Dokumentacja techniczna ogólnego łącznika LDAP
W tym artykule opisano ogólny łącznik LDAP. Artykuł dotyczy następujących produktów:
- Microsoft Identity Manager 2016 (MIM2016)
- Microsoft Entra ID
W przypadku MIM2016 łącznik jest dostępny jako pobieranie z Centrum pobierania Microsoft.
Podczas odwoływania się do IETF RFCs ten dokument używa formatu (RFC [numer RFC]/[sekcja w dokumencie RFC]), na przykład (RFC 4512/4.3). Więcej informacji można znaleźć na stronie https://tools.ietf.org/. W panelu po lewej stronie wprowadź numer RFC w oknie dialogowym Pobieranie dokumentu i przetestuj go, aby upewnić się, że jest prawidłowy.
Uwaga
Tożsamość Microsoft Entra teraz udostępnia uproszczone rozwiązanie oparte na agencie do aprowizowania użytkowników na serwerze LDAPv3 bez konieczności wdrażania synchronizacji programu MIM. Zalecamy użycie jej na potrzeby aprowizacji użytkowników wychodzących. Dowiedz się więcej.
Omówienie ogólnego łącznika LDAP
Ogólny łącznik LDAP umożliwia integrację usługi synchronizacji z serwerem LDAP w wersji 3.
Niektóre operacje i elementy schematu, takie jak te potrzebne do przeprowadzenia importowania różnicowego, nie są określone w dokumentach RFC IETF. W przypadku tych operacji obsługiwane są tylko jawne katalogi LDAP.
W przypadku nawiązywania połączenia z katalogami testujemy przy użyciu konta głównego/administratora. Aby użyć innego konta, aby zastosować bardziej szczegółowe uprawnienia, może być konieczne zapoznanie się z zespołem katalogu LDAP.
Bieżąca wersja łącznika obsługuje następujące funkcje:
Cecha | Pomoc techniczna |
---|---|
Połączone źródło danych | Łącznik jest obsługiwany ze wszystkimi serwerami LDAP w wersji 3 (zgodnym ze standardem RFC 4510), z wyjątkiem tego, gdzie jest wywoływany jako nieobsługiwany. Został przetestowany przy użyciu następujących serwerów katalogów:
|
Scenariusze | |
Operacje | Następujące operacje są obsługiwane we wszystkich katalogach LDAP: |
Schemat |
Obsługa importowania i zarządzania hasłami w usłudze Delta
Obsługiwane katalogi na potrzeby importowania delty i zarządzania hasłami:
- Usługi Microsoft Active Directory Lightweight Directory (AD LDS)
- Obsługuje wszystkie operacje importowania różnicowego
- Obsługuje ustawianie hasła
- Katalog globalny usługi Microsoft Active Directory (AD GC)
- Obsługuje wszystkie operacje importowania różnicowego
- Obsługuje ustawianie hasła
- Serwer katalogu 389
- Obsługuje wszystkie operacje importowania różnicowego
- Obsługuje ustawianie hasła i zmienianie hasła
- Serwer usługi Apache Directory
- Nie obsługuje importowania różnicowego, ponieważ ten katalog nie ma trwałego dziennika zmian
- Obsługuje ustawianie hasła
- IBM Tivoli DS
- Obsługuje wszystkie operacje importowania różnicowego
- Obsługuje ustawianie hasła i zmienianie hasła
- Katalog Isode
- Obsługuje wszystkie operacje importowania różnicowego
- Obsługuje ustawianie hasła i zmienianie hasła
- Novell eDirectory i NetIQ eDirectory
- Obsługuje operacje dodawania, aktualizowania i zmieniania nazw na potrzeby importowania różnicowego
- Nie obsługuje operacji usuwania na potrzeby importowania różnicowego
- Obsługuje ustawianie hasła i zmienianie hasła
- Otwórz DJ
- Obsługuje wszystkie operacje importowania różnicowego
- Obsługuje ustawianie hasła i zmienianie hasła
- Otwórz usługę DS
- Obsługuje wszystkie operacje importowania różnicowego
- Obsługuje ustawianie hasła i zmienianie hasła
- Otwórz protokół LDAP (openldap.org)
- Obsługuje wszystkie operacje importowania różnicowego
- Obsługuje ustawianie hasła
- Nie obsługuje zmiany hasła
- Oracle (wcześniej Sun) Directory Server Enterprise Edition
- Obsługuje wszystkie operacje importowania różnicowego
- Obsługuje ustawianie hasła i zmienianie hasła
- RadiantOne Virtual Directory Server (VDS)
- Musi używać wersji 7.1.1 lub nowszej
- Obsługuje wszystkie operacje importowania różnicowego
- Obsługuje ustawianie hasła i zmienianie hasła
- Sun One Directory Server
- Obsługuje wszystkie operacje importowania różnicowego
- Obsługuje ustawianie hasła i zmienianie hasła
Wymagania wstępne
Przed użyciem łącznika upewnij się, że na serwerze synchronizacji są następujące elementy:
- Microsoft .NET 4.6.2 Framework lub nowszy
Wdrożenie tego łącznika może wymagać zmian w konfiguracji serwera katalogów, a także zmian konfiguracji programu MIM. W przypadku wdrożeń obejmujących integrację programu MIM z serwerem katalogów innej firmy w środowisku produkcyjnym zalecamy klientom współpracę z dostawcą serwera katalogów lub partnerem wdrożeniowym w celu uzyskania pomocy, wskazówek i obsługi tej integracji.
Wykrywanie serwera LDAP
Łącznik opiera się na różnych technikach wykrywania i identyfikowania serwera LDAP. Łącznik używa głównego DSE, nazwy/wersji dostawcy i sprawdza schemat, aby znaleźć unikatowe obiekty i atrybuty znane w niektórych serwerach LDAP. Te dane, jeśli zostaną znalezione, zostaną użyte do wstępnego wypełnienia opcji konfiguracji w łączniku.
Uprawnienia połączonego źródła danych
Aby wykonać operacje importowania i eksportowania obiektów w połączonym katalogu, konto łącznika musi mieć wystarczające uprawnienia. Łącznik musi mieć uprawnienia do zapisu, aby móc eksportować i uprawnienia do odczytu, aby móc importować. Konfiguracja uprawnień jest wykonywana w środowiskach zarządzania samego katalogu docelowego.
Porty i protokoły
Łącznik używa numeru portu określonego w konfiguracji, który domyślnie wynosi 389 dla protokołu LDAP i 636 dla protokołu LDAPS.
W przypadku protokołu LDAPS należy użyć protokołu SSL 3.0 lub TLS. Protokół SSL 2.0 nie jest obsługiwany i nie można go aktywować.
Wymagane kontrolki i funkcje
Następujące kontrolki/funkcje LDAP muszą być dostępne na serwerze LDAP, aby łącznik działał prawidłowo:
1.3.6.1.4.1.4203.1.5.3
Filtry prawda/fałsz
Filtr prawda/fałsz jest często zgłaszany jako obsługiwany przez katalogi LDAP i może być wyświetlany na stronie globalnej w obszarze Nie znaleziono obowiązkowych funkcji. Służy do tworzenia filtrów OR w zapytaniach LDAP, na przykład podczas importowania wielu typów obiektów. Jeśli możesz zaimportować więcej niż jeden typ obiektu, serwer LDAP obsługuje tę funkcję.
Jeśli używasz katalogu, w którym unikatowy identyfikator jest kotwicą, musi być również dostępna następująca funkcja (aby uzyskać więcej informacji, zobacz sekcję Konfigurowanie kotwic ):
1.3.6.1.4.1.4203.1.5.1
Wszystkie atrybuty operacyjne
Jeśli katalog ma więcej obiektów niż to, co może mieścić się w jednym wywołaniu katalogu, zaleca się użycie stronicowania. Aby stronicowanie działało, potrzebujesz jednej z następujących opcji:
Opcja 1.
1.2.840.113556.1.4.319
pagedResultsControl
Opcja 2.
2.16.840.1.113730.3.4.9
VLVControl
1.2.840.113556.1.4.473
SortControl
Jeśli obie opcje są włączone w konfiguracji łącznika, jest używana pagedResultsControl.
1.2.840.113556.1.4.417
ShowDeletedControl
Funkcja ShowDeletedControl jest używana tylko z metodą importu różnicowego USNChanged, aby móc zobaczyć usunięte obiekty.
Łącznik próbuje wykryć opcje obecne na serwerze. Jeśli nie można wykryć opcji, na stronie globalnej we właściwościach łącznika jest wyświetlane ostrzeżenie. Nie wszystkie serwery LDAP przedstawiają wszystkie obsługiwane kontrolki/funkcje, a nawet jeśli to ostrzeżenie jest obecne, łącznik może działać bez problemów.
Import zmian
Importowanie różnicowe jest dostępne tylko wtedy, gdy wykryto katalog, który go obsługuje. Obecnie są używane następujące metody:
- Dziennik dostępu LDAP. Zobacz http://www.openldap.org/doc/admin24/overlays.html#Access Rejestrowanie
- Dziennik zmian LDAP. Zobacz http://tools.ietf.org/html/draft-good-ldap-changelog-04
- Sygnatury czasowej. W przypadku programu Novell/NetIQ eDirectory łącznik używa ostatniej daty/godziny do tworzenia i aktualizowania obiektów. Program Novell/NetIQ eDirectory nie zapewnia równoważnego sposobu pobierania usuniętych obiektów. Tej opcji można również użyć, jeśli żadna inna metoda importu różnicowego nie jest aktywna na serwerze LDAP. Ta opcja nie może importować usuniętych obiektów.
- USNChanged. Zobacz: https://msdn.microsoft.com/library/ms677627.aspx
Nieobsługiwane
Następujące funkcje LDAP nie są obsługiwane:
- Odwołania LDAP między serwerami (RFC 4511/4.1.10)
Tworzenie nowego łącznika
Aby utworzyć ogólny łącznik LDAP, w usłudze synchronizacji wybierz pozycję Agent zarządzania i Utwórz. Wybierz łącznik Generic LDAP (Microsoft).
Łączność
Na stronie Łączność należy określić informacje o hoście, porcie i powiązaniu. W zależności od wybranego powiązania dodatkowe informacje mogą zostać podane w poniższych sekcjach.
- Ustawienie Limit czasu połączenia jest używane tylko dla pierwszego połączenia z serwerem podczas wykrywania schematu.
- Jeśli powiązanie jest anonimowe, ani nazwa użytkownika/hasło, ani certyfikat nie są używane.
- W przypadku innych powiązań wprowadź informacje w polu nazwa użytkownika/hasło lub wybierz certyfikat.
- Jeśli używasz protokołu Kerberos do uwierzytelniania, podaj również obszar/domenę użytkownika.
Pole tekstowe aliasów atrybutów jest używane do atrybutów zdefiniowanych w schemacie z składnią RFC4522. Nie można wykryć tych atrybutów podczas wykrywania schematu, a łącznik wymaga oddzielnego skonfigurowania tych atrybutów. Na przykład w polu aliasów atrybutów należy wprowadzić następujący ciąg, aby poprawnie zidentyfikować atrybut userCertificate jako atrybut binarny:
userCertificate;binary
Poniższa tabela zawiera przykład sposobu, w jaki ta konfiguracja może wyglądać następująco:
Zaznacz pole wyboru uwzględnij atrybuty operacyjne w schemacie, aby uwzględnić również atrybuty utworzone przez serwer. Obejmują one atrybuty, takie jak czas utworzenia obiektu i czas ostatniej aktualizacji.
Wybierz opcję Dołącz rozszerzalne atrybuty w schemacie, jeśli są używane rozszerzalne obiekty (RFC4512/4.3) i włączenie tej opcji umożliwia używanie każdego atrybutu na wszystkich obiektach. Wybranie tej opcji sprawia, że schemat jest bardzo duży, chyba że połączony katalog korzysta z tej funkcji, zaleca się, aby opcja nie została wybrana.
Parametry globalne
Na stronie Parametry globalne skonfiguruj nazwę DN do dziennika zmian różnicowych i dodatkowe funkcje LDAP. Strona jest wstępnie wypełniona informacjami dostarczonymi przez serwer LDAP.
W górnej sekcji przedstawiono informacje podane przez sam serwer, takie jak nazwa serwera. Łącznik sprawdza również, czy obowiązkowe kontrolki znajdują się w głównym środowisku DSE. Jeśli te kontrolki nie są wyświetlane, zostanie wyświetlone ostrzeżenie. Niektóre katalogi LDAP nie zawierają listy wszystkich funkcji w głównym środowisku DSE i istnieje możliwość, że łącznik działa bez problemów, nawet jeśli jest obecne ostrzeżenie.
Pola wyboru obsługiwanych kontrolek kontrolują zachowanie niektórych operacji:
- Po wybraniu usunięcia drzewa hierarchia jest usuwana z jednym wywołaniem LDAP. Po usunięciu drzewa niezaznaczonego łącznik wykonuje rekursywne usuwanie w razie potrzeby.
- Po wybraniu stronicowanych wyników łącznik wykonuje stronicowany import o rozmiarze określonym w krokach uruchamiania.
- VlVControl i SortControl to alternatywa dla pagedResultsControl do odczytu danych z katalogu LDAP.
- Jeśli wszystkie trzy opcje (pagedResultsControl, VLVControl i SortControl) są niezaznaczone, łącznik importuje wszystkie obiekty w jednej operacji, co może zakończyć się niepowodzeniem, jeśli jest to duży katalog.
- Funkcja ShowDeletedControl jest używana tylko wtedy, gdy metoda importowania delty to USNChanged.
Nazwa DN dziennika zmian to kontekst nazewnictwa używany przez dziennik zmian różnicowych, na przykład cn=changelog. Ta wartość musi być określona, aby można było wykonać importowanie różnicowe.
Poniższa tabela zawiera listę domyślnych nazw DN dziennika zmian:
Directory | Dziennik zmian różnicowych |
---|---|
Microsoft AD LDS i AD GC | Automatycznie wykryto. USNChanged. |
Serwer katalogów Apache | Niedostępne. |
Katalog 389 | Dziennik zmian. Wartość domyślna do użycia: cn=changelog |
IBM Tivoli DS | Dziennik zmian. Wartość domyślna do użycia: cn=changelog |
Katalog Isode | Dziennik zmian. Wartość domyślna do użycia: cn=changelog |
Novell/NetIQ eDirectory | Niedostępne. Sygnatury czasowej. Łącznik używa ostatniej aktualizacji daty/godziny w celu dodania i zaktualizowania rekordów. |
Otwórz DJ/DS | Dziennik zmian. Wartość domyślna do użycia: cn=changelog |
Otwórz protokół LDAP | Dziennik dostępu. Wartość domyślna do użycia: cn=accesslog |
Oracle DSEE | Dziennik zmian. Wartość domyślna do użycia: cn=changelog |
RadiantOne VDS | Katalog wirtualny. Zależy od katalogu połączonego z usługą VDS. |
Sun One Directory Server | Dziennik zmian. Wartość domyślna do użycia: cn=changelog |
Atrybut hasła jest nazwą atrybutu, który łącznik powinien użyć do ustawienia hasła w operacjach zmiany hasła i zestawu haseł. Ta wartość jest domyślnie ustawiona na wartość userPassword , ale można je zmienić w razie potrzeby dla określonego systemu LDAP.
Na liście dodatkowych partycji można dodać dodatkowe przestrzenie nazw, które nie są wykrywane automatycznie. Na przykład tego ustawienia można użyć, jeśli kilka serwerów składa się z klastra logicznego, co powinno zostać zaimportowane w tym samym czasie. Podobnie jak usługa Active Directory może mieć wiele domen w jednym lesie, ale wszystkie domeny współużytkują jeden schemat, można to samo symulować, wprowadzając dodatkowe przestrzenie nazw w tym polu. Każda przestrzeń nazw może importować z różnych serwerów i jest dodatkowo skonfigurowana na stronie Konfigurowanie partycji i hierarchii. Użyj klawiszy Ctrl+Enter, aby uzyskać nowy wiersz.
Konfigurowanie hierarchii aprowizacji
Ta strona służy do mapowania składnika DN, na przykład jednostki organizacyjnej, do typu obiektu, który powinien być aprowizacji, na przykład organizacyjneJnit.
Konfigurując hierarchię aprowizacji, można skonfigurować łącznik tak, aby automatycznie tworzył strukturę w razie potrzeby. Jeśli na przykład istnieje przestrzeń nazw dc=contoso,dc=com i nowy obiekt cn=Joe, ou=Seattle, c=US, dc=contoso, dc=com jest aprowizowany, łącznik może utworzyć obiekt kraju typu dla STANÓW Zjednoczonych i organizacjiUnit dla Seattle, jeśli nie są jeszcze obecne w katalogu.
Konfiguruj partycje i hierarchie
Na stronie Partycje i hierarchie wybierz wszystkie przestrzenie nazw z obiektami, które mają być importowane i eksportowane.
Dla każdej przestrzeni nazw można również skonfigurować ustawienia łączności, które zastąpią wartości określone na ekranie Łączność. Jeśli te wartości zostaną pozostawione do domyślnej pustej wartości, zostaną użyte informacje z ekranu Łączność.
Istnieje również możliwość wybrania kontenerów i jednostek organizacyjnych, z których łącznik ma zostać zaimportowany, i do którego ma zostać wyeksportowany.
Podczas wyszukiwania odbywa się to we wszystkich kontenerach w partycji. W przypadkach, gdy istnieje duża liczba kontenerów, takie zachowanie prowadzi do obniżenia wydajności.
Uwaga
Począwszy od aktualizacji z marca 2017 r. do ogólnych wyszukiwań łącznika LDAP, można ograniczyć zakres tylko do wybranych kontenerów. Można to zrobić, zaznaczając pole wyboru "Search tylko w wybranych kontenerach", jak pokazano na poniższej ilustracji.
Konfiguruj zakotwiczenia
Ta strona zawsze ma wstępnie skonfigurowaną wartość i nie można jej zmienić. Jeśli dostawca serwera został zidentyfikowany, kotwica może zostać wypełniona niezmiennym atrybutem, na przykład identyfikatorEM GUID obiektu. Jeśli nie został wykryty lub wiadomo, że nie ma niezmiennego atrybutu, łącznik używa nazwy dn (nazwy wyróżniającej) jako kotwicy.
Poniższa tabela zawiera listę serwerów LDAP i używanej kotwicy:
Directory | Atrybut kotwicy |
---|---|
Microsoft AD LDS i AD GC | Objectguid |
Serwer katalogów 389 | dn |
Katalog Apache | dn |
IBM Tivoli DS | dn |
Katalog Isode | dn |
Novell/NetIQ eDirectory | GUID |
Otwórz DJ/DS | dn |
Otwórz protokół LDAP | dn |
Oracle ODSEE | dn |
RadiantOne VDS | dn |
Sun One Directory Server | dn |
Inne uwagi
Ta sekcja zawiera informacje o aspektach specyficznych dla tego łącznika lub z innych powodów, które należy znać.
Import zmian
Znak wodny delta w usłudze Open LDAP to data/godzina UTC. Z tego powodu zegary między usługą synchronizacji programu FIM i protokołem Open LDAP muszą być zsynchronizowane. Jeśli nie, niektóre wpisy w dzienniku zmian różnicowych mogą zostać pominięte.
W przypadku programu Novell eDirectory importowanie różnicowe nie wykrywa usunięcia żadnych obiektów. Z tego powodu należy okresowo uruchamiać pełny import, aby znaleźć wszystkie usunięte obiekty.
W przypadku katalogów z dziennikiem zmian różnicowych opartym na dacie/godzinie zdecydowanie zaleca się uruchamianie pełnego importu w okresowych okresach. Ten proces umożliwia aparatowi synchronizacji znajdowanie i różnice między serwerem LDAP i tym, co znajduje się obecnie w przestrzeni łącznika.
Rozwiązywanie problemów
- Aby uzyskać informacje na temat włączania rejestrowania w celu rozwiązywania problemów z łącznikiem, zobacz How to Enable ETW Tracing for Connector (Jak włączyć śledzenie ETW dla łączników).