Referência técnica do Conector do LDAP Genérico
Este artigo descreve o Conector LDAP Genérico. O artigo aplica-se aos seguintes produtos:
- Microsoft Identity Manager 2016 (MIM2016)
- Microsoft Entra ID
Por MIM2016, o Conector está disponível como transferência a partir do Centro de Transferências da Microsoft.
Quando se refere a RFCs IETF, este documento está a utilizar o formato (RFC [número RFC]/[secção no documento RFC]), por exemplo (RFC 4512/4.3). Pode encontrar mais informações em https://tools.ietf.org/. No painel esquerdo, introduza um número RFC na caixa de diálogo Obtenção do Documento e teste-o para se certificar de que é válido.
Nota
Microsoft Entra ID agora fornece uma solução simples baseada em agente para aprovisionar utilizadores num servidor LDAPv3, sem precisar de uma implementação de sincronização do MIM. Recomendamos que o utilize para o aprovisionamento de utilizadores de saída. Saiba mais.
Descrição geral do Conector LDAP Genérico
O Conector LDAP Genérico permite-lhe integrar o serviço de sincronização com um servidor LDAP v3.
Determinadas operações e elementos de esquema, como os necessários para efetuar a importação delta, não são especificados nos RFCs IETF. Para estas operações, apenas os diretórios LDAP especificados explicitamente são suportados.
Para ligar aos diretórios, testamos com a conta de raiz/administrador. Para utilizar uma conta diferente para aplicar permissões mais granulares, poderá ter de rever com a sua equipa de diretórioS LDAP.
A versão atual do conector suporta estas funcionalidades:
| Funcionalidade | Suporte |
|---|---|
| Origem de dados ligada | O Conector é suportado com todos os servidores LDAP v3 (compatíveis com RFC 4510), exceto quando são destacados como não suportados. Foi testado com estes servidores de diretório:
|
| Cenários | |
| Operações | As seguintes operações são suportadas em todos os diretórios LDAP: |
| Esquema |
Suporte de importação e gestão de palavras-passe delta
Diretórios Suportados para importação delta e Gestão de palavras-passe:
- Microsoft Active Directory Lightweight Directory Services (AD LDS)
- Suporta todas as operações de importação delta
- Suporta a definição de palavra-passe
- Catálogo Global do Microsoft Active Directory (AD GC)
- Suporta todas as operações de importação delta
- Suporta a definição de palavra-passe
- Servidor de Diretórios 389
- Suporta todas as operações de importação delta
- Suporta Definir Palavra-passe e Alterar Palavra-passe
- Servidor do Apache Directory
- Não suporta a importação delta, uma vez que este diretório não tem um registo de alterações persistente
- Suporta a definição de palavra-passe
- IBM Tivoli DS
- Suporta todas as operações de importação delta
- Suporta Definir Palavra-passe e Alterar Palavra-passe
- Diretório Isode
- Suporta todas as operações de importação delta
- Suporta Definir Palavra-passe e Alterar Palavra-passe
- Novell eDirectory e NetIQ eDirectory
- Suporta operações adicionar, atualizar e mudar o nome para a importação delta
- Não suporta operações de Eliminação para importação delta
- Suporta Definir Palavra-passe e Alterar Palavra-passe
- Abrir DJ
- Suporta todas as operações de importação delta
- Suporta Definir Palavra-passe e Alterar Palavra-passe
- Abrir O DS
- Suporta todas as operações de importação delta
- Suporta Definir Palavra-passe e Alterar Palavra-passe
- Abrir lDAP (openldap.org)
- Suporta todas as operações de importação delta
- Suporta a definição de palavra-passe
- Não suporta a alteração de palavra-passe
- Oracle (anteriormente Sun) Directory Server Enterprise Edition
- Suporta todas as operações de importação delta
- Suporta Definir Palavra-passe e Alterar Palavra-passe
- RadianteOne Virtual Directory Server (VDS)
- Tem de utilizar a versão 7.1.1 ou superior
- Suporta todas as operações de importação delta
- Suporta Definir Palavra-passe e Alterar Palavra-passe
- Sun One Directory Server
- Suporta todas as operações de importação delta
- Suporta Definir Palavra-passe e Alterar Palavra-passe
Pré-requisitos
Antes de utilizar o Conector, certifique-se de que tem o seguinte no servidor de sincronização:
- Microsoft .NET 4.6.2 Framework ou posterior
A implementação deste conector pode exigir alterações à configuração do servidor de diretórios, bem como alterações de configuração no MIM. Para implementações que envolvam a integração do MIM num servidor de diretórios de terceiros num ambiente de produção, recomendamos que os clientes trabalhem com o fornecedor do servidor de diretórios ou com um parceiro de implementação para obter ajuda, orientação e suporte para esta integração.
Detetar o servidor LDAP
O Conector baseia-se em várias técnicas para detetar e identificar o servidor LDAP. O Conector utiliza o DSE de Raiz, o nome/versão do fornecedor e inspeciona o esquema para localizar objetos e atributos exclusivos conhecidos por existirem em determinados servidores LDAP. Estes dados, se forem encontrados, são utilizados para pré-preencher as opções de configuração no Conector.
Permissões de Origem de Dados Ligadas
Para realizar operações de importação e exportação nos objetos no diretório ligado, a conta do conector tem de ter permissões suficientes. O conector precisa de permissões de escrita para poder exportar e permissões de leitura para poder importar. A configuração da permissão é executada nas experiências de gestão do próprio diretório de destino.
Portas e protocolos
O conector utiliza o número de porta especificado na configuração, que por predefinição é 389 para LDAP e 636 para LDAPS.
Para LDAPS, tem de utilizar o SSL 3.0 ou o TLS. O SSL 2.0 não é suportado e não pode ser ativado.
Controlos e funcionalidades necessários
Os seguintes controlos/funcionalidades LDAP têm de estar disponíveis no servidor LDAP para que o conector funcione corretamente:
1.3.6.1.4.1.4203.1.5.3 Filtros Verdadeiro/Falso
O filtro Verdadeiro/Falso não é frequentemente reportado como suportado por diretórios LDAP e pode aparecer na Página Global em Funcionalidades Obrigatórias Não Encontradas. É utilizado para criar filtros OR em consultas LDAP, por exemplo, ao importar vários tipos de objetos. Se conseguir importar mais do que um tipo de objeto, o servidor LDAP suporta esta funcionalidade.
Se utilizar um diretório onde um identificador exclusivo é a âncora, a seguinte funcionalidade também tem de estar disponível (Para obter mais informações, consulte a secção Configurar Âncoras ):
1.3.6.1.4.1.4203.1.5.1 Todos os atributos operacionais
Se o diretório tiver mais objetos do que o que pode caber numa chamada para o diretório, recomenda-se que utilize a paginação. Para que a paginação funcione, precisa de uma das seguintes opções:
Opção 1:
1.2.840.113556.1.4.319 pagedResultsControl
Opção 2:
2.16.840.1.113730.3.4.9 VLVControl
1.2.840.113556.1.4.473 SortControl
Se ambas as opções estiverem ativadas na configuração do conector, é utilizado pagedResultsControl.
1.2.840.113556.1.4.417 ShowDeletedControl
ShowDeletedControl só é utilizado com o método de importação de delta USNChanged para poder ver objetos eliminados.
O conector tenta detetar as opções presentes no servidor. Se não for possível detetar as opções, está presente um aviso na página Global nas propriedades do conector. Nem todos os servidores LDAP apresentam todos os controlos/funcionalidades que suportam e, mesmo que este aviso esteja presente, o conector poderá funcionar sem problemas.
Importação delta
A importação delta só está disponível quando um diretório que o suporta tiver sido detetado. Os seguintes métodos são atualmente utilizados:
- Caixa de Acesso LDAP. Ver http://www.openldap.org/doc/admin24/overlays.html#Access Registo
- Registo de Alterações LDAP. Veja http://tools.ietf.org/html/draft-good-ldap-changelog-04
- Carimbo de data/hora. Para Novell/NetIQ eDirectory, o Conector utiliza a última data/hora para criar e atualizar objetos. Novell/NetIQ eDirectory não fornece um meio equivalente para obter objetos eliminados. Esta opção também pode ser utilizada se nenhum outro método de importação delta estiver ativo no servidor LDAP. Esta opção não consegue importar objetos eliminados.
- USNChanged. Veja: https://msdn.microsoft.com/library/ms677627.aspx
Não suportado
As seguintes funcionalidades LDAP não são suportadas:
- Referências LDAP entre servidores (RFC 4511/4.1.10)
Criar um novo Conector
Para Criar um conector LDAP Genérico, no Serviço de Sincronização , selecione Agente de Gestão e Criar. Selecione o Conector LDAP Genérico (Microsoft ).
Conectividade
Na página Conectividade, tem de especificar as informações de Anfitrião, Porta e Enlace. Consoante o enlace selecionado, poderão ser fornecidas informações adicionais nas secções seguintes.
- A definição Tempo Limite da Ligação só é utilizada para a primeira ligação ao servidor ao detetar o esquema.
- Se Enlace for Anónimo, não são utilizados nem nome de utilizador/ palavra-passe nem certificado.
- Para outros enlaces, introduza informações no nome de utilizador/palavra-passe ou selecione um certificado.
- Se estiver a utilizar o Kerberos para autenticar, forneça também o Domínio/Realm do utilizador.
A caixa de texto aliases de atributo é utilizada para atributos definidos no esquema com RFC4522 sintaxe. Estes atributos não podem ser detetados durante a deteção de esquema e o Conector precisa que esses atributos sejam configurados separadamente. Por exemplo, a seguinte cadeia tem de ser introduzida na caixa aliases de atributo para identificar corretamente o atributo userCertificate como um atributo binário:
userCertificate;binary
A tabela seguinte é um exemplo de como esta configuração pode ter o seguinte aspeto:
Selecione a caixa de verificação incluir atributos operacionais no esquema para incluir também atributos criados pelo servidor. Estes incluem atributos como quando o objeto foi criado e a hora da última atualização.
Selecione Incluir atributos extensíveis no esquema se forem utilizados objetos extensíveis (RFC4512/4.3) e ativar esta opção permite que todos os atributos sejam utilizados em todos os objetos. Selecionar esta opção torna o esquema muito grande, pelo que, a menos que o diretório ligado esteja a utilizar esta funcionalidade, a recomendação é manter a opção não selecionada.
Parâmetros de Globais
Na página Parâmetros Globais, configura o DN para o registo de alterações delta e funcionalidades LDAP adicionais. A página é pré-preenchida com as informações fornecidas pelo servidor LDAP.
A secção superior mostra as informações fornecidas pelo próprio servidor, como o nome do servidor. O Conector também verifica se os controlos obrigatórios estão presentes no DSE de Raiz. Se estes controlos não estiverem listados, será apresentado um aviso. Alguns diretórios LDAP não listam todas as funcionalidades no DSE de Raiz e é possível que o Conector funcione sem problemas, mesmo que esteja presente um aviso.
As caixas de verificação dos controlos suportados controlam o comportamento de determinadas operações:
- Com a eliminação de árvore selecionada, uma hierarquia é eliminada com uma chamada LDAP. Com a eliminação de árvores não selecionada, o conector efetua uma eliminação recursiva, se necessário.
- Com os resultados paginados selecionados, o Conector faz uma importação paginada com o tamanho especificado nos passos de execução.
- O VLVControl e o SortControl são uma alternativa ao pagedResultsControl para ler dados do diretório LDAP.
- Se as três opções (pagedResultsControl, VLVControl e SortControl) não estiverem selecionadas, o Conector importa todo o objeto numa operação, o que poderá falhar se for um diretório grande.
- ShowDeletedControl só é utilizado quando o método de importação Delta é USNChanged.
O DN do registo de alterações é o contexto de nomenclatura utilizado pelo registo de alterações delta, por exemplo cn=changelog. Este valor tem de ser especificado para poder fazer a importação delta.
A tabela seguinte é uma lista de DNs de registo de alterações predefinidos:
| Diretório | Registo de alterações delta |
|---|---|
| Microsoft AD LDS e AD GC | Detetado automaticamente. USNChanged. |
| Servidor do Apache Directory | Não disponível. |
| Diretório 389 | Alterar registo. Valor predefinido a utilizar: cn=changelog |
| IBM Tivoli DS | Alterar registo. Valor predefinido a utilizar: cn=changelog |
| Diretório Isode | Alterar registo. Valor predefinido a utilizar: cn=changelog |
| Novell/NetIQ eDirectory | Não disponível. Carimbo de data/hora. O Conector utiliza a última data/hora atualizada para obter registos adicionados e atualizados. |
| Abrir DJ/DS | Alterar registo. Valor predefinido a utilizar: cn=changelog |
| Abrir LDAP | Registo de acesso. Valor predefinido a utilizar: cn=accesslog |
| Oracle DSEE | Alterar registo. Valor predefinido a utilizar: cn=changelog |
| RadiantOne VDS | Diretório virtual. Depende do diretório ligado ao VDS. |
| Sun One Directory Server | Alterar registo. Valor predefinido a utilizar: cn=changelog |
O atributo palavra-passe é o nome do atributo que o Conector deve utilizar para definir a palavra-passe nas operações de alteração de palavra-passe e conjunto de palavras-passe. Por predefinição, este valor está definido como userPassword , mas pode ser alterado quando necessário para um sistema LDAP específico.
Na lista de partições adicionais, é possível adicionar espaços de nomes adicionais não detetados automaticamente. Por exemplo, esta definição pode ser utilizada se vários servidores constituem um cluster lógico, que deve ser importado ao mesmo tempo. Da mesma forma que o Active Directory pode ter vários domínios numa floresta, mas todos os domínios partilham um esquema, o mesmo pode ser simulado ao introduzir os espaços de nomes adicionais nesta caixa. Cada espaço de nomes pode importar a partir de servidores diferentes e está ainda configurado na página Configurar Partições e Hierarquias. Utilize Ctrl+Enter para obter uma nova linha.
Configurar a Hierarquia de Aprovisionamento
Esta página é utilizada para mapear o componente DN, por exemplo UO, para o tipo de objeto que deve ser aprovisionado, por exemplo organizationalUnit.
Ao configurar a hierarquia de aprovisionamento, pode configurar o Conector para criar automaticamente uma estrutura quando necessário. Por exemplo, se existir um espaço de nomes dc=contoso,dc=com e um novo objeto cn=Joe, ou=Seattle, c=US, dc=contoso, dc=com é aprovisionado, então o Conector pode criar um objeto do tipo país para OS e uma organizaçãounit para Seattle se estes ainda não estiverem presentes no diretório.
Configurar Partições e Hierarquias
Na página partições e hierarquias, selecione todos os espaços de nomes com objetos que planeia importar e exportar.
Para cada espaço de nomes, também é possível configurar definições de conectividade que substituiriam os valores especificados no ecrã Conectividade. Se estes valores forem deixados no valor em branco predefinido, são utilizadas as informações do ecrã Conectividade.
Também é possível selecionar para que contentores e UOs o Conector deve importar e exportar.
Ao efetuar uma pesquisa, isto é feito em todos os contentores na partição. Nos casos em que há um grande número de contentores, este comportamento leva à degradação do desempenho.
Nota
A partir da atualização de março de 2017 para as pesquisas genéricas do conector LDAP, as pesquisas podem ser limitadas no âmbito apenas aos contentores selecionados. Isto pode ser feito ao selecionar a caixa de verificação "Pesquisa apenas em contentores selecionados", conforme mostrado na imagem abaixo.
Configurar Âncoras
Esta página tem sempre um valor pré-configurado e não pode ser alterada. Se o fornecedor do servidor tiver sido identificado, a âncora poderá ser preenchida com um atributo imutável, por exemplo, o GUID de um objeto. Se não tiver sido detetado ou se se souber que não tem um atributo imutável, o conector utiliza dn (nome distinto) como âncora.
A tabela seguinte é uma lista de servidores LDAP e a âncora que está a ser utilizada:
| Diretório | Atributo De âncora |
|---|---|
| Microsoft AD LDS e AD GC | objectGUID |
| Servidor de Diretórios 389 | dn |
| Diretório do Apache | dn |
| IBM Tivoli DS | dn |
| Diretório Isode | dn |
| Novell/NetIQ eDirectory | GUID |
| Abrir DJ/DS | dn |
| Abrir LDAP | dn |
| Oracle ODSEE | dn |
| RadiantOne VDS | dn |
| Sun One Directory Server | dn |
Outras notas
Esta secção fornece informações sobre aspetos específicos deste Conector ou por outros motivos importantes para saber.
Importação delta
A marca d'água delta no Open LDAP é data/hora UTC. Por este motivo, os relógios entre o Serviço de Sincronização do FIM e o Open LDAP têm de ser sincronizados. Caso contrário, algumas entradas no registo de alterações delta poderão ser omitidas.
Para Novell eDirectory, a importação delta não está a detetar eliminações de objetos. Por este motivo, é necessário executar uma importação completa periodicamente para localizar todos os objetos eliminados.
Para diretórios com um registo de alterações delta baseado na data/hora, é altamente recomendado executar uma importação completa em horas periódicas. Este processo permite que o motor de sincronização encontre e desimedidas entre o servidor LDAP e o que está atualmente no espaço do conector.
Resolução de problemas
- Para obter informações sobre como ativar o registo para resolver problemas do conector, veja Como Ativar o Rastreio etw para conectores.