulować, wprowadzając dodatkowe przestrzenie nazw w tym oknie. Każda przestrzeń nazw może importować z różnych serwerów i jest dodatkowo skonfigurowana na stronie Konfigurowanie partycji i hierarchii. Użyj Ctrl+Enter, aby uzyskać nowy wiersz.

    Konfigurowanie hierarchii aprowizacji

    This page is used to map the DN component, for example OU, to the object type that should be provisioned, for example organizationalUnit.

    Provisioning Hierarchy

    Konfigurując hierarchię aprowizacji, można skonfigurować łącznik tak, aby automatycznie tworzył strukturę w razie potrzeby. For example, if there is a namespace dc=contoso,dc=com and a new object cn=Joe, ou=Seattle, c=US, dc=contoso, dc=com is provisioned, then the Connector can create an object of type country for US and an organizationalUnit for Seattle if those aren't already present in the directory.

    Konfiguruj partycje i hierarchie

    Na stronie Partycje i hierarchie wybierz wszystkie przestrzenie nazw z obiektami, które mają być importowane i eksportowane.

    MIM Sync connector configuration Partitions page

    Dla każdej przestrzeni nazw można również skonfigurować ustawienia łączności, które przesłoniłyby wartości określone na ekranie Łączność. Jeśli te wartości zostaną pozostawione do domyślnej pustej wartości, zostaną użyte informacje z ekranu Łączność.

    Istnieje również możliwość wybrania, z których kontenerów i jednostek organizacyjnych łącznik powinien importować oraz do których powinien eksportować.

    Podczas wyszukiwania przeszukiwane są wszystkie kontenery w partycji. W przypadkach, gdy istnieje duża liczba kontenerów, takie zachowanie prowadzi do obniżenia wydajności.

    Uwaga

    Począwszy od aktualizacji z marca 2017 r. wyszukiwania przy użyciu ogólnego łącznika LDAP mogą być ograniczone do wybranych kontenerów. Można to zrobić, zaznaczając pole wyboru "Wyszukaj tylko w wybranych kontenerach", jak pokazano na poniższej ilustracji.

    Wyszukaj tylko wybrane kontenery

    Konfiguruj zakotwiczenia

    Ta strona zawsze ma wstępnie skonfigurowaną wartość i nie można jej zmienić. Jeśli dostawca serwera został zidentyfikowany, kotwica może zostać wypełniona niezmiennym atrybutem, na przykład identyfikatorEM GUID obiektu. If it has not been detected or is known to not have an immutable attribute, then the connector uses dn (distinguished name) as the anchor.

    MIM Sync connector configuration anchors page

    Poniższa tabela zawiera listę serwerów LDAP oraz używaną kotwicę:

    Katalog Atrybut elementu kotwiczącego
    Microsoft AD LDS i AD GC Identyfikator obiektu (objectGUID)
    Serwer katalogowy 389 dn
    Katalog Apache dn
    IBM Tivoli DS dn
    Katalog Isode dn
    Novell/NetIQ eDirectory GUID (Globalny Unikalny Identyfikator)
    Otwórz DJ/DS dn
    Otwórz protokół LDAP dn
    Oracle ODSEE dn
    RadiantOne VDS dn
    Serwer Katalogowy Sun One dn

    Inne uwagi

    Ta sekcja zawiera informacje o aspektach specyficznych dla tego łącznika lub z innych powodów, które należy znać.

    Delta import

    The delta watermark in Open LDAP is UTC date/time. Z tego powodu zegary między usługą synchronizacji programu FIM a protokołem Open LDAP muszą być zsynchronizowane. W przeciwnym razie niektóre wpisy w dzienniku zmian delta mogą zostać pominięte.

    W przypadku programu Novell eDirectory import delta nie wykrywa usuwania jakichkolwiek obiektów. Z tego powodu konieczne jest okresowe uruchomienie pełnego importu w celu znalezienia wszystkich usuniętych obiektów.

    For directories with a delta change log that is based on date/time, it is highly recommended to run a full import at periodic times. Ten proces umożliwia aparatowi synchronizacji znajdowanie oraz rozpoznawanie różnic między serwerem LDAP a tym, co jest obecnie w przestrzeni łącznika.

    Rozwiązywanie problemów

    • Last updated on