Technische referentie voor generieke LDAP-connector
In dit artikel wordt de Algemene LDAP-connector beschreven. Het artikel is van toepassing op de volgende producten:
- Microsoft Identity Manager 2016 (MIM2016)
- Microsoft Entra ID
Voor MIM2016 is de connector beschikbaar als download van het Microsoft Downloadcentrum.
Bij het verwijzen naar IETF RFC's gebruikt dit document de indeling (RFC [RFC-nummer]/[sectie in RFC-document]), bijvoorbeeld (RFC 4512/4.3). Meer informatie vindt u op https://tools.ietf.org/. Voer in het linkerdeelvenster een RFC-nummer in het dialoogvenster Doc ophalen en test het om te controleren of het geldig is.
Notitie
Microsoft Entra ID biedt nu een lichtgewicht oplossing op basis van agents voor het inrichten van gebruikers in een LDAPv3-server, zonder dat er een MIM-synchronisatie-implementatie nodig is. We raden u aan deze te gebruiken voor uitgaande gebruikersvoorziening. Meer informatie.
Overzicht van de algemene LDAP-connector
Met de Generic LDAP-connector kunt u de synchronisatieservice integreren met een LDAP v3-server.
Bepaalde bewerkingen en schema-elementen, zoals de bewerkingen die nodig zijn om deltaimport uit te voeren, worden niet opgegeven in de IETF-RFC's. Voor deze bewerkingen worden alleen LDAP-directory's die expliciet zijn opgegeven, ondersteund.
Voor het maken van verbinding met de directory's testen we het hoofd-/beheerdersaccount. Als u een ander account wilt gebruiken om gedetailleerdere machtigingen toe te passen, moet u mogelijk controleren met uw LDAP-adreslijstteam.
De huidige versie van de connector ondersteunt deze functies:
| Eigenschap | Ondersteuning |
|---|---|
| Verbonden gegevensbron | De connector wordt ondersteund met alle LDAP v3-servers (RFC 4510-compatibel), behalve waar wordt aangegeven dat deze niet wordt ondersteund. Het is getest met deze mapservers:
|
| Scenariën | |
| Bedrijfsactiviteiten | De volgende bewerkingen worden ondersteund in alle LDAP-directory's: |
| Schema |
Ondersteuning voor Delta-import en wachtwoordbeheer
Ondersteunde mappen voor Delta-import en wachtwoordbeheer:
- Microsoft Active Directory Lightweight Directory Services (AD LDS)
- Ondersteunt alle bewerkingen voor deltaimport
- Ondersteunt wachtwoord instellen
- Microsoft Active Directory Global Catalog (AD GC)
- Ondersteunt alle bewerkingen voor deltaimport
- Ondersteunt wachtwoord instellen
- 389 Adreslijstserver
- Ondersteunt alle bewerkingen voor deltaimport
- Ondersteunt het instellen van een wachtwoord en het wijzigen van het wachtwoord
- Apache Directory Server
- Biedt geen ondersteuning voor deltaimport omdat deze map geen permanent wijzigingslogboek heeft
- Ondersteunt wachtwoord instellen
- IBM Tivoli DS
- Ondersteunt alle bewerkingen voor deltaimport
- Ondersteunt het instellen van een wachtwoord en het wijzigen van het wachtwoord
- Isode-directory
- Ondersteunt alle bewerkingen voor deltaimport
- Ondersteunt het instellen van een wachtwoord en het wijzigen van het wachtwoord
- Novell eDirectory en NetIQ eDirectory
- Ondersteunt bewerkingen voor toevoegen, bijwerken en hernoemen voor deltaimport
- Biedt geen ondersteuning voor verwijderingsbewerkingen voor deltaimport
- Ondersteunt het instellen van een wachtwoord en het wijzigen van het wachtwoord
- Dj openen
- Ondersteunt alle bewerkingen voor deltaimport
- Ondersteunt het instellen van een wachtwoord en het wijzigen van het wachtwoord
- DS openen
- Ondersteunt alle bewerkingen voor deltaimport
- Ondersteunt het instellen van een wachtwoord en het wijzigen van het wachtwoord
- Open LDAP (openldap.org)
- Ondersteunt alle bewerkingen voor deltaimport
- Ondersteunt wachtwoord instellen
- Biedt geen ondersteuning voor het wijzigen van het wachtwoord
- Oracle (eerder Sun) Directory Server Enterprise Edition
- Ondersteunt alle bewerkingen voor deltaimport
- Ondersteunt het instellen van een wachtwoord en het wijzigen van het wachtwoord
- RadiantOne Virtuele Directory Server (VDS)
- Moet versie 7.1.1 of hoger gebruiken
- Ondersteunt alle bewerkingen voor deltaimport
- Ondersteunt het instellen van een wachtwoord en het wijzigen van het wachtwoord
- Sun One Directory Server
- Ondersteunt alle bewerkingen voor deltaimport
- Ondersteunt het instellen van een wachtwoord en het wijzigen van het wachtwoord
Benodigdheden
Voordat u de connector gebruikt, moet u ervoor zorgen dat u het volgende op de synchronisatieserver hebt:
- Microsoft .NET 4.6.2 Framework of hoger
Het implementeren van deze connector vereist mogelijk wijzigingen in de configuratie van de mapserver, evenals configuratiewijzigingen in MIM. Voor implementaties waarbij MIM wordt geïntegreerd met een directoryserver van derden in een productieomgeving, raden we klanten aan samen te werken met de leverancier van de adreslijstserver of een implementatiepartner voor hulp, richtlijnen en ondersteuning voor deze integratie.
De LDAP-server detecteren
De connector is afhankelijk van verschillende technieken voor het detecteren en identificeren van de LDAP-server. De connector maakt gebruik van de basis-DSE, de naam/versie van de leverancier en inspecteert het schema om unieke objecten en kenmerken te vinden die bekend zijn op bepaalde LDAP-servers. Deze gegevens worden, indien gevonden, gebruikt voor het vooraf vullen van de configuratieopties in de connector.
Machtigingen voor verbonden gegevensbronnen
Als u import- en exportbewerkingen wilt uitvoeren op de objecten in de verbonden map, moet het connectoraccount over voldoende machtigingen beschikken. De connector heeft schrijfmachtigingen nodig om te kunnen exporteren en leesmachtigingen om te kunnen importeren. De machtigingsconfiguratie wordt uitgevoerd binnen de beheerinterface van de richtdirectory zelf.
Poorten en protocollen
De connector gebruikt het poortnummer dat is opgegeven in de configuratie, die standaard 389 is voor LDAP en 636 voor LDAPS.
Voor LDAPS moet u SSL 3.0 of TLS gebruiken. SSL 2.0 wordt niet ondersteund en kan niet worden geactiveerd.
Vereiste besturingselementen en functies
De volgende LDAP-besturingselementen/-functies moeten beschikbaar zijn op de LDAP-server om de connector goed te laten werken:
1.3.6.1.4.1.4203.1.5.3 waar/onwaar-filters
Het filter Waar/Onwaar wordt vaak niet gerapporteerd als ondersteund door LDAP-mappen en wordt mogelijk weergegeven op de algemene pagina onder Verplichte functies die niet zijn gevonden. Deze wordt gebruikt voor het maken van OF filters in LDAP-query's, bijvoorbeeld bij het importeren van meerdere objecttypen. Als u meer dan één objecttype kunt importeren, ondersteunt uw LDAP-server deze functie.
Als u een map gebruikt waarbij een unieke id het anker is, moet de volgende functie ook beschikbaar zijn (Zie de sectie Ankers configureren voor meer informatie):
alle operationele kenmerken 1.3.6.1.4.1.4203.1.5.1
Als de map meer objecten heeft dan wat in één aanroep naar de map past, wordt aanbevolen om paging te gebruiken. Voordat paging werkt, hebt u een van de volgende opties nodig:
optie 1:
1.2.840.113556.1.4.319 pagedResultsControl
optie 2:
2.16.840.1.113730.3.4.9 VLVControl
1.2.840.113556.1.4.473 SortControl
Als beide opties zijn ingeschakeld in de connectorconfiguratie, wordt pagedResultsControl gebruikt.
1.2.840.113556.1.4.417 ToonVerwijderdeBesturing
ShowDeletedControl wordt alleen gebruikt met de USNChanged Delta-importmethode om verwijderde objecten te kunnen zien.
De connector probeert de opties op de server te detecteren. Als de opties niet kunnen worden gedetecteerd, wordt er een waarschuwing weergegeven op de pagina Algemeen in de eigenschappen van de connector. Niet alle LDAP-servers bevatten alle besturingselementen/functies die ze ondersteunen en zelfs als deze waarschuwing aanwezig is, werkt de connector mogelijk zonder problemen.
Deltaimport
Delta-import is alleen beschikbaar wanneer een map die deze ondersteunt, is gedetecteerd. De volgende methoden worden momenteel gebruikt:
- LDAP-toegangslogboek. Zie http://www.openldap.org/doc/admin24/overlays.html#Access logboekregistratie
- LDAP-wijzigingslogboek. Zie http://tools.ietf.org/html/draft-good-ldap-changelog-04
- Tijdstempel. Voor Novell/NetIQ eDirectory gebruikt de connector de laatste datum/tijd voor het maken en bijwerken van objecten. Novell/NetIQ eDirectory biedt geen equivalente middelen om verwijderde objecten op te halen. Deze optie kan ook worden gebruikt als er geen andere delta-importmethode actief is op de LDAP-server. Met deze optie kunt u verwijderde objecten niet importeren.
- USNGewijzigd. Zie: https://msdn.microsoft.com/library/ms677627.aspx
Niet ondersteund
De volgende LDAP-functies worden niet ondersteund:
- LDAP-verwijzingen tussen servers (RFC 4511/4.1.10)
Een nieuwe connector maken
Om een algemene LDAP-connector aan te maken, selecteert u in Synchronization Service de Management Agent en Aanmaken. Selecteer de Generic LDAP (Microsoft) Connector.
Connectiviteit
Op de pagina Connectiviteit moet u de host-, poort- en bindingsgegevens opgeven. Afhankelijk van welke binding is geselecteerd, kunt u aanvullende informatie opgeven in de volgende secties.
- De instelling Time-out van verbinding wordt alleen gebruikt voor de eerste verbinding met de server bij het detecteren van het schema.
- Als binding anoniem is, worden geen gebruikersnaam/wachtwoord of certificaat gebruikt.
- Voor andere bindingen voert u gegevens in in gebruikersnaam/wachtwoord of selecteert u een certificaat.
- Als u Kerberos gebruikt om te verifiëren, geeft u ook het realm/domein van de gebruiker op.
Het kenmerkaliassen tekstvak wordt gebruikt voor kenmerken die in het schema zijn gedefinieerd met RFC4522 syntaxis. Deze kenmerken kunnen niet worden gedetecteerd tijdens de schemadetectie en deze kenmerken moeten door de connector afzonderlijk worden geconfigureerd. De volgende tekenreeks moet bijvoorbeeld worden ingevoerd in het vak kenmerkaliassen om het kenmerk userCertificate correct te identificeren als een binair kenmerk:
userCertificate;binary
De volgende tabel is een voorbeeld van hoe deze configuratie eruit kan zien:
Schakel het selectievakje in om operationele kenmerken in schema op te nemen, inclusief kenmerken die door de server zijn gemaakt. Dit zijn onder andere kenmerken, zoals wanneer het object is gemaakt en de laatste updatetijd.
Selecteer Uitbreidbare kenmerken opnemen in het schema als uitbreidbare objecten (RFC4512/4.3) worden gebruikt en als u deze optie inschakelt, kan elk kenmerk voor elk object worden gebruikt. Als u deze optie selecteert, is het schema erg groot, dus tenzij de verbonden map deze functie gebruikt, is het raadzaam om de optie niet geselecteerd te houden.
Globale parameters
Op de pagina met globale parameters configureert u de DN voor het delta-wijzigingslog en aanvullende LDAP-functies. De pagina wordt vooraf ingevuld met de informatie van de LDAP-server.
In de bovenste sectie ziet u informatie van de server zelf, zoals de naam van de server. De connector controleert ook of de verplichte besturingselementen aanwezig zijn in de basis-DSE. Als deze besturingselementen niet worden weergegeven, wordt er een waarschuwing weergegeven. Sommige LDAP-directory's vermelden niet alle functies in de basis-DSE en het is mogelijk dat de connector zonder problemen werkt, zelfs als er een waarschuwing aanwezig is.
De ondersteunde selectievakjesopties bepalen het gedrag voor bepaalde bewerkingen:
- Als 'structuur verwijderen' is geselecteerd, wordt een hiërarchie verwijderd met één LDAP-aanroep. Als boomverwijdering niet is geselecteerd, voert de connector indien nodig een recursieve verwijdering uit.
- Wanneer gepaginade resultaten zijn geselecteerd, voert de connector een gepaginade import uit met de grootte die is opgegeven in de uitvoeringsstappen.
- VLVControl en SortControl zijn een alternatief voor pagedResultsControl om gegevens uit de LDAP-directory te lezen.
- Als alle drie de opties (pagedResultsControl, VLVControl en SortControl) niet zijn geselecteerd, importeert de connector alle objecten in één bewerking, wat kan mislukken als het een grote map is.
- ShowDeletedControl wordt alleen gebruikt als USNChanged de Delta-importmethode is.
Het wijzigingslogboek-DN is de naamgevingscontext die wordt gebruikt door het deltawijzigingslogboek, bijvoorbeeld cn=changelog. Deze waarde moet worden opgegeven om deltaimport uit te voeren.
De volgende tabel is een lijst met standaard DN's voor wijzigingenlogboeken:
| Adreslijst | Delta-wijzigingslogboek |
|---|---|
| Microsoft AD LDS en AD GC | Automatisch gedetecteerd. USNChanged. |
| Apache Directory Server | Niet beschikbaar. |
| Map 389 | Wijzigingslogboek. Standaardwaarde die moet worden gebruikt: cn=changelog |
| IBM Tivoli DS | Wijzigingslogboek. Standaardwaarde die moet worden gebruikt: cn=changelog |
| Isode-directory | Wijzigingslogboek. Standaardwaarde die moet worden gebruikt: cn=changelog |
| Novell/NetIQ eDirectory | Niet beschikbaar. Tijdstempel. De connector gebruikt de laatst bijgewerkte datum/tijd om toegevoegde en bijgewerkte records op te halen. |
| Open DJ/DS | Wijzigingslogboek. Standaardwaarde die moet worden gebruikt: cn=changelog |
| LDAP openen | Toegangslogboek. Standaardwaarde die moet worden gebruikt: cn=accesslog |
| Oracle DSEE | Wijzigingslogboek. Standaardwaarde die moet worden gebruikt: cn=changelog |
| RadiantOne VDS | Virtuele map. Is afhankelijk van de map die is verbonden met VDS. |
| Sun One Directory Server | Wijzigingslogboek. Standaardwaarde die moet worden gebruikt: cn=changelog |
Het wachtwoordkenmerk is de naam van het kenmerk dat de connector moet gebruiken om het wachtwoord in te stellen in bewerkingen voor wachtwoordwijziging en wachtwoordset. Deze waarde is standaard ingesteld op userPassword, maar kan worden gewijzigd wanneer dat nodig is voor een bepaald LDAP-systeem.
In de lijst met extra partities is het mogelijk om extra naamruimten toe te voegen die niet automatisch worden gedetecteerd. Deze instelling kan bijvoorbeeld worden gebruikt als meerdere servers een logisch cluster vormen, dat allemaal tegelijkertijd moet worden geïmporteerd. Net zoals Active Directory meerdere domeinen in één forest kan hebben, maar alle domeinen één schema delen, kan hetzelfde worden gesimuleerd door de extra naamruimten in dit vak in te voeren. Elke naamruimte kan worden geïmporteerd van verschillende servers en wordt verder geconfigureerd op de pagina Partities en hiërarchieën configureren. Gebruik Ctrl+Enter om een nieuwe regel op te halen.
Inrichtingshiërarchie configureren
Deze pagina wordt gebruikt om het DN-component, bijvoorbeeld OU, in kaart te brengen naar het objecttype dat moet worden ingericht, zoals organisatie-eenheid.
Door de inrichtingshiërarchie te configureren, kunt u de connector zo configureren dat er automatisch een structuur wordt gemaakt wanneer dat nodig is. Als er bijvoorbeeld een naamruimte dc=contoso,dc=com en een nieuw object cn=Joe, ou=Seattle, c=US, dc=contoso, dc=com is ingericht, kan de connector een object van het type land voor de VS en een organisatieeenheid voor Seattle maken als deze nog niet aanwezig zijn in de map.
Partities en hiërarchieën configureren
Selecteer op de pagina partities en hiërarchieën alle naamruimten met objecten die u wilt importeren en exporteren.
Voor elke naamruimte is het ook mogelijk om connectiviteitsinstellingen te configureren waarmee de waarden die zijn opgegeven op het scherm Connectiviteit worden overschreven. Als deze waarden worden overgelaten aan de standaard lege waarde, wordt de informatie uit het scherm Connectiviteit gebruikt.
Het is ook mogelijk om te selecteren welke containers en OE's de connector moet importeren en naar moet exporteren.
Wanneer u een zoekopdracht uitvoert, wordt dit uitgevoerd voor alle containers in de partitie. In gevallen waarin er grote aantallen containers zijn, leidt dit gedrag tot prestatievermindering.
Notitie
Vanaf de update van maart 2017 voor de zoekopdrachten van de Generic LDAP-connector kan het bereik worden beperkt tot alleen de geselecteerde containers. U kunt dit doen door het selectievakje 'Alleen zoeken in geselecteerde containers' in te schakelen, zoals wordt weergegeven in de onderstaande afbeelding.
Ankers configureren
Deze pagina heeft altijd een vooraf geconfigureerde waarde en kan niet worden gewijzigd. Als de serverleverancier is geïdentificeerd, kan het anker worden gevuld met een onveranderbaar kenmerk, bijvoorbeeld de GUID voor een object. Als het niet is gedetecteerd of bekend is dat het geen onveranderbaar kenmerk heeft, gebruikt de connector de onderscheidende naam (DN) als anker.
De volgende tabel is een lijst met LDAP-servers en het anker dat wordt gebruikt:
| Adreslijst | Ankerkenmerk |
|---|---|
| Microsoft AD LDS en AD GC | objectGUID |
| 389 Directory Server | dn |
| Apache Directory | dn |
| IBM Tivoli DS | dn |
| Isode-directory | dn |
| Novell/NetIQ eDirectory | GUID (Globaal Unieke Identificator) |
| Open DJ/DS | dn |
| OpenLDAP | dn |
| Oracle ODSEE | dn |
| RadiantOne VDS | dn |
| Sun One Directory Server | dn |
Andere opmerkingen
Deze sectie bevat informatie over aspecten die specifiek zijn voor deze connector of om andere redenen belangrijk om te weten.
Deltaimport
Het deltawatermerk in Open LDAP is UTC-datum/tijd. Daarom moeten de klokken tussen de FIM-synchronisatieservice en de Open LDAP worden gesynchroniseerd. Zo niet, dan worden sommige vermeldingen in het deltawijzigingslogboek mogelijk weggelaten.
Voor Novell eDirectory detecteert de deltaimport geen verwijderingen van objecten. Daarom is het noodzakelijk om periodiek een volledige import uit te voeren om alle verwijderde objecten te vinden.
Voor mappen met een deltawijzigingslogboek dat is gebaseerd op datum/tijd, wordt het ten zeerste aanbevolen om een volledige import op periodieke tijdstippen uit te voeren. Met dit proces kan de synchronisatie-engine verschillen vinden tussen de LDAP-server en wat zich momenteel in de connectorruimte bevindt.
Problemen oplossen
- Zie de ETW-tracering inschakelen voor connectorsvoor meer informatie over het inschakelen van logboekregistratie om problemen met de connector op te lossen.