Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit le connecteur LDAP générique. L’article s’applique aux produits suivants :
- Microsoft Identity Manager 2016 (MIM2016)
- Microsoft Entra ID
Pour MIM2016, le connecteur est disponible en téléchargement à partir du Centre de téléchargement Microsoft.
Lorsque vous faites référence aux RFC IETF, ce document utilise le format (RFC [numéro RFC]/[section dans le document RFC]), par exemple (RFC 4512/4.3). Vous trouverez plus d’informations à l’adresse https://tools.ietf.org/. Dans le volet gauche, entrez un numéro RFC dans la boîte de dialogue Récupération de documents et testez-le pour vous assurer qu’il est valide.
Remarque
Microsoft Entra ID fournit désormais une solution basée sur un agent léger pour l’approvisionnement d’utilisateurs dans un serveur LDAPv3, sans avoir besoin d’un déploiement de synchronisation MIM. Nous vous recommandons de l’utiliser pour l’approvisionnement d’utilisateurs sortants. En savoir plus.
Vue d’ensemble du connecteur LDAP générique
Le connecteur LDAP générique vous permet d’intégrer le service de synchronisation à un serveur LDAP v3.
Certaines opérations et éléments de schéma, tels que ceux nécessaires pour effectuer l’importation delta, ne sont pas spécifiés dans les RFC IETF. Pour ces opérations, seuls les répertoires LDAP spécifiés explicitement sont pris en charge.
Pour la connexion aux répertoires, nous testons l’utilisation du compte racine/administrateur. Pour utiliser un autre compte pour appliquer des autorisations plus granulaires, vous devrez peut-être passer en revue avec votre équipe d’annuaire LDAP.
La version actuelle du connecteur prend en charge ces fonctionnalités :
Caractéristique | Soutien |
---|---|
Source de données connectée | Le connecteur est compatible avec tous les serveurs v3 LDAP (conformes à la RFC 4510), sauf quand il est explicitement indiqué qu'il ne l'est pas. Il a été testé avec ces serveurs d’annuaires :
|
Scénarios | |
Opérations | Les opérations suivantes sont prises en charge sur tous les répertoires LDAP : |
Schéma |
Importation différentielle et prise en charge de la gestion par mot de passe
Répertoires pris en charge pour l’importation delta et la gestion des mots de passe :
- Microsoft Active Directory Lightweight Directory Services (AD LDS)
- Prend en charge toutes les opérations d’importation différentielle
- Prend en charge la définition de mot de passe
- Catalogue global Microsoft Active Directory (AD GC)
- Prend en charge toutes les opérations d’importation différentielle
- Prend en charge l'établissement du mot de passe
- Serveur d’annuaire 389
- Prend en charge toutes les opérations d’importation différentielle
- Prend en charge la définition du mot de passe et la modification du mot de passe
- Serveur d'annuaire Apache
- Ne prend pas en charge l’importation delta, car ce répertoire n’a pas de journal des modifications persistant
- Supporte le paramétrage du mot de passe
- IBM Tivoli DS
- Prend en charge toutes les opérations d’importation différentielle
- Prend en charge la définition du mot de passe et la modification du mot de passe
- Répertoire Isode
- Prend en charge toutes les opérations d’importation différentielle
- Prend en charge la définition du mot de passe et la modification du mot de passe
- Novell eDirectory et NetIQ eDirectory
- Prend en charge les opérations d’ajout, de mise à jour et de renommage pour l’importation différentielle
- Ne prend pas en charge les opérations de suppression pour l'importation delta
- Prend en charge la définition du mot de passe et la modification du mot de passe
- DJ ouvert
- Prend en charge toutes les opérations d’importation différentielle
- Prend en charge la définition du mot de passe et la modification du mot de passe
- Ouvrir DS
- Prend en charge toutes les opérations d’importation différentielle
- Prend en charge la définition du mot de passe et la modification du mot de passe
- Ouvrir LDAP (openldap.org)
- Prend en charge toutes les opérations d’importation différentielle
- Prend en charge la définition de mot de passe
- Ne prend pas en charge la modification du mot de passe
- Oracle (précédemment Sun) Directory Server Enterprise Edition
- Prend en charge toutes les opérations d’importation différentielle
- Prend en charge la définition du mot de passe et la modification du mot de passe
- RadiantOne Virtual Directory Server (VDS)
- Doit utiliser la version 7.1.1 ou ultérieure
- Prend en charge toutes les opérations d’importation différentielle
- Prend en charge la définition du mot de passe et la modification du mot de passe
- Serveur d’annuaire Sun One
- Prend en charge toutes les opérations d’importation différentielle
- Prend en charge la définition du mot de passe et la modification du mot de passe
Conditions préalables
Avant d’utiliser le connecteur, vérifiez que vous disposez des éléments suivants sur le serveur de synchronisation :
- Microsoft .NET 4.6.2 Framework ou version ultérieure
Le déploiement de ce connecteur peut nécessiter des modifications de la configuration du serveur d’annuaire ainsi que des modifications de configuration apportées à MIM. Pour les déploiements impliquant l’intégration de MIM à un serveur d’annuaire tiers dans un environnement de production, nous recommandons aux clients de travailler avec leur fournisseur de serveurs d’annuaires ou un partenaire de déploiement pour obtenir de l’aide, des conseils et une prise en charge de cette intégration.
Détection du serveur LDAP
Le connecteur s’appuie sur différentes techniques pour détecter et identifier le serveur LDAP. Le connecteur utilise le DSE racine, le nom/la version du fournisseur et inspecte le schéma pour rechercher des objets et des attributs uniques connus pour exister dans certains serveurs LDAP. Ces données, si elles sont trouvées, sont utilisées pour préremplir les options de configuration dans le connecteur.
Autorisations des sources de données connectées
Pour effectuer des opérations d’importation et d’exportation sur les objets du répertoire connecté, le compte de connecteur doit disposer d’autorisations suffisantes. Le connecteur a besoin d’autorisations d’écriture pour pouvoir exporter et lire des autorisations pour pouvoir importer. La configuration des autorisations est effectuée dans les expériences de gestion du répertoire cible lui-même.
Ports et protocoles
Le connecteur utilise le numéro de port spécifié dans la configuration, qui est par défaut 389 pour LDAP et 636 pour LDAPS.
Pour LDAPS, vous devez utiliser SSL 3.0 ou TLS. SSL 2.0 n’est pas pris en charge et ne peut pas être activé.
Contrôles et fonctionnalités requis
Les contrôles/fonctionnalités LDAP suivants doivent être disponibles sur le serveur LDAP pour que le connecteur fonctionne correctement :
1.3.6.1.4.1.4203.1.5.3
Filtres Vrai/Faux
Le filtre True/False n’est fréquemment pas signalé comme pris en charge par les répertoires LDAP et peut apparaître sur la page globale sous Fonctionnalités obligatoires introuvables. Il est utilisé pour créer des filtres OR dans des requêtes LDAP, par exemple lors de l’importation de plusieurs types d’objets. Si vous pouvez importer plusieurs types d’objets, votre serveur LDAP prend en charge cette fonctionnalité.
Si vous utilisez un répertoire dans lequel un identificateur unique est l’ancre, la fonctionnalité suivante doit également être disponible (Pour plus d’informations, consultez la section Configurer les ancres ) :
1.3.6.1.4.1.4203.1.5.1
Tous les attributs opérationnels
Si le répertoire comporte plus d’objets que ce qui peut correspondre à un appel au répertoire, il est recommandé d’utiliser la pagination. Pour que la pagination fonctionne, vous avez besoin de l’une des options suivantes :
Option 1 :
1.2.840.113556.1.4.319
pagedResultsControl
Option 2 :
2.16.840.1.113730.3.4.9
VLVControl
1.2.840.113556.1.4.473
SortControl
Si les deux options sont activées dans la configuration du connecteur, pagedResultsControl est utilisé.
1.2.840.113556.1.4.417
ShowDeletedControl
ShowDeletedControl est utilisé uniquement avec la méthode d’importation delta USNChanged pour pouvoir voir les objets supprimés.
Le connecteur tente de détecter les options présentes sur le serveur. Si les options ne peuvent pas être détectées, un avertissement est présent sur la page Globale dans les propriétés du connecteur. Tous les serveurs LDAP ne présentent pas tous les contrôles/fonctionnalités qu’ils prennent en charge et même si cet avertissement est présent, le connecteur peut fonctionner sans problème.
Importation différentielle
L’importation delta est disponible uniquement lorsqu’un répertoire qui le prend en charge a été détecté. Les méthodes suivantes sont actuellement utilisées :
- Journal d’accès LDAP. Voirhttp://www.openldap.org/doc/admin24/overlays.html#Access Journal
- Journal des modifications LDAP. Voir http://tools.ietf.org/html/draft-good-ldap-changelog-04
- Horodatage. Pour Novell/NetIQ eDirectory, le connecteur utilise la dernière date/heure pour obtenir des objets créés et mis à jour. Novell/NetIQ eDirectory ne fournit pas de moyens équivalents pour récupérer des objets supprimés. Cette option peut également être utilisée si aucune autre méthode d’importation delta n’est active sur le serveur LDAP. Cette option n’est pas en mesure d’importer des objets supprimés.
- USNChanged. Consultez : https://msdn.microsoft.com/library/ms677627.aspx
Non prise en charge
Les fonctionnalités LDAP suivantes ne sont pas prises en charge :
- Références LDAP entre serveurs (RFC 4511/4.1.10)
Créer un connecteur
Pour créer un connecteur LDAP générique, dans le service de synchronisation , sélectionnez Agent de gestion et Créer. Sélectionnez le connecteur LDAP générique (Microsoft).
Connectivité
Dans la page Connectivité, vous devez spécifier les informations d’hôte, de port et de liaison. Selon la liaison sélectionnée, d’autres informations peuvent être fournies dans les sections suivantes.
- Le paramètre Délai d’expiration de la connexion est utilisé uniquement pour la première connexion au serveur lors de la détection du schéma.
- Si la liaison est anonyme, ni le nom d’utilisateur/mot de passe ni les certificats ne sont utilisés.
- Pour les autres liaisons, entrez des informations dans le nom d’utilisateur/mot de passe ou sélectionnez un certificat.
- Si vous utilisez Kerberos pour vous authentifier, fournissez également le domaine/domaine de l’utilisateur.
La zone de texte alias d’attributs est utilisée pour les attributs définis dans le schéma avec la syntaxe RFC4522. Ces attributs ne peuvent pas être détectés lors de la détection de schéma et le connecteur a besoin que ces attributs soient configurés séparément. Par exemple, la chaîne suivante doit être entrée dans la zone alias d’attribut pour identifier correctement l’attribut userCertificate en tant qu’attribut binaire :
userCertificate;binary
Le tableau suivant illustre l’apparence de cette configuration :
Cochez la case Inclure les attributs opérationnels dans le schéma pour inclure également les attributs créés par le serveur. Ceux-ci incluent des attributs tels que l’heure de création et de dernière mise à jour de l’objet.
Sélectionnez Inclure des attributs extensibles dans le schéma si des objets extensibles (RFC4512/4.3) sont utilisés et que cette option permet à chaque attribut d’être utilisé sur tous les objets. La sélection de cette option rend le schéma très volumineux, sauf si le répertoire connecté utilise cette fonctionnalité, la recommandation consiste à conserver l’option non sélectionnée.
Paramètres globaux
Sur la page Paramètres globaux, vous configurez un nom unique pour le journal des modifications différentielles et d’autres fonctionnalités LDAP. La page est préremplie avec les informations fournies par le serveur LDAP.
La section supérieure affiche les informations fournies par le serveur lui-même, telles que le nom du serveur. Le connecteur vérifie également que les contrôles obligatoires sont présents dans le DSE racine. Si ces contrôles ne sont pas répertoriés, un avertissement est présenté. Certains répertoires LDAP ne répertorient pas toutes les fonctionnalités du DSE racine et il est possible que le connecteur fonctionne sans problème même si un avertissement est présent.
Les cases à cocher contrôles pris en charge régissent le comportement de certaines opérations :
- Lorsque la suppression d'arborescence est sélectionnée, une hiérarchie est supprimée avec un appel LDAP. Si la suppression de l’arborescence n’est pas sélectionnée, le connecteur effectue une suppression récursive si nécessaire.
- Si les résultats paginés sont sélectionnés, le connecteur effectue une importation paginée avec la taille spécifiée dans les étapes d’exécution.
- VLVControl et SortControl sont une alternative à pagedResultsControl pour lire des données à partir du répertoire LDAP.
- Si les trois options (pagedResultsControl, VLVControl et SortControl) ne sont pas sélectionnées, le connecteur importe tous les objets dans une seule opération, ce qui peut échouer s’il s’agit d’un répertoire volumineux.
- ShowDeletedControl est utilisé uniquement lorsque la méthode d’importation différentielle est USNChanged.
Le DN du journal des modifications est le contexte de nommage utilisé par le journal des modifications différentielles, par exemple, cn=changelog. Cette valeur doit être spécifiée pour pouvoir effectuer l’importation delta.
Voici un tableau par défaut du journal de modification des noms uniques :
Répertoire | Journal des modifications différentielles |
---|---|
Microsoft AD LDS et AD GC | Détection automatique. USNChanged. |
Apache Directory Server | Non disponible. |
Directory 389 | Journal des modifications. Valeur par défaut à utiliser : cn=changelog |
IBM Tivoli DS | Journal des modifications. Valeur par défaut à utiliser : cn=changelog |
Isode Directory | Journal des modifications. Valeur par défaut à utiliser : cn=changelog |
Novell/NetIQ eDirectory | Non disponible. Horodatage. Le connecteur utilise la date/heure de la dernière mise à jour pour obtenir des enregistrements ajoutés et mis à jour. |
DJ/DS Open | Journal des modifications. Valeur par défaut à utiliser : cn=changelog |
Ouvrir LDAP | Journal d’accès. Valeur par défaut à utiliser : cn=accesslog |
DSEE Oracle | Journal des modifications. Valeur par défaut à utiliser : cn=changelog |
RadiantOne VDS | Répertoire virtuel. Dépend du répertoire connecté à VDS. |
Serveur d’annuaire Sun One | Journal des modifications. Valeur par défaut à utiliser : cn=changelog |
L’attribut de mot de passe est le nom de l’attribut que le connecteur doit utiliser pour définir le mot de passe dans les opérations de modification de mot de passe et de jeu de mots de passe. Cette valeur est définie par défaut sur userPassword , mais peut être modifiée si nécessaire pour un système LDAP particulier.
Dans la liste des partitions supplémentaires, il est possible d’ajouter des espaces de noms supplémentaires non détectés automatiquement. Par exemple, ce paramètre peut être utilisé si plusieurs serveurs composent un cluster logique, qui doit tous être importé en même temps. Active Directory peut compter plusieurs domaines partageant le même schéma dans une forêt. On peut simuler cette situation en saisissant les espaces de noms supplémentaires dans cette zone. Chaque espace de noms peut importer à partir de différents serveurs et est configuré davantage dans la page Configurer les partitions et les hiérarchies. Utilisez Ctrl+Entrée pour obtenir une nouvelle ligne.
Configurer la hiérarchie d’approvisionnement
Cette page permet d’associer le composant DN (par exemple, OU) au type d’objet à configurer (par exemple, organizationalUnit).
En configurant la hiérarchie d’approvisionnement, vous pouvez configurer le connecteur pour créer automatiquement une structure si nécessaire. Par exemple, s’il existe un espace de noms dc=contoso,dc=com et qu’un nouvel objet cn=Joe,ou=Seattle,c=US,dc=contoso,dc=com est configuré, le connecteur peut créer un objet de type country pour US et un objet organizationalUnit pour Seattle si ceux-ci ne figurent déjà dans l’annuaire.
Configurer des partitions et des hiérarchies
Dans la page partitions et hiérarchies, sélectionnez tous les espaces de noms avec des objets que vous envisagez d’importer et d’exporter.
Pour chaque espace de noms, il est également possible de configurer les paramètres de connectivité qui remplaceraient les valeurs spécifiées sur l’écran Connectivité. Si ces valeurs sont laissées à leur valeur vide par défaut, les informations de l’écran Connectivité sont utilisées.
Il est également possible de sélectionner les conteneurs et unités d’organisation vers lesquels le connecteur doit importer et exporter.
Lorsque vous effectuez une recherche, cette opération s’effectue sur tous les conteneurs de la partition. Dans les cas où il existe un grand nombre de conteneurs, ce comportement entraîne une dégradation des performances.
Remarque
À compter de la mise à jour de mars 2017 vers les recherches de connecteur LDAP générique, il est possible de limiter l’étendue aux seuls conteneurs sélectionnés. Pour ce faire, cochez la case « Rechercher uniquement dans les conteneurs sélectionnés », comme illustré dans l’image ci-dessous.
Configurer des points d'ancrage
Cette page a toujours une valeur préconfigurée et ne peut pas être modifiée. Si le fournisseur de serveurs a été identifié, l’ancre peut être remplie avec un attribut immuable, par exemple le GUID d’un objet. S’il n’a pas été détecté ou s’il est connu pour ne pas avoir d’attribut immuable, le connecteur utilise dn (nom unique) comme ancre.
Le tableau suivant est une liste de serveurs LDAP et de l’ancre utilisée :
Répertoire | Attribut d’ancre |
---|---|
Microsoft AD LDS et AD GC | objectGUID |
Serveur d’annuaire 389 | dn |
Répertoire Apache | dn |
IBM Tivoli DS | dn |
Isode Directory | dn |
Novell/NetIQ eDirectory | GUID |
DJ/DS Open | dn |
Ouvrir LDAP | dn |
Oracle ODSEE | dn |
RadiantOne VDS | dn |
Serveur d’annuaire Sun One | dn |
Autres remarques
Cette section fournit des informations sur les éléments qui sont spécifiques à ce connecteur ou qui, pour d'autres raisons, sont importants à connaître.
Importation différentielle
Le filigrane delta dans Open LDAP est la date/heure UTC. Pour cette raison, les horloges entre le service de synchronisation FIM et Open LDAP doivent être synchronisées. Dans le cas contraire, certaines entrées du journal des modifications différentielles doivent être omises.
Pour Novell eDirectory, l’importation delta ne détecte aucune suppression d’objet. Pour cette raison, il est nécessaire d’exécuter régulièrement une importation complète pour rechercher tous les objets supprimés.
Pour les répertoires avec un journal des modifications delta basé sur la date/heure, il est vivement recommandé d’exécuter une importation complète à intervalles réguliers. Ce processus permet au moteur de synchronisation de rechercher et de détecter les différences entre le serveur LDAP et ce qui se trouve actuellement dans l'espace du connecteur.
Résolution des problèmes
- Pour plus d’informations sur la façon d’activer la journalisation pour résoudre les problèmes du connecteur, consultez Comment activer le suivi ETW pour les connecteurs.