Referensi teknis Konektor LDAP Generik
Artikel ini menjelaskan Konektor LDAP Generik. Artikel ini berlaku untuk produk berikut:
- Microsoft Identity Manager 2016 (MIM2016)
- Microsoft Entra ID
Untuk MIM2016, Konektor tersedia sebagai unduhan dari Pusat Unduhan Microsoft.
Jika mengacu pada IETF RFC, dokumen ini menggunakan format (RFC [nomor RFC]/[bagian dalam dokumen RFC]), misalnya (RFC 4512/4.3). Anda dapat menemukan informasi selengkapnya di https://tools.ietf.org/. Di panel kiri, masukkan nomor RFC dalam kotak dialog Ambil dokumen dan uji untuk memastikannya valid.
Catatan
Microsoft Entra ID sekarang menyediakan solusi berbasis agen ringan untuk memprovisikan pengguna ke server LDAPv3, tanpa memerlukan penyebaran sinkronisasi MIM. Sebaiknya gunakan untuk provisi pengguna keluar. Pelajari lebih lanjut.
Gambaran umum Konektor LDAP Generik
Konektor LDAP Generik memungkinkan Anda mengintegrasikan layanan sinkronisasi dengan server LDAP v3.
Operasi dan elemen skema tertentu, seperti yang diperlukan untuk melakukan impor delta, tidak ditentukan dalam IETF RFC. Untuk operasi ini, hanya direktori LDAP yang secara eksplisit ditentukan yang didukung.
Untuk menyambungkan ke direktori, kami menguji menggunakan akun root/admin. Untuk menggunakan akun lain untuk menerapkan izin yang lebih terperinci, Anda mungkin perlu meninjau dengan tim direktori LDAP Anda.
Rilis konektor saat ini mendukung fitur-fitur ini:
Fitur | Dukungan |
---|---|
Sumber data yang tersambung | Konektor didukung dengan semua server LDAP v3 (sesuai dengan RFC 4510), kecuali jika dipanggil sebagai tidak didukung. Ini telah diuji dengan server direktori ini:
|
Skenario | |
Operasional | Operasi berikut didukung pada semua direktori LDAP: |
Skema |
Dukungan impor delta dan manajemen kata sandi
Direktori yang Didukung untuk impor Delta dan Manajemen kata sandi:
- Microsoft Active Directory Lightweight Directory Services (AD LDS)
- Mendukung semua operasi untuk impor delta
- Mendukung Set Kata Sandi
- Katalog Global Microsoft Active Directory (AD GC)
- Mendukung semua operasi untuk impor delta
- Mendukung Set Kata Sandi
- 389 Directory Server
- Mendukung semua operasi untuk impor delta
- Mendukung Set Kata Sandi dan Ubah Kata Sandi
- Apache Directory Server
- Tidak mendukung impor delta karena direktori ini Tidak memiliki log perubahan persisten
- Mendukung Set Kata Sandi
- IBM Tivoli DS
- Mendukung semua operasi untuk impor delta
- Mendukung Set Kata Sandi dan Ubah Kata Sandi
- Isode Directory
- Mendukung semua operasi untuk impor delta
- Mendukung Set Kata Sandi dan Ubah Kata Sandi
- Novell eDirectory dan NetIQ eDirectory
- Mendukung operasi Tambahkan, Perbarui, dan Ganti Nama untuk impor delta
- Tidak mendukung operasi Hapus untuk impor delta
- Mendukung Set Kata Sandi dan Ubah Kata Sandi
- Open DJ
- Mendukung semua operasi untuk impor delta
- Mendukung Set Kata Sandi dan Ubah Kata Sandi
- Open DS
- Mendukung semua operasi untuk impor delta
- Mendukung Set Kata Sandi dan Ubah Kata Sandi
- Open LDAP (openldap.org)
- Mendukung semua operasi untuk impor delta
- Mendukung Set Kata Sandi
- Tidak mendukung perubahan kata sandi
- Oracle (sebelumnya Sun) Directory Server Enterprise Edition
- Mendukung semua operasi untuk impor delta
- Mendukung Atur Kata Sandi dan Ubah Kata Sandi
- RadiantOne Virtual Directory Server (VDS)
- Harus menggunakan versi 7.1.1 atau yang lebih tinggi
- Mendukung semua operasi untuk impor delta
- Mendukung Atur Kata Sandi dan Ubah Kata Sandi
- Sun One Directory Server
- Mendukung semua operasi untuk impor delta
- Mendukung Atur Kata Sandi dan Ubah Kata Sandi
Prasyarat
Sebelum Anda menggunakan Konektor, pastikan Anda memiliki yang berikut ini di server sinkronisasi:
- Microsoft .NET 4.6.2 Framework atau yang lebih baru
Menyebarkan konektor ini mungkin memerlukan perubahan pada konfigurasi server direktori serta perubahan konfigurasi pada MIM. Untuk penyebaran yang melibatkan MIM dengan server direktori pihak ketiga di lingkungan produksi, sebaiknya pelanggan bekerja dengan vendor server direktori mereka, atau mitra penyebaran untuk bantuan, panduan, dan dukungan untuk integrasi ini.
Mendeteksi server LDAP
Konektor tersebut bergantung pada berbagai teknik untuk mendeteksi dan mengidentifikasi server LDAP. Konektor tersebut menggunakan Root DSE, nama/versi vendor, dan memeriksa skema untuk menemukan objek dan atribut unik yang diketahui ada di server LDAP tertentu. Data ini, jika ditemukan, digunakan untuk mengisi opsi konfigurasi sebelumnya di Konektor.
Izin Sumber Data Tersambung
Untuk melakukan operasi impor dan ekspor pada objek di direktori yang terhubung, akun konektor harus memiliki izin yang memadai. Konektor memerlukan izin tulis agar dapat mengekspor, dan membaca izin untuk dapat mengimpor. Konfigurasi izin dilakukan dalam pengalaman manajemen direktori target itu sendiri.
Port dan protokol
Konektor menggunakan nomor port yang ditentukan dalam konfigurasi, yang secara default adalah 389 untuk LDAP dan 636 untuk LDAPS.
Untuk LDAPS, Anda harus menggunakan SSL 3.0 atau TLS. SSL 2.0 tidak didukung dan tidak dapat diaktifkan.
Kontrol dan fitur yang diperlukan
Kontrol/fitur LDAP berikut harus tersedia di server LDAP agar konektor berfungsi dengan baik:
1.3.6.1.4.1.4203.1.5.3
Filter Benar/Salah
Filter True/False sering kali tidak dilaporkan sebagai didukung oleh direktori LDAP dan mungkin muncul di Halaman Global di bawah Fitur Wajib Tidak Ditemukan. Ini digunakan untuk membuat filter OR dalam kueri LDAP, misalnya saat mengimpor beberapa jenis objek. Jika Anda dapat mengimpor lebih dari satu jenis objek, maka server LDAP Anda mendukung fitur ini.
Jika Anda menggunakan direktori di mana pengidentifikasi unik adalah jangkar, fitur berikut juga harus tersedia (Untuk informasi selengkapnya, lihat bagian Mengonfigurasi Jangkar ):
1.3.6.1.4.1.4203.1.5.1
Semua atribut operasional
Jika direktori memiliki lebih banyak objek daripada yang dapat dimuat dalam satu panggilan ke direktori, maka disarankan untuk menggunakan penomoran halaman. Agar halaman berfungsi, Anda memerlukan salah satu opsi berikut:
Opsi 1:
1.2.840.113556.1.4.319
pagedResultsControl
Opsi 2:
2.16.840.1.113730.3.4.9
VLVControl
1.2.840.113556.1.4.473
SortirKontrol
Jika kedua opsi diaktifkan dalam konfigurasi konektor, pagedResultsControl digunakan.
1.2.840.113556.1.4.417
ShowDeletedControl
ShowDeletedControl hanya digunakan dengan metode impor delta USNChanged untuk dapat melihat objek yang dihapus.
Konektor mencoba mendeteksi opsi yang ada di server. Jika opsi tidak dapat dideteksi, peringatan ada di halaman Global di properti konektor. Tidak semua server LDAP menyajikan semua kontrol/fitur yang mereka dukung dan bahkan jika peringatan ini ada, konektor mungkin berfungsi tanpa masalah.
Impor delta
Impor Delta hanya tersedia ketika direktori yang mendukungnya telah terdeteksi. Metode berikut saat ini digunakan:
- Log Akses LDAP. Lihat http://www.openldap.org/doc/admin24/overlays.html#Access Pengelogan
- Log Perubahan LDAP. Lihat http://tools.ietf.org/html/draft-good-ldap-changelog-04
- Timestamp. Untuk Novell/NetIQ eDirectory, Konektor menggunakan tanggal/waktu terakhir untuk membuat dan memperbarui objek. Novell/NetIQ eDirectory tidak menyediakan cara yang setara untuk mengambil objek yang dihapus. Opsi ini juga dapat digunakan jika tidak ada metode impor delta lain yang aktif di server LDAP. Opsi ini tidak dapat mengimpor objek yang dihapus.
- UsnChanged. Melihat: https://msdn.microsoft.com/library/ms677627.aspx
Tidak didukung
Fitur LDAP berikut ini tidak didukung:
- Rujukan LDAP antara server (RFC 4511/4.1.10)
Membuat Konektor baru
Untuk Membuat konektor LDAP Generik, di Layanan Sinkronisasi pilih Agen Manajemen dan Buat. Pilih Konektor LDAP Generik (Microsoft).
Konektivitas
Pada halaman Konektivitas, Anda harus menentukan informasi Host, Port, dan Pengikatan. Bergantung pada Pengikatan mana yang dipilih, informasi tambahan mungkin diberikan di bagian berikut.
- Pengaturan Batas Waktu Koneksi hanya digunakan untuk koneksi pertama ke server saat mendeteksi skema.
- Jika Pengikatan bersifat Anonim, maka nama pengguna/kata sandi maupun sertifikat tidak digunakan.
- Untuk pengikatan lainnya, masukkan informasi baik dalam nama pengguna/kata sandi atau pilih sertifikat.
- Jika Anda menggunakan Kerberos untuk mengautentikasi, berikan juga Realm/Domain pengguna.
Kotak teks alias atribut digunakan untuk atribut yang ditentukan dalam skema dengan sintaks RFC4522. Atribut ini tidak dapat dideteksi selama deteksi skema dan Konektor memerlukan atribut tersebut untuk dikonfigurasi secara terpisah. Misalnya string berikut harus dimasukkan dalam kotak alias atribut untuk mengidentifikasi atribut userCertificate dengan benar sebagai atribut biner:
userCertificate;binary
Tabel berikut adalah contoh bagaimana konfigurasi ini bisa terlihat seperti:
Pilih kotak centang sertakan atribut operasional dalam skema untuk juga menyertakan atribut yang dibuat oleh server. Ini termasuk atribut seperti ketika objek dibuat dan waktu pembaruan terakhir.
Pilih Sertakan atribut yang dapat diperluas dalam skema jika objek yang dapat diperluas (RFC4512/4.3) digunakan dan mengaktifkan opsi ini memungkinkan setiap atribut digunakan pada semua objek. Memilih opsi ini membuat skema sangat besar sehingga kecuali direktori yang terhubung menggunakan fitur ini, rekomendasinya adalah untuk menjaga opsi tidak dipilih.
Parameter Global
Pada halaman Parameter Global, Anda mengonfigurasi DN ke log perubahan delta dan fitur LDAP tambahan. Halaman telah diisi sebelumnya dengan informasi yang disediakan oleh server LDAP.
Bagian atas memperlihatkan informasi yang disediakan oleh server itu sendiri, seperti nama server. Konektor juga memverifikasi bahwa kontrol wajib ada di Root DSE. Jika kontrol ini tidak tercantum, peringatan akan ditampilkan. Beberapa direktori LDAP tidak mencantumkan semua fitur di Root DSE dan ada kemungkinan bahwa Konektor berfungsi tanpa masalah bahkan jika ada peringatan.
Kotak centang kontrol yang didukung mengontrol perilaku untuk operasi tertentu:
- Dengan penghapusan pohon dipilih, hierarki dihapus dengan satu panggilan LDAP. Dengan penghapusan pohon yang tidak dipilih, konektor melakukan penghapusan rekursif jika diperlukan.
- Dengan hasil halaman dipilih, Konektor melakukan impor halaman dengan ukuran yang ditentukan pada langkah-langkah eksekusi.
- VLVControl dan SortControl adalah alternatif untuk pagedResultsControl untuk membaca data dari direktori LDAP.
- Jika ketiga opsi (pagedResultsControl, VLVControl, dan SortControl) tidak dipilih maka Konektor mengimpor semua objek dalam satu operasi, yang mungkin gagal jika merupakan direktori besar.
- ShowDeletedControl hanya digunakan ketika metode impor Delta adalah USNChanged.
Log perubahan DN adalah konteks penamaan yang digunakan oleh log perubahan delta, misalnya cn=changelog. Nilai ini harus ditentukan agar dapat melakukan impor delta.
Tabel berikut ini adalah daftar DN log perubahan default:
Directory | Log perubahan Delta |
---|---|
Microsoft AD LDS dan AD GC | Terdeteksi secara otomatis. UsnChanged. |
Apache Directory Server | Tidak tersedia. |
Direktori 389 | Ubah log. Nilai default yang akan digunakan: cn=changelog |
IBM Tivoli DS | Ubah log. Nilai default yang akan digunakan: cn=changelog |
Isode Directory | Ubah log. Nilai default yang akan digunakan: cn=changelog |
Novell/NetIQ eDirectory | Tidak tersedia. Timestamp. Konektor menggunakan tanggal/waktu terakhir yang diperbarui untuk menambahkan dan memperbarui rekaman. |
Buka DJ/DS | Ubah log. Nilai default yang akan digunakan: cn=changelog |
Buka LDAP | Log akses. Nilai default yang akan digunakan: cn=accesslog |
Oracle DSEE | Ubah log. Nilai default yang akan digunakan: cn=changelog |
VD RadiantOne | Direktori virtual. Tergantung pada direktori yang terhubung ke VDS. |
Sun One Directory Server | Ubah log. Nilai default yang akan digunakan: cn=changelog |
Atribut kata sandi adalah nama atribut yang harus digunakan Konektor untuk mengatur kata sandi dalam perubahan kata sandi dan operasi set kata sandi. Nilai ini secara default diatur ke userPassword tetapi dapat diubah ketika diperlukan untuk sistem LDAP tertentu.
Dalam daftar partisi tambahan, dimungkinkan untuk menambahkan namespace layanan tambahan yang tidak terdeteksi secara otomatis. Misalnya, pengaturan ini dapat digunakan jika beberapa server membentuk kluster logis, yang semuanya harus diimpor secara bersamaan. Sama seperti Direktori Aktif dapat memiliki beberapa domain dalam satu forest tetapi semua domain berbagi satu skema, hal yang sama dapat disimulasikan dengan memasukkan namespace layanan tambahan dalam kotak ini. Setiap namespace dapat mengimpor dari server yang berbeda dan dikonfigurasi lebih lanjut pada halaman Konfigurasi Partisi dan Hierarki. Gunakan Ctrl+Enter untuk mendapatkan baris baru.
Mengonfigurasi Hierarki Provisi
Halaman ini digunakan untuk memetakan komponen DN, misalnya OU, ke jenis objek yang harus disediakan, misalnya organizationalUnit.
Dengan mengonfigurasi hierarki provisi, Anda dapat mengonfigurasi Konektor untuk membuat struktur secara otomatis saat diperlukan. Misalnya, jika ada namespace dc=contoso,dc=com dan objek baru cn=Joe, ou=Seattle, c=US, dc=contoso, dc=com disediakan, maka Konektor dapat membuat objek negara jenis untuk AS dan organizationalUnit untuk Seattle jika belum ada di direktori.
Mengonfigurasi Partisi dan Hierarki
Pada halaman partisi dan hierarki, pilih semua namespace dengan objek yang Anda rencanakan untuk diimpor dan diekspor.
Untuk setiap namespace layanan, dimungkinkan juga untuk mengonfigurasi pengaturan konektivitas yang akan menggantikan nilai yang ditentukan pada layar Konektivitas. Jika nilai-nilai ini dibiarkan ke nilai kosong defaultnya, informasi dari layar Konektivitas akan digunakan.
Dimungkinkan juga untuk memilih kontainer dan OU mana yang harus diimpor dan diekspor oleh Konektor.
Saat melakukan pencarian, ini dilakukan di semua kontainer dalam partisi. Dalam kasus di mana ada sejumlah besar kontainer, perilaku ini menyebabkan penurunan performa.
Catatan
Mulai pembaruan Maret 2017 ke pencarian konektor LDAP Generik dapat dibatasi dalam cakupan hanya untuk kontainer yang dipilih. Ini dapat dilakukan dengan memilih kotak centang 'Search hanya dalam kontainer yang dipilih' seperti yang ditunjukkan pada gambar di bawah ini.
Mengonfigurasi Anchors
Halaman ini selalu memiliki nilai yang telah dikonfigurasi sebelumnya dan tidak dapat diubah. Jika vendor server telah diidentifikasi, maka jangkar mungkin diisi dengan atribut yang tidak dapat diubah, misalnya GUID untuk objek. Jika belum terdeteksi atau diketahui tidak memiliki atribut yang tidak dapat diubah, maka konektor menggunakan dn (nama khusus) sebagai jangkar.
Tabel berikut adalah daftar server LDAP dan jangkar yang digunakan:
Directory | Atribut jangkar |
---|---|
Microsoft AD LDS dan AD GC | objectGUID |
389 Directory Server | dn |
Direktori Apache | dn |
IBM Tivoli DS | dn |
Isode Directory | dn |
Novell/NetIQ eDirectory | GUID |
Buka DJ/DS | dn |
Buka LDAP | dn |
Oracle ODSEE | dn |
VD RadiantOne | dn |
Sun One Directory Server | dn |
Catatan Lain
Bagian ini menyediakan informasi aspek yang khusus untuk Konektor ini atau karena alasan lain penting untuk diketahui.
Impor delta
Marka air delta di Open LDAP adalah tanggal/waktu UTC. Untuk alasan ini, jam antara Layanan Sinkronisasi FIM dan Open LDAP harus disinkronkan. Jika tidak, beberapa entri dalam log perubahan delta mungkin dihilangkan.
Untuk Novell eDirectory, impor delta tidak mendeteksi penghapusan objek apa pun. Untuk alasan ini, perlu untuk menjalankan impor penuh secara berkala untuk menemukan semua objek yang dihapus.
Untuk direktori dengan log perubahan delta yang didasarkan pada tanggal/waktu, sangat disarankan untuk menjalankan impor penuh pada waktu berkala. Proses ini memungkinkan mesin sinkronisasi untuk menemukan dan membedakan antara server LDAP dan apa yang saat ini ada di ruang konektor.
Pemecahan Masalah
- Untuk informasi tentang cara mengaktifkan pengelogan untuk memecahkan masalah konektor, lihat Cara Mengaktifkan Pelacakan ETW untuk Konektor.