Dokumentacja techniczna ogólnego łącznika LDAP

W tym artykule opisano ogólny łącznik LDAP. Artykuł dotyczy następujących produktów:

W przypadku MIM2016 łącznik jest dostępny do pobrania z Centrum pobierania Microsoft.

W przypadku odwoływania się do dokumentów RTF ten dokument używa formatu (RFC [numer RFC]/[sekcja w dokumencie RFC]), na przykład (RFC 4512/4.3). Więcej informacji można znaleźć na stronie https://tools.ietf.org/. W panelu po lewej stronie wprowadź numer RFC w oknie dialogowym pobierania dokumentu i przetestuj go, aby upewnić się, że jest prawidłowy.

Uwaga

Tożsamość Microsoft Entra teraz zapewnia uproszczone rozwiązanie oparte na agencie na potrzeby aprowizowania użytkowników na serwerze LDAPv3 bez konieczności wdrażania synchronizacji programu MIM. Zalecamy użycie jej na potrzeby aprowizacji użytkowników wychodzących. Dowiedz się więcej.

Omówienie ogólnego łącznika LDAP

Łącznik Generic LDAP umożliwia integrację usługi synchronizacji z serwerem LDAP w wersji 3.

Niektóre operacje i elementy schematu, takie jak te potrzebne do przeprowadzenia importu różnicowego, nie są określone w dokumentach RFC IETF. W przypadku tych operacji obsługiwane są tylko jawnie określone katalogi LDAP.

Aby nawiązać połączenie z katalogami, testujemy przy użyciu konta głównego/administratora. Aby użyć innego konta do zastosowania bardziej szczegółowych uprawnień, może być konieczne zapoznanie się z zespołem katalogu LDAP.

Bieżąca wersja łącznika obsługuje następujące funkcje:

Cecha Pomoc techniczna
Połączone źródło danych Łącznik jest obsługiwany przez wszystkie serwery LDAP w wersji 3 (zgodne ze specyfikacją RFC 4510), z wyjątkiem sytuacji, w której jest wywoływana jako nieobsługiwana. Został przetestowany przy użyciu tych serwerów katalogów:
  • Microsoft Active Directory Lightweight Directory Services (AD LDS)
  • Katalog globalny usługi Microsoft Active Directory (AD GC)
  • Serwer katalogów 389
  • Serwer katalogów Apache
  • IBM Tivoli DS
  • Katalog Isode
  • NetIQ eDirectory
  • Novell eDirectory
  • Otwórz DJ
  • Otwórz usługę DS
  • Otwórz protokół LDAP (openldap.org)
  • Oracle (wcześniej Sun) Directory Server Enterprise Edition
  • RadiantOne Virtual Directory Server (VDS)
  • Sun One Directory Server
  • Microsoft Active Directory Domain Services (AD DS)
    • W większości scenariuszy należy użyć wbudowanego łącznika usługi Active Directory, ponieważ niektóre funkcje mogą nie działać
    Nieobsługiwane znane katalogi lub funkcje:
  • Microsoft Active Directory Domain Services (AD DS)
    • Usługa powiadamiania o zmianie hasła (PCNS)
    • Aprowizowanie programu Exchange
    • Usuwanie urządzeń z usługą Active Sync
    • Obsługa klasy nTDescurityDescriptor
  • Oracle Internet Directory (OID)
  • Scenariusze
  • Zarządzanie cyklem życia obiektów
  • Zarządzanie grupami
  • Zarządzanie hasłami
  • Operacje Następujące operacje są obsługiwane we wszystkich katalogach LDAP:
  • Pełny import
  • Eksportowanie
  • Następujące operacje są obsługiwane tylko w określonych katalogach:
  • Import zmian
  • Ustawianie hasła, zmienianie hasła
  • Schemat
  • Schemat jest wykrywany ze schematu LDAP (RFC3673 i RFC4512/4.2)
  • Obsługuje klasy strukturalne, klasy aux i rozszerzalną klasę obiektówObject (RFC4512/4.3)
  • Obsługa importowania i zarządzania hasłami na platformie Delta

    Obsługiwane katalogi na potrzeby importowania różnicowego i zarządzania hasłami:

    • Microsoft Active Directory Lightweight Directory Services (AD LDS)
      • Obsługuje wszystkie operacje importowania różnicowego
      • Obsługuje ustawianie hasła
    • Katalog globalny usługi Microsoft Active Directory (AD GC)
      • Obsługuje wszystkie operacje importowania różnicowego
      • Obsługuje ustawianie hasła
    • Serwer katalogów 389
      • Obsługuje wszystkie operacje importowania różnicowego
      • Obsługuje ustawianie hasła i zmienianie hasła
    • Serwer katalogów Apache
      • Nie obsługuje importowania różnicowego, ponieważ ten katalog nie ma trwałego dziennika zmian
      • Obsługuje ustawianie hasła
    • IBM Tivoli DS
      • Obsługuje wszystkie operacje importowania różnicowego
      • Obsługuje ustawianie hasła i zmienianie hasła
    • Katalog Isode
      • Obsługuje wszystkie operacje importowania różnicowego
      • Obsługuje ustawianie hasła i zmienianie hasła
    • Novell eDirectory i NetIQ eDirectory
      • Obsługuje operacje dodawania, aktualizowania i zmieniania nazw na potrzeby importowania różnicowego
      • Nie obsługuje operacji usuwania na potrzeby importowania różnicowego
      • Obsługuje ustawianie hasła i zmienianie hasła
    • Otwórz DJ
      • Obsługuje wszystkie operacje importowania różnicowego
      • Obsługuje ustawianie hasła i zmienianie hasła
    • Otwórz usługę DS
      • Obsługuje wszystkie operacje importowania różnicowego
      • Obsługuje ustawianie hasła i zmienianie hasła
    • Otwórz protokół LDAP (openldap.org)
      • Obsługuje wszystkie operacje importowania różnicowego
      • Obsługuje ustawianie hasła
      • Nie obsługuje zmiany hasła
    • Oracle (wcześniej Sun) Directory Server Enterprise Edition
      • Obsługuje wszystkie operacje importowania różnicowego
      • Obsługuje ustawianie hasła i zmienianie hasła
    • RadiantOne Virtual Directory Server (VDS)
      • Musi być używana wersja 7.1.1 lub nowsza
      • Obsługuje wszystkie operacje importowania różnicowego
      • Obsługuje ustawianie hasła i zmienianie hasła
    • Sun One Directory Server
      • Obsługuje wszystkie operacje importowania różnicowego
      • Obsługuje ustawianie hasła i zmienianie hasła

    Wymagania wstępne

    Przed rozpoczęciem korzystania z łącznika upewnij się, że na serwerze synchronizacji są następujące elementy:

    • Program Microsoft .NET 4.5.2 Framework lub nowszy

    Wdrożenie tego łącznika może wymagać zmian w konfiguracji serwera katalogowego, a także zmian konfiguracji w programie MIM. W przypadku wdrożeń obejmujących integrację programu MIM z serwerem katalogowym innej firmy w środowisku produkcyjnym zalecamy klientom pracę z dostawcą serwera katalogowego lub partnerem wdrożeniowym w celu uzyskania pomocy, wskazówek i obsługi technicznej dla tej integracji.

    Wykrywanie serwera LDAP

    Łącznik opiera się na różnych technikach wykrywania i identyfikowania serwera LDAP. Łącznik używa głównego dse, nazwy dostawcy/wersji i sprawdza schemat w celu znalezienia unikatowych obiektów i atrybutów znanych, że istnieją na niektórych serwerach LDAP. Te dane, jeśli zostaną znalezione, zostaną użyte do wstępnego wypełnienia opcji konfiguracji w łączniku.

    Uprawnienia połączonego źródła danych

    Aby wykonać operacje importowania i eksportowania obiektów w połączonym katalogu, konto łącznika musi mieć wystarczające uprawnienia. Łącznik musi mieć uprawnienia do zapisu, aby móc eksportować i do odczytu mieć uprawnienia do importowania. Konfiguracja uprawnień jest wykonywana w środowiskach zarządzania samego katalogu docelowego.

    Porty i protokoły

    Łącznik używa numeru portu określonego w konfiguracji, który domyślnie jest 389 dla protokołu LDAP i 636 dla protokołu LDAPS.

    W przypadku protokołu LDAPS należy użyć protokołu SSL 3.0 lub TLS. Protokół SSL 2.0 nie jest obsługiwany i nie można go aktywować.

    Wymagane kontrolki i funkcje

    Aby łącznik działał prawidłowo, na serwerze LDAP muszą być dostępne następujące kontrolki/funkcje LDAP:
    1.3.6.1.4.1.4203.1.5.3 Filtry prawda/fałsz

    Filtr prawda/fałsz jest często zgłaszany jako obsługiwany przez katalogi LDAP i może być wyświetlany na stronie globalnej w obszarze Nie znaleziono obowiązkowych funkcji. Służy do tworzenia filtrów OR w zapytaniach LDAP, na przykład podczas importowania wielu typów obiektów. Jeśli możesz zaimportować więcej niż jeden typ obiektu, serwer LDAP obsługuje tę funkcję.

    Jeśli używasz katalogu, w którym unikatowy identyfikator jest kotwicą, musi być również dostępna następująca funkcja (aby uzyskać więcej informacji, zobacz sekcję Konfigurowanie kotwic ):
    1.3.6.1.4.1.4203.1.5.1 Wszystkie atrybuty operacyjne

    Jeśli katalog ma więcej obiektów niż to, co może mieścić się w jednym wywołaniu do katalogu, zaleca się użycie stronicowania. Aby stronicowanie działało, potrzebujesz jednej z następujących opcji:

    Opcja 1.
    1.2.840.113556.1.4.319 pagedResultsControl

    Opcja 2.
    2.16.840.1.113730.3.4.9 VlVControl
    1.2.840.113556.1.4.473 SortControl

    Jeśli obie opcje są włączone w konfiguracji łącznika, zostanie użyta pagedResultsControl.

    1.2.840.113556.1.4.417 ShowDeletedControl

    Funkcja ShowDeletedControl jest używana tylko z metodą importowania różnicowego USNChanged, aby można było wyświetlić usunięte obiekty.

    Łącznik próbuje wykryć opcje dostępne na serwerze. Jeśli nie można wykryć opcji, na stronie globalnej we właściwościach łącznika jest wyświetlane ostrzeżenie. Nie wszystkie serwery LDAP przedstawiają wszystkie obsługiwane kontrolki/funkcje, a nawet jeśli to ostrzeżenie jest obecne, łącznik może działać bez problemów.

    Import zmian

    Importowanie różnicowe jest dostępne tylko wtedy, gdy wykryto katalog, który go obsługuje. Obecnie są używane następujące metody:

    Nieobsługiwane

    Następujące funkcje LDAP nie są obsługiwane:

    • Odwołania LDAP między serwerami (RFC 4511/4.1.10)

    Tworzenie nowego łącznika

    Aby utworzyć ogólny łącznik LDAP, w usłudze synchronizacji wybierz pozycję Agent zarządzania i Utwórz. Wybierz łącznik Generic LDAP (Microsoft).

    Interfejs użytkownika synchronizacji programu MIM do tworzenia nowego łącznika

    Łączność

    Na stronie Łączność należy określić informacje o hoście, porcie i powiązaniu. W zależności od wybranego powiązania można podać dodatkowe informacje w poniższych sekcjach.

    Strona łączności konfiguracji łącznika synchronizacji programu MIM

    • Ustawienie Limit czasu połączenia jest używane tylko dla pierwszego połączenia z serwerem podczas wykrywania schematu.
    • Jeśli powiązanie jest anonimowe, ani nazwa użytkownika/hasło, ani certyfikat nie są używane.
    • W przypadku innych powiązań wprowadź informacje w polu nazwa użytkownika/hasło lub wybierz certyfikat.
    • Jeśli do uwierzytelniania używasz protokołu Kerberos, podaj również obszar/domenę użytkownika.

    Pole tekstowe aliasów atrybutów jest używane dla atrybutów zdefiniowanych w schemacie ze składnią RFC4522. Tych atrybutów nie można wykryć podczas wykrywania schematu, a łącznik wymaga oddzielnego skonfigurowania tych atrybutów. Na przykład w polu aliasów atrybutów należy wprowadzić następujący ciąg, aby poprawnie zidentyfikować atrybut userCertificate jako atrybut binarny:

    userCertificate;binary

    Poniższa tabela zawiera przykład sposobu, w jaki ta konfiguracja może wyglądać:

    Strona łączności z konfiguracją łącznika synchronizacji programu MIM z atrybutami

    Zaznacz pole wyboru uwzględnij atrybuty operacyjne w schemacie , aby uwzględnić również atrybuty utworzone przez serwer. Obejmują one atrybuty, takie jak czas utworzenia obiektu i czas ostatniej aktualizacji.

    Wybierz opcję Uwzględnij rozszerzalne atrybuty w schemacie , jeśli są używane rozszerzalne obiekty (RFC4512/4.3), a włączenie tej opcji umożliwia używanie każdego atrybutu na wszystkich obiektach. Wybranie tej opcji sprawia, że schemat jest bardzo duży, chyba że połączony katalog korzysta z tej funkcji, zaleca się pozostawienie opcji niezaznaczonej.

    Parametry globalne

    Na stronie Parametry globalne skonfiguruj nazwę wyróżniającą do dziennika zmian różnicowych i dodatkowe funkcje LDAP. Strona jest wstępnie wypełniana informacjami dostarczonymi przez serwer LDAP.

    Strona globalnych parametrów konfiguracji łącznika synchronizacji programu MIM

    W górnej sekcji przedstawiono informacje podane przez sam serwer, takie jak nazwa serwera. Łącznik sprawdza również, czy obowiązkowe kontrolki znajdują się w głównym środowisku DSE. Jeśli te kontrolki nie są wyświetlane, zostanie wyświetlone ostrzeżenie. Niektóre katalogi LDAP nie wyświetlają listy wszystkich funkcji w głównym środowisku DSE i istnieje możliwość, że łącznik działa bez problemów, nawet jeśli jest obecne ostrzeżenie.

    Pola wyboru obsługiwanych kontrolek kontrolują zachowanie niektórych operacji:

    • Po wybraniu usuwania drzewa hierarchia jest usuwana z jednym wywołaniem LDAP. Po usunięciu drzewa niezaznaczone łącznik wykonuje rekursywne usuwanie w razie potrzeby.
    • Po wybraniu stronicowanych wyników łącznik wykonuje stronicowany import z rozmiarem określonym w krokach uruchamiania.
    • VVControl i SortControl jest alternatywą dla pagedResultsControl do odczytu danych z katalogu LDAP.
    • Jeśli wszystkie trzy opcje (pagedResultsControl, VLVControl i SortControl) są niezaznaczone, łącznik importuje cały obiekt w jednej operacji, co może zakończyć się niepowodzeniem, jeśli jest to duży katalog.
    • Funkcja ShowDeletedControl jest używana tylko wtedy, gdy metoda importu delty to USNChanged.

    Nazwa wyróżniająca dziennika zmian to kontekst nazewnictwa używany przez dziennik zmian różnicowych, na przykład cn=changelog. Ta wartość musi być określona, aby można było wykonać importowanie różnicowe.

    Poniższa tabela zawiera listę domyślnych nazw DN dziennika zmian:

    Directory Dziennik zmian różnicowych
    Microsoft AD LDS i AD GC Automatycznie wykryto. USNChanged.
    Serwer katalogów Apache Niedostępne.
    Katalog 389 Dziennik zmian. Wartość domyślna do użycia: cn=changelog
    IBM Tivoli DS Dziennik zmian. Wartość domyślna do użycia: cn=changelog
    Katalog Isode Dziennik zmian. Wartość domyślna do użycia: cn=changelog
    Novell/NetIQ eDirectory Niedostępne. Sygnatury czasowej. Łącznik używa ostatniej aktualizacji daty/godziny w celu dodania i zaktualizowania rekordów.
    Otwórz DJ/DS Dziennik zmian. Wartość domyślna do użycia: cn=changelog
    Otwórz protokół LDAP Dziennik dostępu. Wartość domyślna do użycia: cn=accesslog
    Oracle DSEE Dziennik zmian. Wartość domyślna do użycia: cn=changelog
    RadiantOne VDS Katalog wirtualny. Zależy od katalogu połączonego z usługą VDS.
    Sun One Directory Server Dziennik zmian. Wartość domyślna do użycia: cn=changelog

    Atrybut hasła jest nazwą atrybutu, który łącznik powinien użyć do ustawienia hasła w operacjach zmiany hasła i zestawu haseł. Ta wartość jest domyślnie ustawiona na wartość userPassword , ale można je zmienić w razie potrzeby dla określonego systemu LDAP.

    Na liście dodatkowych partycji można dodać dodatkowe przestrzenie nazw, które nie są wykrywane automatycznie. Na przykład tego ustawienia można użyć, jeśli kilka serwerów składa się z klastra logicznego, co powinno zostać zaimportowane w tym samym czasie. Podobnie jak usługa Active Directory może mieć wiele domen w jednym lesie, ale wszystkie domeny współużytkują jeden schemat, można to samo symulować, wprowadzając dodatkowe przestrzenie nazw w tym polu. Każda przestrzeń nazw może importować z różnych serwerów i jest dodatkowo skonfigurowana na stronie Konfigurowanie partycji i hierarchii. Użyj klawiszy Ctrl+Enter, aby uzyskać nowy wiersz.

    Konfigurowanie hierarchii aprowizacji

    Ta strona służy do mapowania składnika DN, na przykład jednostki organizacyjnej, do typu obiektu, który powinien być aprowizacji, na przykład organizacyjneJnit.

    Hierarchia aprowizacji

    Konfigurując hierarchię aprowizacji, można skonfigurować łącznik tak, aby automatycznie tworzył strukturę w razie potrzeby. Jeśli na przykład istnieje przestrzeń nazw dc=contoso,dc=com i nowy obiekt cn=Joe, ou=Seattle, c=US, dc=contoso, dc=com jest aprowizowany, łącznik może utworzyć obiekt kraju typu dla STANÓW Zjednoczonych i organizacjiUnit dla Seattle, jeśli nie są jeszcze obecne w katalogu.

    Konfiguruj partycje i hierarchie

    Na stronie Partycje i hierarchie wybierz wszystkie przestrzenie nazw z obiektami, które mają być importowane i eksportowane.

    Strona Partycji konfiguracji łącznika synchronizacji programu MIM

    Dla każdej przestrzeni nazw można również skonfigurować ustawienia łączności, które zastąpią wartości określone na ekranie Łączność. Jeśli te wartości zostaną pozostawione do domyślnej pustej wartości, zostaną użyte informacje z ekranu Łączność.

    Istnieje również możliwość wybrania kontenerów i jednostek organizacyjnych, z których łącznik ma zostać zaimportowany, i do którego ma zostać wyeksportowany.

    Podczas wyszukiwania odbywa się to we wszystkich kontenerach w partycji. W przypadkach, gdy istnieje duża liczba kontenerów, takie zachowanie prowadzi do obniżenia wydajności.

    Uwaga

    Począwszy od aktualizacji z marca 2017 r. do ogólnych wyszukiwań łącznika LDAP, można ograniczyć zakres tylko do wybranych kontenerów. Można to zrobić, zaznaczając pole wyboru "Wyszukaj tylko w wybranych kontenerach", jak pokazano na poniższej ilustracji.

    Wyszukiwanie tylko wybranych kontenerów

    Konfiguruj zakotwiczenia

    Ta strona zawsze ma wstępnie skonfigurowaną wartość i nie można jej zmienić. Jeśli dostawca serwera został zidentyfikowany, kotwica może zostać wypełniona niezmiennym atrybutem, na przykład identyfikatorEM GUID obiektu. Jeśli nie został wykryty lub wiadomo, że nie ma niezmiennego atrybutu, łącznik używa nazwy dn (nazwy wyróżniającej) jako kotwicy.

    Strona kotwic konfiguracji łącznika synchronizacji programu MIM

    Poniższa tabela zawiera listę serwerów LDAP i używanej kotwicy:

    Directory Atrybut kotwicy
    Microsoft AD LDS i AD GC Objectguid
    Serwer katalogów 389 dn
    Katalog Apache dn
    IBM Tivoli DS dn
    Katalog Isode dn
    Novell/NetIQ eDirectory GUID
    Otwórz DJ/DS dn
    Otwórz protokół LDAP dn
    Oracle ODSEE dn
    RadiantOne VDS dn
    Sun One Directory Server dn

    Inne uwagi

    Ta sekcja zawiera informacje o aspektach specyficznych dla tego łącznika lub z innych powodów, które należy znać.

    Import zmian

    Znak wodny delta w usłudze Open LDAP to data/godzina UTC. Z tego powodu zegary między usługą synchronizacji programu FIM i protokołem Open LDAP muszą być zsynchronizowane. Jeśli nie, niektóre wpisy w dzienniku zmian różnicowych mogą zostać pominięte.

    W przypadku programu Novell eDirectory importowanie różnicowe nie wykrywa usunięcia żadnych obiektów. Z tego powodu należy okresowo uruchamiać pełny import, aby znaleźć wszystkie usunięte obiekty.

    W przypadku katalogów z dziennikiem zmian różnicowych opartym na dacie/godzinie zdecydowanie zaleca się uruchamianie pełnego importu w okresowych okresach. Ten proces umożliwia aparatowi synchronizacji znajdowanie i różnice między serwerem LDAP i tym, co znajduje się obecnie w przestrzeni łącznika.

    Rozwiązywanie problemów