Partager via


Informations de référence techniques sur le connecteur LDAP générique

Cet article décrit le connecteur LDAP générique. L’article s’applique aux produits suivants :

Pour MIM2016, le connecteur est disponible en téléchargement à partir du Centre de téléchargement Microsoft.

Lorsque vous faites référence aux RFC IETF, ce document utilise le format (RFC [numéro RFC]/[section dans le document RFC]), par exemple (RFC 4512/4.3). Vous trouverez plus d’informations à l’adresse https://tools.ietf.org/. Dans le volet gauche, entrez un numéro RFC dans la boîte de dialogue Récupération de documents et testez-le pour vous assurer qu’il est valide.

Remarque

Microsoft Entra ID fournit désormais une solution basée sur un agent léger pour l’approvisionnement d’utilisateurs dans un serveur LDAPv3, sans avoir besoin d’un déploiement de synchronisation MIM. Nous vous recommandons de l’utiliser pour l’approvisionnement d’utilisateurs sortants. En savoir plus.

Vue d’ensemble du connecteur LDAP générique

Le connecteur LDAP générique vous permet d’intégrer le service de synchronisation à un serveur LDAP v3.

Certaines opérations et éléments de schéma, tels que ceux nécessaires pour effectuer l’importation delta, ne sont pas spécifiés dans les RFC IETF. Pour ces opérations, seuls les répertoires LDAP spécifiés explicitement sont pris en charge.

Pour la connexion aux répertoires, nous testons l’utilisation du compte racine/administrateur. Pour utiliser un autre compte pour appliquer des autorisations plus granulaires, vous devrez peut-être passer en revue avec votre équipe d’annuaire LDAP.

La version actuelle du connecteur prend en charge ces fonctionnalités :

Caractéristique Soutien
Source de données connectée Le connecteur est compatible avec tous les serveurs v3 LDAP (conformes à la RFC 4510), sauf quand il est explicitement indiqué qu'il ne l'est pas. Il a été testé avec ces serveurs d’annuaires :
  • Microsoft Active Directory Lightweight Directory Services (AD LDS)
  • Catalogue global Microsoft Active Directory (AD GC)
  • Serveur d’annuaire 389
  • Apache Directory Server
  • IBM Tivoli DS
  • Isode Directory
  • NetIQ eDirectory
  • Novell eDirectory
  • Open DJ
  • Open DS
  • Ouvrir LDAP (openldap.org)
  • Oracle (précédemment Sun) Directory Server Enterprise Edition
  • RadiantOne Virtual Directory Server (VDS)
  • Serveur d’annuaire Sun One
  • Microsoft Active Directory Domain Services (AD DS)
    • Pour la plupart des scénarios, vous devez utiliser le connecteur Active Directory intégré à la place, car certaines fonctionnalités peuvent ne pas fonctionner
    Répertoires ou fonctionnalités connus notables non pris en charge :
  • Microsoft Active Directory Domain Services (AD DS)
    • Service de notification de modification de mot de passe (PCNS)
    • Provisionnement des échanges
    • Suppression d’appareils Active Sync
    • Prise en charge de nTDescurityDescriptor
  • Oracle Internet Directory (OID)
  • Scénarios
  • Gestion du cycle de vie des objets
  • Gestion des groupes
  • Gestion des mots de passe
  • Opérations Les opérations suivantes sont prises en charge sur tous les répertoires LDAP :
  • Importation complète
  • Export
  • Les opérations suivantes sont uniquement prises en charge sur les répertoires spécifiés :
  • Importation différentielle
  • Définition du mot de passe, modification du mot de passe
  • Schéma
  • Le schéma est détecté à partir du schéma LDAP (RFC3673 et RFC4512/4.2)
  • Prend en charge les classes structurelles, les classes aux et la classe d’objet extensibleObject (RFC4512/4.3)
  • Importation différentielle et prise en charge de la gestion par mot de passe

    Répertoires pris en charge pour l’importation delta et la gestion des mots de passe :

    • Microsoft Active Directory Lightweight Directory Services (AD LDS)
      • Prend en charge toutes les opérations d’importation différentielle
      • Prend en charge la définition de mot de passe
    • Catalogue global Microsoft Active Directory (AD GC)
      • Prend en charge toutes les opérations d’importation différentielle
      • Prend en charge l'établissement du mot de passe
    • Serveur d’annuaire 389
      • Prend en charge toutes les opérations d’importation différentielle
      • Prend en charge la définition du mot de passe et la modification du mot de passe
    • Serveur d'annuaire Apache
      • Ne prend pas en charge l’importation delta, car ce répertoire n’a pas de journal des modifications persistant
      • Supporte le paramétrage du mot de passe
    • IBM Tivoli DS
      • Prend en charge toutes les opérations d’importation différentielle
      • Prend en charge la définition du mot de passe et la modification du mot de passe
    • Répertoire Isode
      • Prend en charge toutes les opérations d’importation différentielle
      • Prend en charge la définition du mot de passe et la modification du mot de passe
    • Novell eDirectory et NetIQ eDirectory
      • Prend en charge les opérations d’ajout, de mise à jour et de renommage pour l’importation différentielle
      • Ne prend pas en charge les opérations de suppression pour l'importation delta
      • Prend en charge la définition du mot de passe et la modification du mot de passe
    • DJ ouvert
      • Prend en charge toutes les opérations d’importation différentielle
      • Prend en charge la définition du mot de passe et la modification du mot de passe
    • Ouvrir DS
      • Prend en charge toutes les opérations d’importation différentielle
      • Prend en charge la définition du mot de passe et la modification du mot de passe
    • Ouvrir LDAP (openldap.org)
      • Prend en charge toutes les opérations d’importation différentielle
      • Prend en charge la définition de mot de passe
      • Ne prend pas en charge la modification du mot de passe
    • Oracle (précédemment Sun) Directory Server Enterprise Edition
      • Prend en charge toutes les opérations d’importation différentielle
      • Prend en charge la définition du mot de passe et la modification du mot de passe
    • RadiantOne Virtual Directory Server (VDS)
      • Doit utiliser la version 7.1.1 ou ultérieure
      • Prend en charge toutes les opérations d’importation différentielle
      • Prend en charge la définition du mot de passe et la modification du mot de passe
    • Serveur d’annuaire Sun One
      • Prend en charge toutes les opérations d’importation différentielle
      • Prend en charge la définition du mot de passe et la modification du mot de passe

    Conditions préalables

    Avant d’utiliser le connecteur, vérifiez que vous disposez des éléments suivants sur le serveur de synchronisation :

    • Microsoft .NET 4.6.2 Framework ou version ultérieure

    Le déploiement de ce connecteur peut nécessiter des modifications de la configuration du serveur d’annuaire ainsi que des modifications de configuration apportées à MIM. Pour les déploiements impliquant l’intégration de MIM à un serveur d’annuaire tiers dans un environnement de production, nous recommandons aux clients de travailler avec leur fournisseur de serveurs d’annuaires ou un partenaire de déploiement pour obtenir de l’aide, des conseils et une prise en charge de cette intégration.

    Détection du serveur LDAP

    Le connecteur s’appuie sur différentes techniques pour détecter et identifier le serveur LDAP. Le connecteur utilise le DSE racine, le nom/la version du fournisseur et inspecte le schéma pour rechercher des objets et des attributs uniques connus pour exister dans certains serveurs LDAP. Ces données, si elles sont trouvées, sont utilisées pour préremplir les options de configuration dans le connecteur.

    Autorisations des sources de données connectées

    Pour effectuer des opérations d’importation et d’exportation sur les objets du répertoire connecté, le compte de connecteur doit disposer d’autorisations suffisantes. Le connecteur a besoin d’autorisations d’écriture pour pouvoir exporter et lire des autorisations pour pouvoir importer. La configuration des autorisations est effectuée dans les expériences de gestion du répertoire cible lui-même.

    Ports et protocoles

    Le connecteur utilise le numéro de port spécifié dans la configuration, qui est par défaut 389 pour LDAP et 636 pour LDAPS.

    Pour LDAPS, vous devez utiliser SSL 3.0 ou TLS. SSL 2.0 n’est pas pris en charge et ne peut pas être activé.

    Contrôles et fonctionnalités requis

    Les contrôles/fonctionnalités LDAP suivants doivent être disponibles sur le serveur LDAP pour que le connecteur fonctionne correctement :
    1.3.6.1.4.1.4203.1.5.3 Filtres Vrai/Faux

    Le filtre True/False n’est fréquemment pas signalé comme pris en charge par les répertoires LDAP et peut apparaître sur la page globale sous Fonctionnalités obligatoires introuvables. Il est utilisé pour créer des filtres OR dans des requêtes LDAP, par exemple lors de l’importation de plusieurs types d’objets. Si vous pouvez importer plusieurs types d’objets, votre serveur LDAP prend en charge cette fonctionnalité.

    Si vous utilisez un répertoire dans lequel un identificateur unique est l’ancre, la fonctionnalité suivante doit également être disponible (Pour plus d’informations, consultez la section Configurer les ancres ) :
    1.3.6.1.4.1.4203.1.5.1 Tous les attributs opérationnels

    Si le répertoire comporte plus d’objets que ce qui peut correspondre à un appel au répertoire, il est recommandé d’utiliser la pagination. Pour que la pagination fonctionne, vous avez besoin de l’une des options suivantes :

    Option 1 :
    1.2.840.113556.1.4.319 pagedResultsControl

    Option 2 :
    2.16.840.1.113730.3.4.9 VLVControl
    1.2.840.113556.1.4.473 SortControl

    Si les deux options sont activées dans la configuration du connecteur, pagedResultsControl est utilisé.

    1.2.840.113556.1.4.417 ShowDeletedControl

    ShowDeletedControl est utilisé uniquement avec la méthode d’importation delta USNChanged pour pouvoir voir les objets supprimés.

    Le connecteur tente de détecter les options présentes sur le serveur. Si les options ne peuvent pas être détectées, un avertissement est présent sur la page Globale dans les propriétés du connecteur. Tous les serveurs LDAP ne présentent pas tous les contrôles/fonctionnalités qu’ils prennent en charge et même si cet avertissement est présent, le connecteur peut fonctionner sans problème.

    Importation différentielle

    L’importation delta est disponible uniquement lorsqu’un répertoire qui le prend en charge a été détecté. Les méthodes suivantes sont actuellement utilisées :

    Non prise en charge

    Les fonctionnalités LDAP suivantes ne sont pas prises en charge :

    • Références LDAP entre serveurs (RFC 4511/4.1.10)

    Créer un connecteur

    Pour créer un connecteur LDAP générique, dans le service de synchronisation , sélectionnez Agent de gestion et Créer. Sélectionnez le connecteur LDAP générique (Microsoft).

    Interface utilisateur de synchronisation MIM pour créer un connecteur

    Connectivité

    Dans la page Connectivité, vous devez spécifier les informations d’hôte, de port et de liaison. Selon la liaison sélectionnée, d’autres informations peuvent être fournies dans les sections suivantes.

    Configuration du connecteur MIM Sync, page connectivité

    • Le paramètre Délai d’expiration de la connexion est utilisé uniquement pour la première connexion au serveur lors de la détection du schéma.
    • Si la liaison est anonyme, ni le nom d’utilisateur/mot de passe ni les certificats ne sont utilisés.
    • Pour les autres liaisons, entrez des informations dans le nom d’utilisateur/mot de passe ou sélectionnez un certificat.
    • Si vous utilisez Kerberos pour vous authentifier, fournissez également le domaine/domaine de l’utilisateur.

    La zone de texte alias d’attributs est utilisée pour les attributs définis dans le schéma avec la syntaxe RFC4522. Ces attributs ne peuvent pas être détectés lors de la détection de schéma et le connecteur a besoin que ces attributs soient configurés séparément. Par exemple, la chaîne suivante doit être entrée dans la zone alias d’attribut pour identifier correctement l’attribut userCertificate en tant qu’attribut binaire :

    userCertificate;binary

    Le tableau suivant illustre l’apparence de cette configuration :

    Page de configuration Connectivité du connecteur MIM Sync avec attributs

    Cochez la case Inclure les attributs opérationnels dans le schéma pour inclure également les attributs créés par le serveur. Ceux-ci incluent des attributs tels que l’heure de création et de dernière mise à jour de l’objet.

    Sélectionnez Inclure des attributs extensibles dans le schéma si des objets extensibles (RFC4512/4.3) sont utilisés et que cette option permet à chaque attribut d’être utilisé sur tous les objets. La sélection de cette option rend le schéma très volumineux, sauf si le répertoire connecté utilise cette fonctionnalité, la recommandation consiste à conserver l’option non sélectionnée.

    Paramètres globaux

    Sur la page Paramètres globaux, vous configurez un nom unique pour le journal des modifications différentielles et d’autres fonctionnalités LDAP. La page est préremplie avec les informations fournies par le serveur LDAP.

    Page paramètres globaux de configuration du connecteur MIM Sync

    La section supérieure affiche les informations fournies par le serveur lui-même, telles que le nom du serveur. Le connecteur vérifie également que les contrôles obligatoires sont présents dans le DSE racine. Si ces contrôles ne sont pas répertoriés, un avertissement est présenté. Certains répertoires LDAP ne répertorient pas toutes les fonctionnalités du DSE racine et il est possible que le connecteur fonctionne sans problème même si un avertissement est présent.

    Les cases à cocher contrôles pris en charge régissent le comportement de certaines opérations :

    • Lorsque la suppression d'arborescence est sélectionnée, une hiérarchie est supprimée avec un appel LDAP. Si la suppression de l’arborescence n’est pas sélectionnée, le connecteur effectue une suppression récursive si nécessaire.
    • Si les résultats paginés sont sélectionnés, le connecteur effectue une importation paginée avec la taille spécifiée dans les étapes d’exécution.
    • VLVControl et SortControl sont une alternative à pagedResultsControl pour lire des données à partir du répertoire LDAP.
    • Si les trois options (pagedResultsControl, VLVControl et SortControl) ne sont pas sélectionnées, le connecteur importe tous les objets dans une seule opération, ce qui peut échouer s’il s’agit d’un répertoire volumineux.
    • ShowDeletedControl est utilisé uniquement lorsque la méthode d’importation différentielle est USNChanged.

    Le DN du journal des modifications est le contexte de nommage utilisé par le journal des modifications différentielles, par exemple, cn=changelog. Cette valeur doit être spécifiée pour pouvoir effectuer l’importation delta.

    Voici un tableau par défaut du journal de modification des noms uniques :

    Répertoire Journal des modifications différentielles
    Microsoft AD LDS et AD GC Détection automatique. USNChanged.
    Apache Directory Server Non disponible.
    Directory 389 Journal des modifications. Valeur par défaut à utiliser : cn=changelog
    IBM Tivoli DS Journal des modifications. Valeur par défaut à utiliser : cn=changelog
    Isode Directory Journal des modifications. Valeur par défaut à utiliser : cn=changelog
    Novell/NetIQ eDirectory Non disponible. Horodatage. Le connecteur utilise la date/heure de la dernière mise à jour pour obtenir des enregistrements ajoutés et mis à jour.
    DJ/DS Open Journal des modifications. Valeur par défaut à utiliser : cn=changelog
    Ouvrir LDAP Journal d’accès. Valeur par défaut à utiliser : cn=accesslog
    DSEE Oracle Journal des modifications. Valeur par défaut à utiliser : cn=changelog
    RadiantOne VDS Répertoire virtuel. Dépend du répertoire connecté à VDS.
    Serveur d’annuaire Sun One Journal des modifications. Valeur par défaut à utiliser : cn=changelog

    L’attribut de mot de passe est le nom de l’attribut que le connecteur doit utiliser pour définir le mot de passe dans les opérations de modification de mot de passe et de jeu de mots de passe. Cette valeur est définie par défaut sur userPassword , mais peut être modifiée si nécessaire pour un système LDAP particulier.

    Dans la liste des partitions supplémentaires, il est possible d’ajouter des espaces de noms supplémentaires non détectés automatiquement. Par exemple, ce paramètre peut être utilisé si plusieurs serveurs composent un cluster logique, qui doit tous être importé en même temps. Active Directory peut compter plusieurs domaines partageant le même schéma dans une forêt. On peut simuler cette situation en saisissant les espaces de noms supplémentaires dans cette zone. Chaque espace de noms peut importer à partir de différents serveurs et est configuré davantage dans la page Configurer les partitions et les hiérarchies. Utilisez Ctrl+Entrée pour obtenir une nouvelle ligne.

    Configurer la hiérarchie d’approvisionnement

    Cette page permet d’associer le composant DN (par exemple, OU) au type d’objet à configurer (par exemple, organizationalUnit).

    Hiérarchie d’approvisionnement

    En configurant la hiérarchie d’approvisionnement, vous pouvez configurer le connecteur pour créer automatiquement une structure si nécessaire. Par exemple, s’il existe un espace de noms dc=contoso,dc=com et qu’un nouvel objet cn=Joe,ou=Seattle,c=US,dc=contoso,dc=com est configuré, le connecteur peut créer un objet de type country pour US et un objet organizationalUnit pour Seattle si ceux-ci ne figurent déjà dans l’annuaire.

    Configurer des partitions et des hiérarchies

    Dans la page partitions et hiérarchies, sélectionnez tous les espaces de noms avec des objets que vous envisagez d’importer et d’exporter.

    Page Partitions de configuration du connecteur MIM Sync

    Pour chaque espace de noms, il est également possible de configurer les paramètres de connectivité qui remplaceraient les valeurs spécifiées sur l’écran Connectivité. Si ces valeurs sont laissées à leur valeur vide par défaut, les informations de l’écran Connectivité sont utilisées.

    Il est également possible de sélectionner les conteneurs et unités d’organisation vers lesquels le connecteur doit importer et exporter.

    Lorsque vous effectuez une recherche, cette opération s’effectue sur tous les conteneurs de la partition. Dans les cas où il existe un grand nombre de conteneurs, ce comportement entraîne une dégradation des performances.

    Remarque

    À compter de la mise à jour de mars 2017 vers les recherches de connecteur LDAP générique, il est possible de limiter l’étendue aux seuls conteneurs sélectionnés. Pour ce faire, cochez la case « Rechercher uniquement dans les conteneurs sélectionnés », comme illustré dans l’image ci-dessous.

    Rechercher uniquement les conteneurs sélectionnés

    Configurer des points d'ancrage

    Cette page a toujours une valeur préconfigurée et ne peut pas être modifiée. Si le fournisseur de serveurs a été identifié, l’ancre peut être remplie avec un attribut immuable, par exemple le GUID d’un objet. S’il n’a pas été détecté ou s’il est connu pour ne pas avoir d’attribut immuable, le connecteur utilise dn (nom unique) comme ancre.

    Page des ancrages de configuration du connecteur MIM Sync

    Le tableau suivant est une liste de serveurs LDAP et de l’ancre utilisée :

    Répertoire Attribut d’ancre
    Microsoft AD LDS et AD GC objectGUID
    Serveur d’annuaire 389 dn
    Répertoire Apache dn
    IBM Tivoli DS dn
    Isode Directory dn
    Novell/NetIQ eDirectory GUID
    DJ/DS Open dn
    Ouvrir LDAP dn
    Oracle ODSEE dn
    RadiantOne VDS dn
    Serveur d’annuaire Sun One dn

    Autres remarques

    Cette section fournit des informations sur les éléments qui sont spécifiques à ce connecteur ou qui, pour d'autres raisons, sont importants à connaître.

    Importation différentielle

    Le filigrane delta dans Open LDAP est la date/heure UTC. Pour cette raison, les horloges entre le service de synchronisation FIM et Open LDAP doivent être synchronisées. Dans le cas contraire, certaines entrées du journal des modifications différentielles doivent être omises.

    Pour Novell eDirectory, l’importation delta ne détecte aucune suppression d’objet. Pour cette raison, il est nécessaire d’exécuter régulièrement une importation complète pour rechercher tous les objets supprimés.

    Pour les répertoires avec un journal des modifications delta basé sur la date/heure, il est vivement recommandé d’exécuter une importation complète à intervalles réguliers. Ce processus permet au moteur de synchronisation de rechercher et de détecter les différences entre le serveur LDAP et ce qui se trouve actuellement dans l'espace du connecteur.

    Résolution des problèmes