Partilhar via


Referência técnica do Conector do LDAP Genérico

Este artigo descreve o Conector LDAP Genérico. O artigo aplica-se aos seguintes produtos:

Por MIM2016, o Conector está disponível como transferência a partir do Centro de Transferências da Microsoft.

Quando se refere a RFCs IETF, este documento está a utilizar o formato (RFC [número RFC]/[secção no documento RFC]), por exemplo (RFC 4512/4.3). Pode encontrar mais informações em https://tools.ietf.org/. No painel esquerdo, introduza um número RFC na caixa de diálogo Obtenção do Documento e teste-o para se certificar de que é válido.

Nota

Microsoft Entra ID agora fornece uma solução simples baseada em agente para aprovisionar utilizadores num servidor LDAPv3, sem precisar de uma implementação de sincronização do MIM. Recomendamos que o utilize para o aprovisionamento de utilizadores de saída. Saiba mais.

Descrição geral do Conector LDAP Genérico

O Conector LDAP Genérico permite-lhe integrar o serviço de sincronização com um servidor LDAP v3.

Determinadas operações e elementos de esquema, como os necessários para efetuar a importação delta, não são especificados nos RFCs IETF. Para estas operações, apenas os diretórios LDAP especificados explicitamente são suportados.

Para ligar aos diretórios, testamos com a conta de raiz/administrador. Para utilizar uma conta diferente para aplicar permissões mais granulares, poderá ter de rever com a sua equipa de diretórioS LDAP.

A versão atual do conector suporta estas funcionalidades:

Funcionalidade Suporte
Origem de dados ligada O Conector é suportado com todos os servidores LDAP v3 (compatíveis com RFC 4510), exceto quando são destacados como não suportados. Foi testado com estes servidores de diretório:
  • Microsoft Active Directory Lightweight Directory Services (AD LDS)
  • Catálogo Global do Microsoft Active Directory (AD GC)
  • Servidor de Diretórios 389
  • Servidor do Apache Directory
  • IBM Tivoli DS
  • Diretório Isode
  • NetIQ eDirectory
  • Novell eDirectory
  • Abrir DJ
  • Abrir O DS
  • Abrir lDAP (openldap.org)
  • Oracle (anteriormente Sun) Directory Server Enterprise Edition
  • RadianteOne Virtual Directory Server (VDS)
  • Servidor de Diretório Sun One
  • Microsoft Active Directory Domain Services (AD DS)
    • Para a maioria dos cenários, tem de utilizar o Conector do Active Directory incorporado, uma vez que algumas funcionalidades podem não funcionar
    Diretórios ou funcionalidades conhecidos notáveis não suportados:
  • Microsoft Active Directory Domain Services (AD DS)
    • Serviço de Notificação de Alteração de Palavra-passe (PCNS)
    • Aprovisionamento do Exchange
    • Eliminar Dispositivos de Sincronização Ativa
    • Suporte para nTDescurityDescriptor
  • Oracle Internet Directory (OID)
  • Cenários
  • Gestão do Ciclo de Vida do Objeto
  • Gestão de Grupos
  • Gestão de palavra-passe
  • Operações As seguintes operações são suportadas em todos os diretórios LDAP:
  • Importação Completa
  • Exportar
  • As seguintes operações só são suportadas em diretórios especificados:
  • Importação delta
  • Definir Palavra-passe, Alterar Palavra-passe
  • Esquema
  • O esquema é detetado a partir do esquema LDAP (RFC3673 e RFC4512/4.2)
  • Suporta classes estruturais, classes aux e classe de objeto extensibleObject (RFC4512/4.3)
  • Suporte de importação e gestão de palavras-passe delta

    Diretórios Suportados para importação delta e Gestão de palavras-passe:

    • Microsoft Active Directory Lightweight Directory Services (AD LDS)
      • Suporta todas as operações de importação delta
      • Suporta a definição de palavra-passe
    • Catálogo Global do Microsoft Active Directory (AD GC)
      • Suporta todas as operações de importação delta
      • Suporta a definição de palavra-passe
    • Servidor de Diretórios 389
      • Suporta todas as operações de importação delta
      • Suporta Definir Palavra-passe e Alterar Palavra-passe
    • Servidor do Apache Directory
      • Não suporta a importação delta, uma vez que este diretório não tem um registo de alterações persistente
      • Suporta a definição de palavra-passe
    • IBM Tivoli DS
      • Suporta todas as operações de importação delta
      • Suporta Definir Palavra-passe e Alterar Palavra-passe
    • Diretório Isode
      • Suporta todas as operações de importação delta
      • Suporta Definir Palavra-passe e Alterar Palavra-passe
    • Novell eDirectory e NetIQ eDirectory
      • Suporta operações adicionar, atualizar e mudar o nome para a importação delta
      • Não suporta operações de Eliminação para importação delta
      • Suporta Definir Palavra-passe e Alterar Palavra-passe
    • Abrir DJ
      • Suporta todas as operações de importação delta
      • Suporta Definir Palavra-passe e Alterar Palavra-passe
    • Abrir O DS
      • Suporta todas as operações de importação delta
      • Suporta Definir Palavra-passe e Alterar Palavra-passe
    • Abrir lDAP (openldap.org)
      • Suporta todas as operações de importação delta
      • Suporta a definição de palavra-passe
      • Não suporta a alteração de palavra-passe
    • Oracle (anteriormente Sun) Directory Server Enterprise Edition
      • Suporta todas as operações de importação delta
      • Suporta Definir Palavra-passe e Alterar Palavra-passe
    • RadianteOne Virtual Directory Server (VDS)
      • Tem de utilizar a versão 7.1.1 ou superior
      • Suporta todas as operações de importação delta
      • Suporta Definir Palavra-passe e Alterar Palavra-passe
    • Sun One Directory Server
      • Suporta todas as operações de importação delta
      • Suporta Definir Palavra-passe e Alterar Palavra-passe

    Pré-requisitos

    Antes de utilizar o Conector, certifique-se de que tem o seguinte no servidor de sincronização:

    • Microsoft .NET 4.6.2 Framework ou posterior

    A implementação deste conector pode exigir alterações à configuração do servidor de diretórios, bem como alterações de configuração no MIM. Para implementações que envolvam a integração do MIM num servidor de diretórios de terceiros num ambiente de produção, recomendamos que os clientes trabalhem com o fornecedor do servidor de diretórios ou com um parceiro de implementação para obter ajuda, orientação e suporte para esta integração.

    Detetar o servidor LDAP

    O Conector baseia-se em várias técnicas para detetar e identificar o servidor LDAP. O Conector utiliza o DSE de Raiz, o nome/versão do fornecedor e inspeciona o esquema para localizar objetos e atributos exclusivos conhecidos por existirem em determinados servidores LDAP. Estes dados, se forem encontrados, são utilizados para pré-preencher as opções de configuração no Conector.

    Permissões de Origem de Dados Ligadas

    Para realizar operações de importação e exportação nos objetos no diretório ligado, a conta do conector tem de ter permissões suficientes. O conector precisa de permissões de escrita para poder exportar e permissões de leitura para poder importar. A configuração da permissão é executada nas experiências de gestão do próprio diretório de destino.

    Portas e protocolos

    O conector utiliza o número de porta especificado na configuração, que por predefinição é 389 para LDAP e 636 para LDAPS.

    Para LDAPS, tem de utilizar o SSL 3.0 ou o TLS. O SSL 2.0 não é suportado e não pode ser ativado.

    Controlos e funcionalidades necessários

    Os seguintes controlos/funcionalidades LDAP têm de estar disponíveis no servidor LDAP para que o conector funcione corretamente:
    1.3.6.1.4.1.4203.1.5.3 Filtros Verdadeiro/Falso

    O filtro Verdadeiro/Falso não é frequentemente reportado como suportado por diretórios LDAP e pode aparecer na Página Global em Funcionalidades Obrigatórias Não Encontradas. É utilizado para criar filtros OR em consultas LDAP, por exemplo, ao importar vários tipos de objetos. Se conseguir importar mais do que um tipo de objeto, o servidor LDAP suporta esta funcionalidade.

    Se utilizar um diretório onde um identificador exclusivo é a âncora, a seguinte funcionalidade também tem de estar disponível (Para obter mais informações, consulte a secção Configurar Âncoras ):
    1.3.6.1.4.1.4203.1.5.1 Todos os atributos operacionais

    Se o diretório tiver mais objetos do que o que pode caber numa chamada para o diretório, recomenda-se que utilize a paginação. Para que a paginação funcione, precisa de uma das seguintes opções:

    Opção 1:
    1.2.840.113556.1.4.319 pagedResultsControl

    Opção 2:
    2.16.840.1.113730.3.4.9 VLVControl
    1.2.840.113556.1.4.473 SortControl

    Se ambas as opções estiverem ativadas na configuração do conector, é utilizado pagedResultsControl.

    1.2.840.113556.1.4.417 ShowDeletedControl

    ShowDeletedControl só é utilizado com o método de importação de delta USNChanged para poder ver objetos eliminados.

    O conector tenta detetar as opções presentes no servidor. Se não for possível detetar as opções, está presente um aviso na página Global nas propriedades do conector. Nem todos os servidores LDAP apresentam todos os controlos/funcionalidades que suportam e, mesmo que este aviso esteja presente, o conector poderá funcionar sem problemas.

    Importação delta

    A importação delta só está disponível quando um diretório que o suporta tiver sido detetado. Os seguintes métodos são atualmente utilizados:

    Não suportado

    As seguintes funcionalidades LDAP não são suportadas:

    • Referências LDAP entre servidores (RFC 4511/4.1.10)

    Criar um novo Conector

    Para Criar um conector LDAP Genérico, no Serviço de Sincronização , selecione Agente de Gestão e Criar. Selecione o Conector LDAP Genérico (Microsoft ).

    IU de Sincronização do MIM para Criar um novo Conector

    Conectividade

    Na página Conectividade, tem de especificar as informações de Anfitrião, Porta e Enlace. Consoante o enlace selecionado, poderão ser fornecidas informações adicionais nas secções seguintes.

    Página de conectividade da configuração do conector de Sincronização do MIM

    • A definição Tempo Limite da Ligação só é utilizada para a primeira ligação ao servidor ao detetar o esquema.
    • Se Enlace for Anónimo, não são utilizados nem nome de utilizador/ palavra-passe nem certificado.
    • Para outros enlaces, introduza informações no nome de utilizador/palavra-passe ou selecione um certificado.
    • Se estiver a utilizar o Kerberos para autenticar, forneça também o Domínio/Realm do utilizador.

    A caixa de texto aliases de atributo é utilizada para atributos definidos no esquema com RFC4522 sintaxe. Estes atributos não podem ser detetados durante a deteção de esquema e o Conector precisa que esses atributos sejam configurados separadamente. Por exemplo, a seguinte cadeia tem de ser introduzida na caixa aliases de atributo para identificar corretamente o atributo userCertificate como um atributo binário:

    userCertificate;binary

    A tabela seguinte é um exemplo de como esta configuração pode ter o seguinte aspeto:

    Página de conectividade da configuração do conector de Sincronização do MIM com atributos

    Selecione a caixa de verificação incluir atributos operacionais no esquema para incluir também atributos criados pelo servidor. Estes incluem atributos como quando o objeto foi criado e a hora da última atualização.

    Selecione Incluir atributos extensíveis no esquema se forem utilizados objetos extensíveis (RFC4512/4.3) e ativar esta opção permite que todos os atributos sejam utilizados em todos os objetos. Selecionar esta opção torna o esquema muito grande, pelo que, a menos que o diretório ligado esteja a utilizar esta funcionalidade, a recomendação é manter a opção não selecionada.

    Parâmetros de Globais

    Na página Parâmetros Globais, configura o DN para o registo de alterações delta e funcionalidades LDAP adicionais. A página é pré-preenchida com as informações fornecidas pelo servidor LDAP.

    Página de parâmetros globais de configuração do conector de Sincronização do MIM

    A secção superior mostra as informações fornecidas pelo próprio servidor, como o nome do servidor. O Conector também verifica se os controlos obrigatórios estão presentes no DSE de Raiz. Se estes controlos não estiverem listados, será apresentado um aviso. Alguns diretórios LDAP não listam todas as funcionalidades no DSE de Raiz e é possível que o Conector funcione sem problemas, mesmo que esteja presente um aviso.

    As caixas de verificação dos controlos suportados controlam o comportamento de determinadas operações:

    • Com a eliminação de árvore selecionada, uma hierarquia é eliminada com uma chamada LDAP. Com a eliminação de árvores não selecionada, o conector efetua uma eliminação recursiva, se necessário.
    • Com os resultados paginados selecionados, o Conector faz uma importação paginada com o tamanho especificado nos passos de execução.
    • O VLVControl e o SortControl são uma alternativa ao pagedResultsControl para ler dados do diretório LDAP.
    • Se as três opções (pagedResultsControl, VLVControl e SortControl) não estiverem selecionadas, o Conector importa todo o objeto numa operação, o que poderá falhar se for um diretório grande.
    • ShowDeletedControl só é utilizado quando o método de importação Delta é USNChanged.

    O DN do registo de alterações é o contexto de nomenclatura utilizado pelo registo de alterações delta, por exemplo cn=changelog. Este valor tem de ser especificado para poder fazer a importação delta.

    A tabela seguinte é uma lista de DNs de registo de alterações predefinidos:

    Diretório Registo de alterações delta
    Microsoft AD LDS e AD GC Detetado automaticamente. USNChanged.
    Servidor do Apache Directory Não disponível.
    Diretório 389 Alterar registo. Valor predefinido a utilizar: cn=changelog
    IBM Tivoli DS Alterar registo. Valor predefinido a utilizar: cn=changelog
    Diretório Isode Alterar registo. Valor predefinido a utilizar: cn=changelog
    Novell/NetIQ eDirectory Não disponível. Carimbo de data/hora. O Conector utiliza a última data/hora atualizada para obter registos adicionados e atualizados.
    Abrir DJ/DS Alterar registo. Valor predefinido a utilizar: cn=changelog
    Abrir LDAP Registo de acesso. Valor predefinido a utilizar: cn=accesslog
    Oracle DSEE Alterar registo. Valor predefinido a utilizar: cn=changelog
    RadiantOne VDS Diretório virtual. Depende do diretório ligado ao VDS.
    Sun One Directory Server Alterar registo. Valor predefinido a utilizar: cn=changelog

    O atributo palavra-passe é o nome do atributo que o Conector deve utilizar para definir a palavra-passe nas operações de alteração de palavra-passe e conjunto de palavras-passe. Por predefinição, este valor está definido como userPassword , mas pode ser alterado quando necessário para um sistema LDAP específico.

    Na lista de partições adicionais, é possível adicionar espaços de nomes adicionais não detetados automaticamente. Por exemplo, esta definição pode ser utilizada se vários servidores constituem um cluster lógico, que deve ser importado ao mesmo tempo. Da mesma forma que o Active Directory pode ter vários domínios numa floresta, mas todos os domínios partilham um esquema, o mesmo pode ser simulado ao introduzir os espaços de nomes adicionais nesta caixa. Cada espaço de nomes pode importar a partir de servidores diferentes e está ainda configurado na página Configurar Partições e Hierarquias. Utilize Ctrl+Enter para obter uma nova linha.

    Configurar a Hierarquia de Aprovisionamento

    Esta página é utilizada para mapear o componente DN, por exemplo UO, para o tipo de objeto que deve ser aprovisionado, por exemplo organizationalUnit.

    Hierarquia de Aprovisionamento

    Ao configurar a hierarquia de aprovisionamento, pode configurar o Conector para criar automaticamente uma estrutura quando necessário. Por exemplo, se existir um espaço de nomes dc=contoso,dc=com e um novo objeto cn=Joe, ou=Seattle, c=US, dc=contoso, dc=com é aprovisionado, então o Conector pode criar um objeto do tipo país para OS e uma organizaçãounit para Seattle se estes ainda não estiverem presentes no diretório.

    Configurar Partições e Hierarquias

    Na página partições e hierarquias, selecione todos os espaços de nomes com objetos que planeia importar e exportar.

    Página partições de configuração do conector de Sincronização do MIM

    Para cada espaço de nomes, também é possível configurar definições de conectividade que substituiriam os valores especificados no ecrã Conectividade. Se estes valores forem deixados no valor em branco predefinido, são utilizadas as informações do ecrã Conectividade.

    Também é possível selecionar para que contentores e UOs o Conector deve importar e exportar.

    Ao efetuar uma pesquisa, isto é feito em todos os contentores na partição. Nos casos em que há um grande número de contentores, este comportamento leva à degradação do desempenho.

    Nota

    A partir da atualização de março de 2017 para as pesquisas genéricas do conector LDAP, as pesquisas podem ser limitadas no âmbito apenas aos contentores selecionados. Isto pode ser feito ao selecionar a caixa de verificação "Pesquisa apenas em contentores selecionados", conforme mostrado na imagem abaixo.

    Pesquisa apenas contentores selecionados

    Configurar Âncoras

    Esta página tem sempre um valor pré-configurado e não pode ser alterada. Se o fornecedor do servidor tiver sido identificado, a âncora poderá ser preenchida com um atributo imutável, por exemplo, o GUID de um objeto. Se não tiver sido detetado ou se se souber que não tem um atributo imutável, o conector utiliza dn (nome distinto) como âncora.

    Página de âncoras de configuração do conector de Sincronização do MIM

    A tabela seguinte é uma lista de servidores LDAP e a âncora que está a ser utilizada:

    Diretório Atributo De âncora
    Microsoft AD LDS e AD GC objectGUID
    Servidor de Diretórios 389 dn
    Diretório do Apache dn
    IBM Tivoli DS dn
    Diretório Isode dn
    Novell/NetIQ eDirectory GUID
    Abrir DJ/DS dn
    Abrir LDAP dn
    Oracle ODSEE dn
    RadiantOne VDS dn
    Sun One Directory Server dn

    Outras notas

    Esta secção fornece informações sobre aspetos específicos deste Conector ou por outros motivos importantes para saber.

    Importação delta

    A marca d'água delta no Open LDAP é data/hora UTC. Por este motivo, os relógios entre o Serviço de Sincronização do FIM e o Open LDAP têm de ser sincronizados. Caso contrário, algumas entradas no registo de alterações delta poderão ser omitidas.

    Para Novell eDirectory, a importação delta não está a detetar eliminações de objetos. Por este motivo, é necessário executar uma importação completa periodicamente para localizar todos os objetos eliminados.

    Para diretórios com um registo de alterações delta baseado na data/hora, é altamente recomendado executar uma importação completa em horas periódicas. Este processo permite que o motor de sincronização encontre e desimedidas entre o servidor LDAP e o que está atualmente no espaço do conector.

    Resolução de problemas