Általános LDAP-összekötő – műszaki útmutató
Ez a cikk az általános LDAP-összekötőt ismerteti. A cikk a következő termékekre vonatkozik:
- Microsoft Identity Manager 2016 (MIM2016)
- Microsoft Entra ID
A MIM2016 esetében az összekötő letölthető a Microsoft letöltőközpontból.
Az IETF RFC-kre való hivatkozáskor ez a dokumentum a formátumot használja (RFC [RFC-szám]/[az RFC-dokumentum[szakasza]), például (RFC 4512/4.3). További információt a következő helyen https://tools.ietf.org/talál: . A bal oldali panelen adjon meg egy RFC-számot a Doc fetch (Dokumentum lekérése ) párbeszédpanelen, és tesztelje, hogy érvényes-e.
Megjegyzés
Microsoft Entra ID mostantól egy egyszerű ügynökalapú megoldást kínál a felhasználók LDAPv3-kiszolgálóra való üzembe helyezéséhez anélkül, hogy MIM-szinkronizálási üzembe helyezésre van szükség. Javasoljuk, hogy használja a kimenő felhasználók kiépítéséhez. További információk.
Az általános LDAP-összekötő áttekintése
Az Általános LDAP-összekötővel integrálhatja a szinkronizálási szolgáltatást egy LDAP v3-kiszolgálóval.
Bizonyos műveletek és sémaelemek, például amelyek a változásimportálás végrehajtásához szükségesek, nincsenek megadva az IETF RFC-kben. Ezekhez a műveletekhez csak a kifejezetten megadott LDAP-címtárak támogatottak.
A címtárakhoz való csatlakozáshoz a gyökér-/rendszergazdai fiók használatával teszteljük. Ha egy másik fiókot szeretne használni részletesebb engedélyek alkalmazásához, előfordulhat, hogy át kell tekintenie az LDAP-címtár csapatát.
Az összekötő aktuális kiadása a következő funkciókat támogatja:
| Szolgáltatás | Támogatás |
|---|---|
| Csatlakoztatott adatforrás | Az összekötőt az összes LDAP v3-kiszolgáló támogatja (RFC 4510-kompatibilis), kivéve, ha a meghívás nem támogatott. A következő címtárkiszolgálókkal tesztelték:
|
| Forgatókönyvek | |
| Üzemeltetés | A következő műveletek támogatottak az összes LDAP-címtárban: |
| Séma |
Változásimportálás és jelszókezelés támogatása
Támogatott címtárak a Delta importálásához és a jelszókezeléshez:
- Microsoft Active Directory Lightweight Directory Services (AD LDS)
- Az összes műveletet támogatja a különbözeti importáláshoz
- Támogatja a Jelszó beállítása lehetőséget
- Microsoft Active Directory globális katalógus (AD GC)
- Az összes műveletet támogatja a különbözeti importáláshoz
- Támogatja a Jelszó beállítása lehetőséget
- 389 Címtárkiszolgáló
- Az összes műveletet támogatja a különbözeti importáláshoz
- Támogatja a Jelszó beállítása és a Jelszó módosítása lehetőséget
- Apache Directory Server
- Nem támogatja a változásimportálást, mivel ez a könyvtár nem rendelkezik állandó változásnaplóval
- Támogatja a Jelszó beállítása lehetőséget
- IBM Tivoli DS
- Az összes műveletet támogatja a különbözeti importáláshoz
- Támogatja a Jelszó beállítása és a Jelszó módosítása lehetőséget
- Isode Directory
- Az összes műveletet támogatja a különbözeti importáláshoz
- Támogatja a Jelszó beállítása és a Jelszó módosítása lehetőséget
- Novell eDirectory és NetIQ eDirectory
- Támogatja az Add, Update és Rename műveleteket a változásimportáláshoz
- Nem támogatja a törlési műveleteket a változásimportáláshoz
- Támogatja a Jelszó beállítása és a Jelszó módosítása lehetőséget
- DJ megnyitása
- Az összes műveletet támogatja a különbözeti importáláshoz
- Támogatja a Jelszó beállítása és a Jelszó módosítása lehetőséget
- A DS megnyitása
- Az összes műveletet támogatja a különbözeti importáláshoz
- Támogatja a Jelszó beállítása és a Jelszó módosítása lehetőséget
- LDAP megnyitása (openldap.org)
- Az összes műveletet támogatja a különbözeti importáláshoz
- Támogatja a Jelszó beállítása lehetőséget
- Nem támogatja a jelszó módosítását
- Oracle (korábban Sun) Directory Server Enterprise kiadás
- Az összes műveletet támogatja a különbözeti importáláshoz
- Támogatja a Jelszó beállítása és a Jelszó módosítása elemet
- RadiantOne virtuális címtárkiszolgáló (VDS)
- A 7.1.1-es vagy újabb verziót kell használnia
- Minden műveletet támogat a változásimportáláshoz
- Támogatja a Jelszó beállítása és a Jelszó módosítása elemet
- Sun One Directory Server
- Minden műveletet támogat a változásimportáláshoz
- Támogatja a Jelszó beállítása és a Jelszó módosítása elemet
Előfeltételek
Az összekötő használata előtt győződjön meg arról, hogy rendelkezik a következőkkel a szinkronizálási kiszolgálón:
- Microsoft .NET 4.6.2-keretrendszer vagy újabb
Az összekötő üzembe helyezéséhez szükség lehet a címtárkiszolgáló konfigurációjának módosítására, valamint a MIM konfigurációs módosítására. Ha a MIM-et egy külső címtárkiszolgálóval integrálja éles környezetben, javasoljuk, hogy az ügyfelek a címtárkiszolgáló szállítójával vagy egy üzembehelyezési partnerrel együttműködve segítsenek, útmutatást és támogatást nyújthassanak az integrációhoz.
Az LDAP-kiszolgáló észlelése
Az összekötő különböző technikákra támaszkodik az LDAP-kiszolgáló észleléséhez és azonosításához. Az összekötő a gyökérszintű DSE-t, a gyártó nevét/verzióját használja, és megvizsgálja a sémát, hogy megtalálja az egyes LDAP-kiszolgálókon ismert egyedi objektumokat és attribútumokat. Ha ezek az adatok találhatók, az összekötő konfigurációs beállításainak előzetes kitöltésére szolgálnak.
Csatlakoztatott adatforrás engedélyei
Ahhoz, hogy importálási és exportálási műveleteket hajthat végre a csatlakoztatott címtárban lévő objektumokon, az összekötőfióknak megfelelő engedélyekkel kell rendelkeznie. Az összekötőnek írási engedélyekre van szüksége az exportáláshoz és az olvasási engedélyekhez az importáláshoz. Az engedélykonfiguráció a célkönyvtár felügyeleti funkcióin belül történik.
Portok és protokollok
Az összekötő a konfigurációban megadott portszámot használja, amely alapértelmezés szerint 389 az LDAP és 636 az LDAPS esetében.
LDAPS esetén SSL 3.0-t vagy TLS-t kell használnia. Az SSL 2.0 nem támogatott, és nem aktiválható.
Szükséges vezérlők és funkciók
Az összekötő megfelelő működéséhez az alábbi LDAP-vezérlőknek/funkcióknak elérhetőnek kell lenniük az LDAP-kiszolgálón:
1.3.6.1.4.1.4203.1.5.3 Igaz/hamis szűrők
Az Igaz/Hamis szűrőt gyakran nem az LDAP-címtárak által támogatottként jelentik, és megjelenhet a Globális lapon a Kötelező szolgáltatások nem találhatók területen. VAGY szűrők létrehozására szolgál LDAP-lekérdezésekben, például több objektumtípus importálásakor. Ha több objektumtípust is importálhat, akkor az LDAP-kiszolgáló támogatja ezt a funkciót.
Ha olyan könyvtárat használ, amelyben az egyedi azonosító a horgony, a következő funkciónak is elérhetőnek kell lennie (további információt a Horgonyok konfigurálása című szakaszban talál):
1.3.6.1.4.1.4203.1.5.1 Minden működési attribútum
Ha a könyvtár több objektummal rendelkezik, mint amennyi elfér a címtár egy hívásában, akkor ajánlott lapozást használni. A lapozás működéséhez az alábbi lehetőségek egyikére van szükség:
1. módszer:
1.2.840.113556.1.4.319 pagedResultsControl
2. lehetőség:
2.16.840.1.113730.3.4.9 VLVControl
1.2.840.113556.1.4.473 SortControl
Ha mindkét beállítás engedélyezve van az összekötő konfigurációjában, a pagedResultsControl lesz használatban.
1.2.840.113556.1.4.417 ShowDeletedControl
A ShowDeletedControl csak az USNChanged delta import metódussal használható a törölt objektumok megtekintéséhez.
Az összekötő megpróbálja észlelni a kiszolgálón található beállításokat. Ha a beállítások nem észlelhetők, figyelmeztetés jelenik meg az összekötő tulajdonságainak Globális lapján. Nem minden LDAP-kiszolgáló tartalmazza az általuk támogatott összes vezérlőt/funkciót, és még ha ez a figyelmeztetés is jelen van, az összekötő problémák nélkül működhet.
Különbözeti importálás
A különbözeti importálás csak akkor érhető el, ha egy azt támogató könyvtárat észleltek. Jelenleg a következő módszereket használják:
- LDAP-hozzáférési napló. Lásd: http://www.openldap.org/doc/admin24/overlays.html#Access Naplózás
- LDAP-változásnapló. Lásd: http://tools.ietf.org/html/draft-good-ldap-changelog-04
- Időbélyeg. A Novell/NetIQ eDirectory esetében az összekötő az utolsó dátumot/időt használja a létrehozott és frissített objektumok lekéréséhez. A Novell/NetIQ eDirectory nem biztosít egyenértékű eszközt a törölt objektumok lekéréséhez. Ez a beállítás akkor is használható, ha az LDAP-kiszolgálón nincs más változásimportálási módszer. Ez a beállítás nem tudja importálni a törölt objektumokat.
- USNChanged. Lásd: https://msdn.microsoft.com/library/ms677627.aspx
Nem támogatott
A következő LDAP-funkciók nem támogatottak:
- LDAP-javaslatok kiszolgálók között (RFC 4511/4.1.10)
Új összekötő létrehozása
Általános LDAP-összekötő létrehozásához a Szinkronizálási szolgáltatásban válassza a Felügyeleti ügynök és a Létrehozás lehetőséget. Válassza ki az Általános LDAP-összekötőt (Microsoft).
Kapcsolatok
A Kapcsolat lapon meg kell adnia a gazdagép, a port és a kötés adatait. Attól függően, hogy melyik kötés van kiválasztva, a következő szakaszokban további információk is megjelenhetnek.
- A kapcsolat időtúllépési beállítása csak a kiszolgálóval való első kapcsolathoz használatos a séma észlelésekor.
- Ha a kötés névtelen, akkor sem felhasználónév, sem jelszó, sem tanúsítvány nem használatos.
- Egyéb kötések esetén adja meg az adatokat felhasználónévben/jelszóban, vagy válasszon ki egy tanúsítványt.
- Ha Kerberost használ a hitelesítéshez, adja meg a felhasználó tartományát/tartományát is.
Az attribútumaliasok szövegmezője a sémában RFC4522 szintaxissal definiált attribútumokhoz használható. Ezek az attribútumok nem észlelhetők a sémaészlelés során, és az összekötőnek külön kell konfigurálnia ezeket az attribútumokat. A userCertificate attribútum bináris attribútumként való helyes azonosításához például a következő sztringet kell beírni az attribútumaliasok mezőjébe:
userCertificate;binary
Az alábbi táblázat egy példa arra, hogyan nézhet ki ez a konfiguráció:
Jelölje be a műveleti attribútumok belefoglalása a sémabe jelölőnégyzetet a kiszolgáló által létrehozott attribútumok belefoglalásához. Ezek közé tartoznak az attribútumok, például az objektum létrehozásának időpontja és a legutóbbi frissítés időpontja.
Válassza a Bővíthető attribútumok belefoglalása a sémába lehetőséget, ha bővíthető objektumokat (RFC4512/4.3) használ, és ennek a beállításnak a engedélyezésével minden attribútum használható az összes objektumon. Ha ezt a beállítást választja, a séma nagyon nagy lesz, ezért ha a csatlakoztatott könyvtár nem használja ezt a funkciót, javasoljuk, hogy hagyja bejelöletlenül a beállítást.
Globális paraméterek
A Globális paraméterek lapon konfigurálja a DN-t a változásváltozási naplóhoz és további LDAP-funkciókhoz. A lap előre fel van töltve az LDAP-kiszolgáló által megadott információkkal.
A felső szakasz maga a kiszolgáló által megadott információkat jeleníti meg, például a kiszolgáló nevét. Az összekötő azt is ellenőrzi, hogy a kötelező vezérlők megtalálhatók-e a gyökérszintű DSE-ben. Ha ezek a vezérlők nem szerepelnek a listában, figyelmeztetés jelenik meg. Egyes LDAP-címtárak nem sorolják fel a gyökérszintű DSE összes funkcióját, és előfordulhat, hogy az összekötő probléma nélkül működik, még akkor is, ha figyelmeztetés jelenik meg.
A támogatott vezérlők jelölőnégyzetei bizonyos műveletek viselkedését szabályozzák:
- Ha a fa törlése ki van jelölve, a rendszer egy LDAP-hívással törli a hierarchiát. Ha a fa törlése nincs kijelölve, az összekötő szükség esetén rekurzív törlést végez.
- Ha az oldalszámozott eredmények ki van választva, az összekötő egy lapozott importálást hajt végre a futtatási lépésekben megadott mérettel.
- A VLVControl és a SortControl a pagedResultsControl alternatíva az ADATOK LDAP-könyvtárból való beolvasásához.
- Ha mindhárom beállítás (pagedResultsControl, VLVControl és SortControl) nincs kijelölve, akkor az összekötő egyetlen műveletben importálja az összes objektumot, ami nagy könyvtár esetén meghiúsulhat.
- A ShowDeletedControl csak akkor használatos, ha a Delta importálási módszere USNChanged.
A változásnapló DN-je a változásnapló által használt elnevezési környezet, például cn=changelog. Ezt az értéket meg kell adni ahhoz, hogy elvégezhesse a különbözeti importálást.
Az alábbi táblázat a változásnapló alapértelmezett DN-jeinek listáját tartalmazza:
| Címtár | Változásnapló |
|---|---|
| Microsoft AD LDS és AD GC | Automatikusan észlelhető. USNChanged. |
| Apache Directory Server | Nem érhető el. |
| Directory 389 | Napló módosítása. Alapértelmezett használandó érték: cn=changelog |
| IBM Tivoli DS | Napló módosítása. Alapértelmezett használandó érték: cn=changelog |
| Isode-könyvtár | Napló módosítása. Alapértelmezett használandó érték: cn=changelog |
| Novell/NetIQ eDirectory | Nem érhető el. Időbélyeg. Az összekötő a legutóbbi frissítés dátumát/idejét használja a hozzáadott és frissített rekordok lekéréséhez. |
| DJ/DS megnyitása | Napló módosítása. Alapértelmezett használandó érték: cn=changelog |
| Az LDAP megnyitása | Hozzáférési napló. Alapértelmezett használandó érték: cn=accesslog |
| Oracle DSEE | Napló módosítása. Alapértelmezett használandó érték: cn=changelog |
| RadiantOne virtuális merevlemezek | Virtuális könyvtár. A VDS-hez csatlakoztatott könyvtártól függ. |
| Sun One Directory Server | Napló módosítása. Alapértelmezett használandó érték: cn=changelog |
A jelszóattribútum annak az attribútumnak a neve, amelyet az összekötőnek használnia kell a jelszó módosításához és a jelszókészlet-műveletekhez. Ez az érték alapértelmezés szerint userPassword értékre van állítva, de szükség esetén módosítható egy adott LDAP-rendszerhez.
A további partíciók listájában olyan további névterek is hozzáadhatók, amely nem észlelhető automatikusan. Ez a beállítás például akkor használható, ha több kiszolgáló alkot logikai fürtöt, amelyet egyszerre kell importálni. Ahogyan az Active Directorynak több tartománya is lehet egy erdőben, de minden tartomány egy sémával rendelkezik, ugyanez szimulálható a további névterek beírásával ebben a mezőben. Minden névtér importálható különböző kiszolgálókról, és a Partíciók és hierarchiák konfigurálása lapon is konfigurálható. Új sor lekéréséhez használja a Ctrl+Enter billentyűkombinációt.
Kiépítési hierarchia konfigurálása
Ezen a lapon leképezhető a DN-összetevő, például a szervezeti egység a kiépíteni kívánt objektumtípusra, például a szervezeti egységre.
A kiépítési hierarchia konfigurálásával konfigurálhatja az összekötőt úgy, hogy szükség esetén automatikusan létrehozhasson egy struktúrát. Ha például van egy dc=contoso,dc=com névtér és egy új cn=Joe, ou=Seattle, c=US, dc=contoso, dc=com objektum, akkor az összekötő létrehozhat egy ország típusú objektumot az USA-hoz és egy seattle-i szervezeti egységhez, ha ezek még nincsenek jelen a címtárban.
Partíciók és hierarchiák konfigurálása
A partíciók és hierarchiák lapon válassza ki az összes importálni és exportálni kívánt objektumot tartalmazó névteret.
Minden névtérhez konfigurálhatók olyan kapcsolati beállítások is, amelyek felülbírálnák a Kapcsolat képernyőn megadott értékeket. Ha ezek az értékek az alapértelmezett üres értékre maradnak, a kapcsolati képernyő információi lesznek felhasználva.
Azt is kiválaszthatja, hogy az összekötő mely tárolókból és szervezeti egységekből importáljon és exportáljon.
Keresés végrehajtásakor ez a partíció összes tárolójában megtörténik. Olyan esetekben, amikor nagy számú tároló van, ez a viselkedés teljesítménycsökkenéshez vezet.
Megjegyzés
Az általános LDAP-összekötők kereséseinek 2017. márciusi frissítésétől kezdve a hatókör csak a kiválasztott tárolókra korlátozható. Ezt úgy teheti meg, hogy bejelöli a "Keresés csak a kijelölt tárolókban" jelölőnégyzetet az alábbi képen látható módon.
Horgonyok konfigurálása
Ennek a lapnak mindig van egy előre konfigurált értéke, és nem módosítható. Ha a kiszolgáló szállítóját azonosították, akkor előfordulhat, hogy a horgony egy nem módosítható attribútummal, például egy objektum GUID azonosítójával van feltöltve. Ha nem észlelhető, vagy nem rendelkezik nem módosítható attribútummal, akkor az összekötő a dn (megkülönböztető név) nevet használja horgonyként.
Az alábbi táblázat az LDAP-kiszolgálók és a használt horgony listáját tartalmazza:
| Címtár | Horgony attribútum |
|---|---|
| Microsoft AD LDS és AD GC | objectGUID |
| 389 Címtárkiszolgáló | megkülönböztető név |
| Apache Directory | megkülönböztető név |
| IBM Tivoli DS | megkülönböztető név |
| Isode-könyvtár | megkülönböztető név |
| Novell/NetIQ eDirectory | GUID |
| DJ/DS megnyitása | megkülönböztető név |
| Az LDAP megnyitása | megkülönböztető név |
| Oracle ODSEE | megkülönböztető név |
| RadiantOne virtuális merevlemezek | megkülönböztető név |
| Sun One Directory Server | megkülönböztető név |
Egyéb megjegyzések
Ez a szakasz az összekötőre jellemző szempontokról, illetve egyéb fontos okokból nyújt információkat.
Különbözeti importálás
Az Open LDAP delta vízjele UTC dátum/idő. Ezért a FIM szinkronizálási szolgáltatás és a nyitott LDAP közötti órákat szinkronizálni kell. Ha nem, előfordulhat, hogy a változásváltozási napló néhány bejegyzése hiányzik.
A Novell eDirectory esetében a változásimportálás nem észlel objektumtörléseket. Ezért az összes törölt objektum megkereséséhez rendszeres időközönként teljes importálást kell futtatni.
A dátum/idő alapú változásnaplóval rendelkező címtárak esetében erősen ajánlott rendszeres időközönként teljes importálást futtatni. Ez a folyamat lehetővé teszi a szinkronizálási motor számára az LDAP-kiszolgáló és a jelenleg az összekötőtérben található adatok közötti különbségeket.
Hibaelhárítás
- Az összekötő hibaelhárításához szükséges naplózás engedélyezéséről a How to Enable ETW Tracing for Connectors (Az ETW-nyomkövetés engedélyezése összekötőkhöz) című témakörben talál további információt.