Technické informace o obecném konektoru LDAP

  • Článek

Tento článek popisuje obecný konektor LDAP. Článek se vztahuje na následující produkty:

Pro MIM2016 je konektor k dispozici ke stažení z webu Microsoft Download Center.

Pokud odkazujete na dokumenty RFC IETF, používá tento dokument formát (RFC [číslo RFC]/[oddíl dokumentu RFC]), například (RFC 4512/4.3). Další informace najdete na adrese https://tools.ietf.org/. Na levém panelu zadejte číslo RFC v dialogovém okně Načtení dokumentu a otestujte ho, abyste se ujistili, že je platný.

Poznámka

Microsoft Entra ID teď poskytuje jednoduché řešení založené na agentech pro zřizování uživatelů na serveru LDAPv3 bez nutnosti nasazení synchronizace MIM. Doporučujeme ho používat ke zřizování odchozích uživatelů. Další informace.

Přehled obecného konektoru LDAP

Obecný konektor LDAP umožňuje integrovat synchronizační službu se serverem LDAP v3.

Některé operace a prvky schématu, například ty, které jsou potřeba k provedení rozdílového importu, nejsou v dokumentech RFC IETF zadané. Pro tyto operace se podporují pouze explicitně zadané adresáře LDAP.

Pro připojení k adresářům testujeme pomocí kořenového účtu nebo účtu správce. Pokud chcete k použití podrobnějších oprávnění použít jiný účet, možná budete muset zkontrolovat u svého týmu adresáře LDAP.

Aktuální verze konektoru podporuje tyto funkce:

Funkce Podpora
Připojený zdroj dat Konektor se podporuje na všech serverech LDAP v3 (kompatibilních s RFC 4510), s výjimkou případů, kdy se označí jako nepodporovaný. Testoval se s těmito adresářovými servery:
  • Služba AD LDS (Microsoft Active Directory Lightweight Directory Services)
  • Globální katalog služby Microsoft Active Directory (AD GC)
  • 389 Directory Server
  • Apache Directory Server
  • IBM Tivoli DS
  • Adresář Isode
  • NetIQ eDirectory
  • Novell eDirectory
  • Open DJ
  • Otevřít DS
  • Open LDAP (openldap.org)
  • Oracle (dříve Sun) Directory Server edice Enterprise
  • RadiantOne Virtual Directory Server (VDS)
  • Sun One Directory Server
  • Microsoft Active Directory Domain Services (AD DS)
    • Ve většině scénářů musíte místo toho použít integrovaný konektor služby Active Directory, protože některé funkce nemusí fungovat.
    Nepodporovatelné známé adresáře nebo funkce:
  • Microsoft Active Directory Domain Services (AD DS)
    • Služba PCNS (Password Change Notification Service)
    • Zřizování Exchange
    • Odstranění zařízení aktivní synchronizace
    • Podpora pro nTDescurityDescriptor
  • Oracle Internet Directory (OID)
    		•
    Scénáře
  • Správa životního cyklu objektů
  • Správa skupin
  • Správa hesel
    		•
    Operace Ve všech adresářích LDAP jsou podporovány následující operace:
  • Full Import
  • Export
    • Následující operace jsou podporovány pouze v určených adresářích:
  • Rozdílový import
  • Nastavení hesla, změna hesla
    		•
    Schéma
  • Schéma je zjištěno ze schématu LDAP (RFC3673 a RFC4512/4.2).
  • Podporuje strukturální třídy, třídy aux a třídu objektů extensibleObject (RFC4512/4.3).
    		•

    Podpora rozdílového importu a správy hesel

    Podporované adresáře pro rozdílový import a správu hesel:

    • Služba AD LDS (Microsoft Active Directory Lightweight Directory Services)
      • Podporuje všechny operace pro rozdílový import.
      • Podporuje nastavení hesla.
    • Globální katalog služby Microsoft Active Directory (AD GC)
      • Podporuje všechny operace pro rozdílový import.
      • Podporuje nastavení hesla.
    • 389 Directory Server
      • Podporuje všechny operace pro rozdílový import.
      • Podporuje nastavení hesla a změnu hesla.
    • Apache Directory Server
      • Nepodporuje rozdílový import, protože tento adresář nemá trvalý protokol změn.
      • Podporuje nastavení hesla.
    • IBM Tivoli DS
      • Podporuje všechny operace pro rozdílový import.
      • Podporuje nastavení hesla a změnu hesla.
    • Adresář Isode
      • Podporuje všechny operace pro rozdílový import.
      • Podporuje nastavení hesla a změnu hesla.
    • Novell eDirectory a NetIQ eDirectory
      • Podporuje operace přidání, aktualizace a přejmenování pro rozdílový import.
      • Nepodporuje operace odstranění pro rozdílový import.
      • Podporuje nastavení hesla a změnu hesla.
    • Open DJ
      • Podporuje všechny operace pro rozdílový import.
      • Podporuje nastavení hesla a změnu hesla.
    • Otevřít DS
      • Podporuje všechny operace pro rozdílový import.
      • Podporuje nastavení hesla a změnu hesla.
    • Open LDAP (openldap.org)
      • Podporuje všechny operace pro rozdílový import.
      • Podporuje nastavení hesla.
      • Nepodporuje změnu hesla.
    • Oracle (dříve Sun) Directory Server edice Enterprise
      • Podporuje všechny operace pro rozdílový import.
      • Podporuje nastavení hesla a změnu hesla.
    • RadiantOne Virtual Directory Server (VDS)
      • Musí používat verzi 7.1.1 nebo vyšší.
      • Podporuje všechny operace pro rozdílový import.
      • Podporuje nastavení hesla a změnu hesla.
    • Sun One Directory Server
      • Podporuje všechny operace pro rozdílový import.
      • Podporuje nastavení hesla a změnu hesla.

    Požadavky

    Před použitím konektoru se ujistěte, že na synchronizačním serveru máte následující:

    • Microsoft .NET 4.6.2 Framework nebo novější

    Nasazení tohoto konektoru může vyžadovat změny konfigurace adresářového serveru a také změny konfigurace MIM. V případě nasazení zahrnujících integraci MIM s adresářovým serverem třetí strany v produkčním prostředí doporučujeme zákazníkům, aby s touto integrací spolupracovali s dodavatelem adresářového serveru nebo s partnerem pro nasazení.

    Zjištění serveru LDAP

    Konektor využívá k detekci a identifikaci serveru LDAP různé techniky. Konektor používá kořenový dse, název dodavatele a verzi a kontroluje schéma, aby zjistil jedinečné objekty a atributy, o kterých je známo, že existují na určitých serverech LDAP. Pokud se tato data najdou, použijí se k předběžnému naplnění možností konfigurace v konektoru.

    Oprávnění připojeného zdroje dat

    K provádění operací importu a exportu u objektů v připojeném adresáři musí mít účet konektoru dostatečná oprávnění. Konektor potřebuje oprávnění k zápisu, aby mohl exportovat, a oprávnění ke čtení, aby mohl importovat. Konfigurace oprávnění se provádí v rámci prostředí pro správu samotného cílového adresáře.

    Porty a protokoly

    Konektor používá číslo portu zadané v konfiguraci, které je ve výchozím nastavení 389 pro LDAP a 636 pro LDAPS.

    Pro LDAPS musíte použít SSL 3.0 nebo TLS. SSL 2.0 se nepodporuje a nejde ho aktivovat.

    Požadované ovládací prvky a funkce

    Aby konektor správně fungoval, musí být na serveru LDAP k dispozici následující ovládací prvky a funkce LDAP:
    1.3.6.1.4.1.4203.1.5.3 Filtry true/false

    Filtr pravda/nepravda se často neoznamuje jako podporovaný adresáři LDAP a může se zobrazit na globální stránce v části Povinné funkce nenalezena. Používá se k vytváření filtrů OR v dotazech LDAP, například při importu více typů objektů. Pokud můžete importovat více než jeden typ objektu, server LDAP tuto funkci podporuje.

    Pokud používáte adresář, ve kterém je ukotvení jedinečným identifikátorem, musí být k dispozici také následující funkce (další informace najdete v části Konfigurace ukotvení ):
    1.3.6.1.4.1.4203.1.5.1 Všechny provozní atributy

    Pokud adresář obsahuje více objektů, než se vejde do jednoho volání adresáře, doporučujeme použít stránkování. Aby stránkování fungovalo, potřebujete jednu z následujících možností:

    Možnost 1:
    1.2.840.113556.1.4.319 pagedResultsControl

    Možnost 2:
    2.16.840.1.113730.3.4.9 VLVControl
    1.2.840.113556.1.4.473 SortControl

    Pokud jsou v konfiguraci konektoru povolené obě možnosti, použije se pagedResultsControl.

    1.2.840.113556.1.4.417 ShowDeletedControl

    ShowDeletedControl se používá pouze s metodou rozdílového importu USNChanged, aby bylo možné zobrazit odstraněné objekty.

    Konektor se pokusí zjistit možnosti, které jsou přítomné na serveru. Pokud se možnosti nedají zjistit, zobrazí se na stránce Globální ve vlastnostech konektoru upozornění. Ne všechny servery LDAP zobrazují všechny ovládací prvky nebo funkce, které podporují, a i když se zobrazí toto upozornění, konektor může fungovat bez problémů.

    Rozdílový import

    Rozdílový import je k dispozici pouze v případech, kdy byl zjištěn adresář, který ho podporuje. V současné době se používají následující metody:

    Nepodporováno

    Následující funkce LDAP nejsou podporovány:

    • Referenční seznamy LDAP mezi servery (RFC 4511/4.1.10)

    Vytvoření nového konektoru

    Pokud chcete vytvořit obecný konektor LDAP, vyberte v synchronizační služběmožnost Agent pro správu a Vytvořit. Vyberte Konektor Generic LDAP (Microsoft).

    Uživatelské rozhraní MIM Sync pro vytvoření nového konektoru

    Připojení

    Na stránce Připojení je nutné zadat informace o hostiteli, portu a vazbě. V závislosti na vybrané vazbě se můžou v následujících částech zobrazit další informace.

    Stránka konfigurace připojení konektoru synchronizace MIM

    • Nastavení Vypršení časového limitu připojení se používá pouze pro první připojení k serveru při zjišťování schématu.
    • Pokud je vazba anonymní, nepoužije se uživatelské jméno ani heslo ani certifikát.
    • Pro další vazby zadejte informace buď do uživatelského jména nebo hesla, nebo vyberte certifikát.
    • Pokud k ověřování používáte Kerberos, zadejte také sféru nebo doménu uživatele.

    Textové pole aliasy atributů se používá pro atributy definované ve schématu pomocí syntaxe RFC4522. Tyto atributy nelze zjistit během detekce schématu a konektor musí tyto atributy nakonfigurovat samostatně. Například následující řetězec musí být zadán do pole aliasy atributů, aby bylo možné správně identifikovat atribut userCertificate jako binární atribut:

    userCertificate;binary

    Následující tabulka uvádí příklad, jak by tato konfigurace mohla vypadat:

    Stránka konfigurace konektoru MIM Sync – Stránka připojení s atributy

    Zaškrtněte políčko Zahrnout provozní atributy do schématu , pokud chcete zahrnout také atributy vytvořené serverem. Patří mezi ně atributy, například kdy byl objekt vytvořen a čas poslední aktualizace.

    Pokud se používají rozšiřitelné objekty (RFC4512/4.3), vyberte Možnost Zahrnout rozšiřitelné atributy do schématu a povolením této možnosti povolíte použití všech atributů pro všechny objekty. Když vyberete tuto možnost, schéma bude velmi velké, takže pokud připojený adresář tuto funkci nepoužívá, doporučujeme ponechat tuto možnost nevybranou.

    Globální parametry

    Na stránce Globální parametry nakonfigurujete DN na rozdílový protokol změn a další funkce LDAP. Stránka je předem vyplněna informacemi poskytnutými serverem LDAP.

    Stránka globálních parametrů konfigurace konektoru MIM Sync

    V horní části se zobrazují informace poskytované samotným serverem, například název serveru. Konektor také ověří, že v kořenovém DSE jsou k dispozici povinné ovládací prvky. Pokud tyto ovládací prvky nejsou uvedené, zobrazí se upozornění. Některé adresáře LDAP nezobrazují seznam všech funkcí v kořenovém DSE a je možné, že konektor funguje bez problémů, i když se zobrazí upozornění.

    Zaškrtávací políčka podporovaných ovládacích prvků určují chování pro určité operace:

    • Když je vybráno odstranění stromové struktury, odstraní se hierarchie jedním voláním LDAP. Pokud není vybráno odstranění stromu, konektor v případě potřeby provede rekurzivní odstranění.
    • Když jsou vybrané stránkované výsledky, konektor provede stránkovaný import s velikostí zadanou v krocích spuštění.
    • VLVControl a SortControl jsou alternativou k pagedResultsControl pro čtení dat z adresáře LDAP.
    • Pokud nejsou vybrány všechny tři možnosti (pagedResultsControl, VLVControl a SortControl), konektor importuje všechny objekty v jedné operaci, což může selhat, pokud se jedná o velký adresář.
    • ShowDeletedControl se používá pouze v případech, kdy metoda importu Delta je USNChanged.

    Dn protokolu změn je kontext názvů používaný protokolem rozdílových změn, například cn=changelog. Tato hodnota musí být zadána, aby bylo možné provádět rozdílový import.

    Následující tabulka obsahuje seznam výchozích názvů DOMÉN protokolu změn:

    Directory Rozdílový protokol změn
    Microsoft AD LDS a AD GC Automaticky se zjistilo. USNChanged.
    Apache Directory Server Není k dispozici.
    Adresář 389 Protokol změn. Výchozí hodnota, která se má použít: cn=changelog
    IBM Tivoli DS Protokol změn. Výchozí hodnota, která se má použít: cn=changelog
    Adresář Isode Protokol změn. Výchozí hodnota, která se má použít: cn=changelog
    Novell/NetIQ eDirectory Není k dispozici. Časové razítko. Konektor používá k získání přidaných a aktualizovaných záznamů datum a čas poslední aktualizace.
    Otevřít DJ/DS Protokol změn. Výchozí hodnota, která se má použít: cn=changelog
    Otevření protokolu LDAP Protokol přístupu. Výchozí hodnota, která se má použít: cn=accesslog
    Oracle DSEE Protokol změn. Výchozí hodnota, která se má použít: cn=changelog
    RadiantOne VDS Virtuální adresář. Závisí na adresáři připojeném k VDS.
    Sun One Directory Server Protokol změn. Výchozí hodnota, která se má použít: cn=changelog

    Atribut password je název atributu, který by konektor měl použít k nastavení hesla v operacích změny hesla a nastavení hesel. Tato hodnota je ve výchozím nastavení nastavená na userPassword , ale je možné ji změnit v případě potřeby pro konkrétní systém LDAP.

    V seznamu dalších oddílů je možné přidat další obory názvů, které nejsou automaticky zjištěny. Toto nastavení se dá použít například v případě, že logický cluster tvoří několik serverů, které by se měly importovat najednou. Stejně jako služba Active Directory může mít více domén v jedné doménové struktuře, ale všechny domény sdílejí jedno schéma, je možné simulovat totéž zadáním dalších oborů názvů do tohoto pole. Každý obor názvů může importovat z různých serverů a dále se konfiguruje na stránce Konfigurace oddílů a hierarchií. Pomocí kombinace kláves Ctrl+Enter získejte nový řádek.

    Konfigurace hierarchie zřizování

    Tato stránka slouží k mapování komponenty DN, například organizační jednotky, na typ objektu, který by měl být zřízen, například organizationalUnit.

    Zřizovací hierarchie

    Konfigurací hierarchie zřizování můžete konektor nakonfigurovat tak, aby v případě potřeby automaticky vytvořil strukturu. Pokud je například zřízený obor názvů dc=contoso,dc=com a nový objekt cn=Joe, ou=Seattle, c=US, dc=contoso, dc=com, pak konektor může vytvořit objekt typu country pro USA a organizační jednotu pro Seattle, pokud tyto objekty v adresáři ještě nejsou.

    Configure Partitions and Hierarchies

    Na stránce oddíly a hierarchie vyberte všechny obory názvů s objekty, které chcete importovat a exportovat.

    Stránka konfigurace konektoru synchronizace MIM

    Pro každý obor názvů je také možné nakonfigurovat nastavení připojení, které by přepsalo hodnoty zadané na obrazovce Připojení. Pokud jsou tyto hodnoty ponechány na výchozí prázdnou hodnotu, použijí se informace z obrazovky Připojení.

    Je také možné vybrat, ze kterých kontejnerů a organizačních jednotek má konektor importovat a do kterých se má exportovat.

    Při vyhledávání se to provádí napříč všemi kontejnery v oddílu. V případech, kdy existuje velký počet kontejnerů, vede toto chování ke snížení výkonu.

    Poznámka

    Od aktualizace obecného konektoru LDAP z března 2017 je možné omezit rozsah vyhledávání pouze na vybrané kontejnery. Můžete to provést zaškrtnutím políčka "Search pouze ve vybraných kontejnerech", jak je znázorněno na následujícím obrázku.

    Search jenom vybrané kontejnery

    Konfigurace ukotvení

    Tato stránka má vždy předkonfigurovanou hodnotu a nelze ji změnit. Pokud byl identifikován dodavatel serveru, může být ukotvení naplněno neměnným atributem, například identifikátorem GUID pro objekt. Pokud nebyl zjištěn nebo je známo, že nemá neměnný atribut, pak konektor jako kotvu použije dn (rozlišující název).

    Stránka konfiguračních ukotvení konektoru MIM Sync

    Následující tabulka obsahuje seznam serverů LDAP a používané kotvy:

    Directory Atribut ukotvení
    Microsoft AD LDS a AD GC objectGUID
    Adresářový server 389 rozlišující název
    Adresář Apache rozlišující název
    IBM Tivoli DS rozlišující název
    Adresář Isode rozlišující název
    Novell/NetIQ eDirectory Identifikátor GUID
    Otevřít DJ/DS rozlišující název
    Otevření protokolu LDAP rozlišující název
    Oracle ODSEE rozlišující název
    RadiantOne VDS rozlišující název
    Sun One Directory Server rozlišující název

    Další poznámky

    Tato část obsahuje informace o aspektech, které jsou specifické pro tento konektor nebo z jiných důvodů, které je důležité znát.

    Rozdílový import

    Rozdílový vodoznak v open LDAP je datum a čas UTC. Z tohoto důvodu musí být synchronizovány hodiny mezi synchronizační službou FIM a open ldap. Pokud ne, některé položky v protokolu rozdílových změn můžou být vynechány.

    V případě Novell eDirectory rozdílový import nezjistí žádné odstranění objektů. Z tohoto důvodu je nutné pravidelně spouštět úplný import, aby byly nalezeny všechny odstraněné objekty.

    U adresářů s rozdílovým protokolem změn, který je založený na datu a čase, důrazně doporučujeme spouštět úplný import v pravidelných časech. Tento proces umožňuje synchronizačnímu modulu zjistit rozdíly mezi serverem LDAP a tím, co je aktuálně v prostoru konektoru.

    Poradce při potížích