Referência técnica do Conector do LDAP Genérico

Este artigo descreve o Conector LDAP Genérico. O artigo aplica-se aos seguintes produtos:

  • Microsoft Identity Manager 2016 (MIM2016)
  • Gestor de Identidade 2010 R2 (FIM2010R2)
    • Deve utilizar o hotfix 4.1.3671.0 ou mais tarde KB3092178.

Para MIM2016 e FIM2010R2, o Conector está disponível como download do Microsoft Download Center.

Quando se refere aos RFCs do IETF, este documento está a utilizar o formato (RFC [número RFC]/[secção no documento RFC]), por exemplo (RFC 4512/4.3). Pode encontrar mais informações em https://tools.ietf.org/ . No painel esquerdo, introduza um número RFC na caixa de diálogo doc e teste-o para se certificar de que é válido.

Visão geral do Conector LDAP Genérico

O Conector LDAP Genérico permite-lhe integrar o serviço de sincronização com um servidor LDAP v3.

Determinadas operações e elementos de esquema, tais como os necessários para a realização da importação delta, não estão especificados nos RFCs do IETF. Para estas operações, apenas são apoiados os diretórios LDAP explicitamente especificados.

Para nos ligarmos aos diretórios, testamos utilizando a conta raiz/administração. Para utilizar uma conta diferente para aplicar mais permissões granulares, poderá ter de rever com a sua equipa de diretórios LDAP.

De uma perspetiva de alto nível, as seguintes características são suportadas pela atual libertação do conector:

Funcionalidade Suporte
Fonte de dados conectada O Conector é suportado com todos os servidores LDAP v3 (compatível com RFC 4510). Foi testado com o seguinte:
  • Microsoft Active Directory Lightweight Directory Services (AD LDS)
  • Microsoft Ative Directory Global Catalog (AD GC)
  • 389 Servidor de Diretório
  • Servidor de Diretório Apache
  • IBM Tivoli DS
  • Diretório de Isode
  • NetIQ eDirectory
  • Novell eDirectory
  • DJ aberto
  • Open DS
  • LDAP aberto (openldap.org)
  • Oracle (anteriormente Sun) Directory Server Enterprise Edition
  • Servidor de Diretório Virtual RadiantOne (VDS)
  • Servidor de Diretório Sun One
  • Microsoft Ative Directory Domain Services (AD DS)
    • Para a maioria dos cenários, deve utilizar o Conector ative ative incorporado, uma vez que algumas funcionalidades podem não funcionar
    Notáveis diretórios conhecidos ou funcionalidades não suportadas:
  • Microsoft Ative Directory Domain Services (AD DS)
    • Serviço de Notificação de Alteração de Palavra-Passe (PCNS)
    • Exchange provisão
    • Eliminar dispositivos de sincronização ativa
    • Suporte para nTDescurityDescriptor
  • Diretório de Internet oracle (OID)
  • Cenários
  • Gestão do ciclo de vida de objetos
  • Gestão de Grupos
  • Gestão de palavra-passe
  • Operações As seguintes operações são apoiadas em todos os diretórios LDAP:
  • Importação Completa
  • Exportar
  • As seguintes operações só são suportadas em diretórios especificados:
  • Importação delta
  • Definir palavra-passe, alterar senha
  • Esquema
  • O esquema é detetado a partir do esquema LDAP (RFC3673 e RFC4512/4.2)
  • Suporta classes estruturais, classes aux e classe de objetos extensíveisObject (RFC4512/4.3)
  • Delta importe e suporte de gestão de passwords

    Diretórios apoiados para a gestão da importação e password da Delta:

    • Microsoft Active Directory Lightweight Directory Services (AD LDS)
      • Suporta todas as operações de importação delta
      • Suporta definir palavra-passe
    • Microsoft Ative Directory Global Catalog (AD GC)
      • Suporta todas as operações de importação delta
      • Suporta definir palavra-passe
    • 389 Servidor de Diretório
      • Suporta todas as operações de importação delta
      • Suporta definir palavra-passe e alterar senha
    • Servidor de Diretório Apache
      • Não suporta a importação delta uma vez que este diretório não tem um registo de mudança persistente
      • Suporta definir palavra-passe
    • IBM Tivoli DS
      • Suporta todas as operações de importação delta
      • Suporta definir palavra-passe e alterar senha
    • Diretório de Isode
      • Suporta todas as operações de importação delta
      • Suporta definir palavra-passe e alterar senha
    • Novell eDirectory e NetIQ eDirectory
      • Suporta operações de adicionar, atualizar e renomear para importação delta
      • Não suporta Eliminar operações para importação delta
      • Suporta definir palavra-passe e alterar senha
    • DJ aberto
      • Suporta todas as operações de importação delta
      • Suporta definir palavra-passe e alterar senha
    • Open DS
      • Suporta todas as operações de importação delta
      • Suporta definir palavra-passe e alterar senha
    • LDAP aberto (openldap.org)
      • Suporta todas as operações de importação delta
      • Suporta definir palavra-passe
      • Não suporta alterar palavra-passe
    • Oracle (anteriormente Sun) Directory Server Enterprise Edition
      • Suporta todas as operações de importação delta
      • Suporta definir palavra-passe e alterar senha
    • Servidor de Diretório Virtual RadiantOne (VDS)
      • Deve estar a usar a versão 7.1.1 ou superior
      • Suporta todas as operações de importação delta
      • Suporta definir palavra-passe e alterar senha
    • Servidor de Diretório Sun One
      • Suporta todas as operações de importação delta
      • Suporta definir palavra-passe e alterar senha

    Pré-requisitos

    Antes de utilizar o Conector, certifique-se de que tem o seguinte no servidor de sincronização:

    • Microsoft .NET 4.5.2 Framework ou mais tarde

    A implementação deste conector pode exigir alterações na configuração do servidor de diretório, bem como alterações de configuração para MIM. Para implementações que envolvam a integração de MIM com um servidor de diretório de terceiros em um ambiente de produção, recomendamos que os clientes trabalhem com o seu fornecedor de servidores de diretório, ou um parceiro de implementação para ajuda, orientação e suporte para esta integração.

    Deteção do servidor LDAP

    O Conector conta com várias técnicas para detetar e identificar o servidor LDAP. O Conector utiliza o Root DSE, nome/versão do fornecedor, e inspeciona o esquema para encontrar objetos e atributos únicos conhecidos por existirem em certos servidores LDAP. Estes dados, se encontrados, são utilizados para pré-povoar as opções de configuração no Conector.

    Permissões de Origem de Dados Conectadas

    Para efetuar operações de importação e exportação dos objetos no diretório ligado, a conta de conector deve ter permissões suficientes. O conector precisa de autorizações de escrita para poder exportar, e ler permissões para poder importar. A configuração da permissão é realizada dentro das experiências de gestão do próprio directório-alvo.

    Portos e protocolos

    O conector utiliza o número de porta especificado na configuração, que por predefinição é 389 para LDAP e 636 para LDAPS.

    Para LDAPS, deve utilizar SSL 3.0 ou TLS. O SSL 2.0 não está suportado e não pode ser ativado.

    Controlos e características necessários

    Os seguintes controlos/funcionalidades LDAP devem estar disponíveis no servidor LDAP para que o conector funcione corretamente:
    1.3.6.1.4.1.4203.1.5.3 Filtros verdadeiros/falsos

    O filtro True/False não é frequentemente reportado como suportado por diretórios LDAP e pode aparecer na Página Global em Funcionalidades Obrigatórias Não Encontradas. É utilizado para criar filtros OR em consultas LDAP, por exemplo, quando importa vários tipos de objetos. Se puder importar mais do que um tipo de objeto, então o seu servidor LDAP suporta esta funcionalidade.

    Se utilizar um diretório onde um identificador único é a âncora, também deve estar disponível (Para mais informações, consulte a secção Âncoras configuradas):
    1.3.6.1.4.1.4203.1.5.1 Todos os atributos operacionais

    Se o diretório tiver mais objetos do que o que pode caber numa chamada para o diretório, então é aconselhável utilizar a paging. Para a pesfiliar para o trabalho, precisa de uma das seguintes opções:

    Opção 1:
    1.2.840.113556.1.4.319 pagedResultsControl

    Opção 2:
    2.16.840.1.113730.3.4.9 VLVControl
    1.2.840.113556.1.4.473 SortControl

    Se ambas as opções estiverem ativadas na configuração do conector, é utilizado o PagedResultsControl.

    1.2.840.113556.1.4.417 ShowDeletedControl

    O ShowDeletedControl é utilizado apenas com o método de importação delta USNChanged para poder ver objetos eliminados.

    O conector tenta detetar as opções presentes no servidor. Se as opções não puderem ser detetadas, um aviso está presente na página Global nas propriedades do conector. Nem todos os servidores LDAP apresentam todos os controlos/funcionalidades que suportam e mesmo que este aviso esteja presente, o conector pode funcionar sem problemas.

    Importação delta

    A importação delta só está disponível quando um diretório que o suporta for detetado. São atualmente utilizados os seguintes métodos:

    • Diálogo de acesso LDAP. Ver Registo
    • LDAP Changelog. Veja http://tools.ietf.org/html/draft-good-ldap-changelog-04
    • Hora de jogo. Para o eDirectory Novell/NetIQ, o Conector utiliza a última data/hora para obter objetos criados e atualizados. O eDirectory Novell/NetIQ não fornece meios equivalentes para recuperar objetos eliminados. Esta opção também pode ser utilizada se nenhum outro método de importação delta estiver ativo no servidor LDAP. Esta opção não é capaz de importar objetos eliminados.
    • USN Mudou. Ver: https://msdn.microsoft.com/library/ms677627.aspx

    Não suportado

    As seguintes funcionalidades do LDAP não são suportadas:

    • Referências LDAP entre servidores (RFC 4511/4.1.10)

    Criar um novo Conector

    Para criar um conector LDAP genérico, no Serviço de Sincronização selecione o Agente de Gestão e crie. Selecione o Conector LDAP Genérico (Microsoft).

    MIM Sync UI para criar um novo conector

    Conectividade

    Na página conectividade, deve especificar as informações de Anfitrião, Porto e Encadernação. Dependendo da qual ligação é selecionada, podem ser fornecidas informações adicionais nas seguintes secções.

    MIM Sync configuração de conectividade Conectividade

    • A definição de intervalo de tempo de ligação só é utilizada para a primeira ligação ao servidor ao detetar o esquema.
    • Se a ligação é anónima, então não é utilizado o nome de utilizador/palavra-passe nem o certificado.
    • Para outras ligações, introduza informações no nome de utilizador/palavra-passe ou selecione um certificado.
    • Se estiver a utilizar kerberos para autenticar, também forneça o Domínio/Domínio do utilizador.

    A caixa de texto de aliases de atributos é usada para atributos definidos no esquema com sintaxe RFC4522. Estes atributos não podem ser detetados durante a deteção do esquema e o Conector precisa de ajuda para identificar esses atributos. Por exemplo, deve ser introduzido o seguinte na caixa de pseudónimos do atributo para identificar corretamente o atributo userCertificate como um atributo binário:

    userCertificate;binary

    O seguinte é um exemplo para a forma como esta configuração pode parecer:

    MIM Sync configuração de conectividade Conectividade com atributos

    Selecione os atributos operacionais incluídos na caixa de verificação de esquemas para incluir também atributos criados pelo servidor. Estes incluem atributos como quando o objeto foi criado e última hora de atualização.

    Selecione Incluir atributos extensíveis no esquema se forem utilizados objetos extensíveis (RFC4512/4.3) e permitir que esta opção permita a utilização de todos os atributos em todos os objetos. A seleção desta opção torna o esquema muito grande, por isso, a menos que o diretório ligado esteja a usar esta função, a recomendação é manter a opção não selecionada.

    Parâmetros de Globais

    Na página 'Parâmetros Globais', configura o DN para o registo de alteração delta e funcionalidades LDAP adicionais. A página é pré-povoada com as informações fornecidas pelo servidor LDAP.

    MIM Sync configurar a página global de parâmetros

    A secção superior mostra informações fornecidas pelo próprio servidor, como o nome do servidor. O Conector também verifica que os controlos obrigatórios estão presentes na DSE raiz. Se estes controlos não estiverem listados, é apresentado um aviso. Alguns diretórios LDAP não listam todas as funcionalidades do DSE raiz e é possível que o Conector funcione sem problemas, mesmo que exista um aviso.

    As caixas de verificação suportadas controlam o comportamento de determinadas operações:

    • Com a eliminação da árvore selecionada, uma hierarquia é eliminada com uma chamada LDAP. Com a eliminação da árvore não selecionado, o conector faz uma eliminação recursiva se necessário.
    • Com os resultados paged selecionados, o Conector faz uma importação em página com o tamanho especificado nos degraus de execução.
    • O VLVControl e o SortControl são uma alternativa ao pagedResultsControl para ler dados do diretório LDAP.
    • Se as três opções (pagedResultsControl, VLVControl e SortControl) não forem selecionadas, então o Conector importa todos os objetos numa só operação, o que pode falhar se for um grande diretório.
    • O ShowDeletedControl só é utilizado quando o método de importação Delta é USNChanged.

    O registo de alterações DN é o contexto de nomeação utilizado pelo registo de alteração delta, por exemplo cn=changelog. Este valor deve ser especificado para poder fazer importações delta.

    Segue-se uma lista de DNs de registo de alteração predefinido:

    Diretório Registo de mudança delta
    Microsoft AD LDS e AD GC Detetado automaticamente. USN Mudou.
    Servidor de Diretório Apache Não disponível.
    Diretório 389 Alterar registo. Valor predefinido a utilizar: cn=changelog
    IBM Tivoli DS Alterar registo. Valor predefinido a utilizar: cn=changelog
    Diretório de Isode Alterar registo. Valor predefinido a utilizar: cn=changelog
    Novell/NetIQ eDirectory Não disponível. Hora de jogo. O Conector utiliza a última data/hora atualizada para obter registos adicionados e atualizados.
    DJ/DS aberto Alterar registo. Valor predefinido a utilizar: cn=changelog
    LDAP aberto Registo de acesso. Valor predefinido a utilizar: cn=accesslog
    Oráculo DSEE Alterar registo. Valor predefinido a utilizar: cn=changelog
    VDs Radiantes Diretório virtual. Depende do diretório ligado ao VDS.
    Servidor de Diretório Sun One Alterar registo. Valor predefinido a utilizar: cn=changelog

    O atributo de palavra-passe é o nome do atributo que o Conector deve utilizar para definir a palavra-passe nas operações de alteração de senha e de definição de senha. Este valor é por padrão definido para userPassword mas pode ser alterado quando necessário para um determinado sistema LDAP.

    Na lista adicional de divisórias, é possível adicionar espaços de nome adicionais não detetados automaticamente. Por exemplo, esta definição pode ser usada se vários servidores constam de um cluster lógico, que deve ser importado ao mesmo tempo. Assim como o Ative Directory pode ter vários domínios numa floresta, mas todos os domínios partilham um esquema, o mesmo pode ser simulado introduzindo os espaços de nomes adicionais nesta caixa. Cada espaço de nome pode importar de diferentes servidores e é configurado na página Configure Partitions and Hierarquias. Utilize ctrl+Enter para obter uma nova linha.

    Configure Hierarquia de Provisionamento

    Esta página é usada para mapear o componente DN, por exemplo, ou, para o tipo de objeto que deve ser aprovisionado, por exemplo, unidade organizacional.

    Hierarquia de Provisionamento

    Ao configurar a hierarquia de provisionamento, pode configurar o Conector para criar automaticamente uma estrutura quando necessário. Por exemplo, se houver um namespace dc=contoso,dc=com e um novo objeto cn=Joe, ou=Seattle, c=US, dc=contoso, dc=com é aprovisionado, então o Connector pode criar um objeto de tipo país para os EUA e uma unidade organizacional para Seattle se estes não estiverem já presentes no diretório.

    Configurar Partições e Hierarquias

    Na página de divisórias e hierarquias, selecione todos os espaços de nome com objetos que planeie importar e exportar.

    MIM Sync configuração partições

    Para cada espaço de nome, também é possível configurar definições de conectividade que sobreponha os valores especificados no ecrã de Conectividade. Se estes valores forem deixados ao seu valor em branco predefinido, as informações do ecrã de Conectividade são utilizadas.

    É igualmente possível selecionar quais os contentores e OUs que o Conector deve importar e exportar para.

    Ao realizar uma pesquisa, isto é feito em todos os recipientes da partição. Nos casos em que há um grande número de contentores este comportamento leva à degradação do desempenho.

    Nota

    A partir da atualização de março de 2017 às pesquisas genéricas do conector LDAP podem ser limitadas no âmbito apenas aos contentores selecionados. Isto pode ser feito selecionando a caixa de verificação 'Search only in selected containers', como mostrado na imagem abaixo.

    Pesquisar apenas recipientes selecionados

    Configurar Âncoras

    Esta página tem sempre um valor pré-configurado e não pode ser alterada. Se o fornecedor do servidor tiver sido identificado, a âncora pode ser povoada com um atributo imutável, por exemplo, o GUID para um objeto. Se não tiver sido detetado ou se souber que não tem um atributo imutável, então o conector utiliza dn (nome distinto) como âncora.

    página de âncoras de configuração do conector MIM Sync

    Segue-se uma lista de servidores LDAP e a âncora a ser utilizada:

    Diretório Atributo de âncora
    Microsoft AD LDS e AD GC objectGUID
    389 Servidor de Diretório dn
    Diretório Apache dn
    IBM Tivoli DS dn
    Diretório de Isode dn
    Novell/NetIQ eDirectory GUID
    DJ/DS aberto dn
    LDAP aberto dn
    Oráculo ODSEE dn
    VDs Radiantes dn
    Servidor de Diretório Sun One dn

    Outras notas

    Esta secção fornece informações sobre aspetos específicos deste Conector ou por outras razões são importantes de saber.

    Importação delta

    A marca de água delta em LDAP aberto é data/hora UTC. Por esta razão, os relógios entre o Serviço de Sincronização FIM e o LDAP Aberto devem ser sincronizados. Caso contrário, podem ser omitidas algumas entradas no registo de alteração delta.

    Para a Novell eDirectory, a importação delta não está a detetar quaisquer exclusões de objetos. Por esta razão, é necessário executar uma importação completa periodicamente para encontrar todos os objetos eliminados.

    Para diretórios com um registo de alteração delta que se baseia na data/hora, é altamente recomendado executar uma importação completa em horários periódicos. Este processo permite que o motor de sincronização encontre e dissimilaridades entre o servidor LDAP e o que está atualmente no espaço do conector.

    Resolução de problemas

    • Para obter informações sobre como permitir a sessão de registo para resolver problemas no conector, consulte o Rastreio ETW para Conectores.