Condividi tramite


Documentazione tecnica sul connettore Generic LDAP

Questo articolo descrive il connettore Generic LDAP ed è applicabile ai prodotti seguenti:

Per MIM2016, il connettore è disponibile come download dall'Area download Microsoft.

Quando si fa riferimento alle RFC IETF, questo documento usa il formato (RFC [numero RFC]/[sezione nel documento RFC]), ad esempio, (RFC 4512/4.3). Per altre informazioni, https://tools.ietf.org/vedere . Nel pannello sinistro immettere un numero RFC nella finestra di dialogo Recupero documenti e testarlo per assicurarsi che sia valido.

Nota

Microsoft Entra ID ora offre una soluzione basata su agente leggero per il provisioning degli utenti in un server LDAPv3, senza bisogno di una distribuzione di sincronizzazione MIM. È consigliabile usarlo per il provisioning utenti in uscita. Altre informazioni

Panoramica del connettore Generic LDAP

Il connettore Generic LDAP consente di integrare il servizio di sincronizzazione con il server LDAP v3.

Alcune operazioni e elementi dello schema, ad esempio quelli necessari per eseguire l'importazione delta, non vengono specificati nelle schede di rete IETF. Per queste operazioni sono supportate solo le directory LDAP specificate in modo esplicito.

Per la connessione alle directory, viene testato l'uso dell'account radice/amministratore. Per usare un account diverso per applicare autorizzazioni più granulari, potrebbe essere necessario esaminare con il team di directory LDAP.

La versione corrente del connettore supporta queste funzionalità:

Funzionalità Supporto
Origine dati connessa Il connettore è supportato con tutti i server LDAP v3 (conforme A RFC 4510), ad eccezione del caso in cui viene chiamato come non supportato. È stato testato con questi server directory:
  • Microsoft Active Directory Lightweight Directory Services (AD LDS)
  • Catalogo globale Microsoft Active Directory
  • 389 Directory Server
  • Apache Directory Server
  • IBM Tivoli DS
  • Isode Directory
  • NetIQ eDirectory
  • Novell eDirectory
  • Open DJ
  • Open DS
  • Open LDAP (openldap.org)
  • Oracle (in precedenza Sun) Directory Server Enterprise Edition
  • RadiantOne Virtual Directory Server (VDS)
  • Sun One Directory Server
  • Microsoft Active Directory Domain Services (AD DS)
    • Per la maggior parte degli scenari, è necessario usare il connettore Active Directory predefinito, in quanto alcune funzionalità potrebbero non funzionare
    Directory o funzionalità note non supportate:
  • Microsoft Active Directory Domain Services (AD DS)
    • Servizio notifica modifiche password(PCNS)
    • Provisioning di Exchange
    • Eliminazione dei dispositivi di sincronizzazione attivi
    • Supporto per nTDescurityDescriptor
  • Oracle Internet Directory (OID)
  • Scenari
  • Gestione del ciclo di vita degli oggetti
  • Gestione di gruppi
  • Gestione delle password
  • Gestione operativa Le operazioni seguenti sono supportate in tutte le directory LDAP:
  • Importazione completa
  • Esportazione
  • Le operazioni seguenti sono supportate solo nelle directory specificate:
  • Importazione delta
  • Imposta password, Cambia password
  • SCHEMA
  • Lo schema viene rilevato dallo schema LDAP (RFC3673 e RFC4512/4.2)
  • Supporta classi strutturali, classi aux e la classe di oggetti extensibleObject (RFC4512/4.3)
  • Supporto per l'importazione delta e la gestione delle password

    Directory supportate per l'importazione delta e la gestione delle password:

    • Microsoft Active Directory Lightweight Directory Services (AD LDS)
      • Supporta tutte le operazioni per l'importazione delta
      • Supporta l'impostazione della password
    • Catalogo globale Microsoft Active Directory
      • Supporta tutte le operazioni per l'importazione delta
      • Supporta l'impostazione della password
    • 389 Directory Server
      • Supporta tutte le operazioni per l'importazione delta
      • Supporta l'impostazione e la modifica delle password
    • Apache Directory Server
      • Non supporta l'importazione differenziale perché questa directory non dispone di un log delle modifiche persistente
      • Supporta l'impostazione della password
    • IBM Tivoli DS
      • Supporta tutte le operazioni per l'importazione delta
      • Supporta l'impostazione e la modifica delle password
    • Isode Directory
      • Supporta tutte le operazioni per l'importazione delta
      • Supporta l'impostazione e la modifica delle password
    • Novell eDirectory e NetIQ eDirectory
      • Supporta le operazioni di aggiunta, aggiornamento e ridenominazione per l'importazione delta
      • Non supporta operazioni di eliminazione per l'importazione differenziale
      • Supporta l'impostazione e la modifica delle password
    • Open DJ
      • Supporta tutte le operazioni per l'importazione delta
      • Supporta l'impostazione e la modifica delle password
    • Open DS
      • Supporta tutte le operazioni per l'importazione delta
      • Supporta l'impostazione e la modifica delle password
    • Open LDAP (openldap.org)
      • Supporta tutte le operazioni per l'importazione delta
      • Supporta l'impostazione della password
      • Non supporta la modifica della password
    • Oracle (in precedenza Sun) Directory Server Enterprise Edition
      • Supporta tutte le operazioni per l'importazione delta
      • Supporta l'impostazione e la modifica delle password
    • RadiantOne Virtual Directory Server (VDS)
      • È necessario usare la versione 7.1.1 o successiva
      • Supporta tutte le operazioni per l'importazione delta
      • Supporta l'impostazione e la modifica delle password
    • Sun One Directory Server
      • Supporta tutte le operazioni per l'importazione delta
      • Supporta l'impostazione e la modifica delle password

    Prerequisiti

    Prima di usare il connettore, verificare che nel server di sincronizzazione sia disponibile quanto segue:

    • Microsoft .NET 4.6.2 Framework o versione successiva

    La distribuzione di questo connettore può richiedere modifiche alla configurazione del server di directory, nonché modifiche alla configurazione in MIM. Per le distribuzioni che coinvolgono l'integrazione di MIM con un server directory di terze parti in un ambiente di produzione, è consigliabile collaborare con il fornitore del server directory o un partner di distribuzione per assistenza, indicazioni e supporto per questa integrazione.

    Rilevamento del server LDAP

    Il connettore si basa su varie tecniche per rilevare e identificare il server LDAP. Il connettore usa Root DSE, il nome del fornitore e la versione e controlla lo schema per trovare oggetti univoci e attributi la cui esistenza è nota in alcuni server LDAP. Questi dati, se trovati, vengono usati per popolare le opzioni di configurazione del connettore.

    Autorizzazioni dell'origine dati connessa

    Per eseguire le operazioni di importazione ed esportazione degli oggetti nella directory connessa, l'account del connettore deve avere autorizzazioni sufficienti. Il connettore deve avere autorizzazioni di scrittura per poter esportare e autorizzazioni di lettura per importare. La configurazione delle autorizzazioni viene eseguita nelle esperienze di gestione della directory di destinazione stessa.

    Porte e protocolli

    Il connettore usa il numero di porta specificato nella configurazione, che per impostazione predefinita è 389 per LDAP e 636 per LDAPS.

    Per LDAPS è necessario usare SSL 3.0 o TLS. SSL 2.0 non è supportato e non può essere attivato.

    Funzionalità e controlli necessari

    I controlli e le funzionalità LDAP seguenti devono essere disponibili nel server LDAP per il funzionamento corretto del connettore:
    1.3.6.1.4.1.4203.1.5.3 Filtri True/False

    Il filtro True/False spesso non viene segnalato come supportato dalle directory LDAP e potrebbe essere visualizzato nella Global Page in Mandatory Features Not Found. Viene usato per creare filtri OR nelle query LDAP, ad esempio quando si importano più tipi di oggetto. Se è possibile importare più di un tipo di oggetto, il server LDAP supporta questa funzionalità.

    Se si usa una directory in cui un identificatore univoco è l'ancoraggio, è necessario che sia disponibile anche la funzionalità seguente .Per altre informazioni, vedere la sezione Configurare ancoraggi :
    1.3.6.1.4.1.4203.1.5.1 Tutti gli attributi operativi

    Se la directory ha più oggetti di quanti sia possibile inserirne in una sola chiamata alla directory, è consigliabile usare il paging. Per il funzionamento del paging, è necessaria una delle opzioni seguenti:

    Opzione 1:
    1.2.840.113556.1.4.319 pagedResultsControl

    Opzione 2:
    2.16.840.1.113730.3.4.9 VLVControl
    1.2.840.113556.1.4.473 SortControl

    Se entrambe le opzioni sono abilitate nella configurazione del connettore, viene usato pagedResultsControl.

    1.2.840.113556.1.4.417 ShowDeletedControl

    ShowDeletedControl viene usato solo con il metodo di importazione delta USNChanged per poter visualizzare gli oggetti eliminati.

    Il connettore prova a rilevare le opzioni presenti nel server. Se le opzioni non possono essere rilevate, viene visualizzato un avviso nella pagina globale delle proprietà del connettore. Non tutti i server LDAP presentano tutti i controlli o le funzionalità che supportano e anche se è presente questo avviso, il connettore potrebbe funzionare senza problemi.

    Importazione delta

    L'importazione differenziale è disponibile solo quando è stata rilevata una directory che lo supporta. Attualmente vengono usati i metodi seguenti:

    Non supportato

    Le funzionalità LDAP seguenti non sono supportate:

    • Riferimenti LDAP tra server (RFC 4511/4.1.10)

    Creare un nuovo connettore

    Per creare un connettore Generic LDAP, in Synchronization Service selezionare Management Agent e quindi Create. Selezionare il connettore Generic LDAP (Microsoft) .

    Interfaccia utente di sincronizzazione MIM per creare un nuovo connettore

    Connettività

    Nella pagina Connectivity (Connettività) è necessario specificare le informazioni relative a host, porta e binding. A seconda del valore di Binding selezionato, potrebbero essere fornite altre informazioni nelle sezioni seguenti.

    Pagina di connettività del connettore di sincronizzazione MIM

    • L'impostazione Connection Timeout viene usata solo per la prima connessione al server quando viene rilevato lo schema.
    • Se il valore di Binding è Anonymous, non vengono usati né nome utente/password né il certificato.
    • Per gli altri valori di Binding immettere le informazioni in nome utente/password o selezionare un certificato.
    • Se si usa Kerberos per l'autenticazione, fornire anche le informazioni per l'area autenticazione o il dominio dell'utente.

    La casella di testo Attribute Aliases viene usata per gli attributi definiti nello schema con la sintassi RFC4522. Questi attributi non possono essere rilevati durante il rilevamento dello schema e il connettore deve essere configurato separatamente. Ad esempio, la stringa seguente deve essere immessa nella casella alias dell'attributo per identificare correttamente l'attributo userCertificate come attributo binario:

    userCertificate;binary

    La tabella seguente è un esempio dell'aspetto di questa configurazione:

    Pagina di configurazione del connettore di sincronizzazione MIM con attributi

    Selezionare la casella di controllo Include operational attributes in schema per includere anche gli attributi creati dal server. Sono d esempio inclusi gli attributi relativi all'ora di creazione e dell'ultimo aggiornamento dell'oggetto.

    Selezionare Include extensible attributes in schemA (Includi attributi estensibili nello schema) se vengono usati oggetti estensibili (RFC4512/4.3). L'abilitazione di questa opzione consente l'uso di tutti gli attributi in tutti gli oggetti. Se si seleziona questa opzione, le dimensioni dello schema diventano molto estese, quindi a meno che la directory connessa non usi questa funzionalità, è consigliabile lasciare deselezionata l'opzione.

    Parametri globali

    Nella pagina Global Parameters configurare il DN per il log delle modifiche delta e altre funzionalità LDAP. La pagina è già popolata con le informazioni fornite dal server LDAP.

    Pagina dei parametri globali di configurazione del connettore di sincronizzazione MIM

    La sezione superiore mostra le informazioni fornite dal server, ad esempio il nome del server. Il connettore verifica anche che i controlli obbligatori siano presenti in Root DSE. Se questi controlli non sono elencati, viene visualizzato un avviso. Alcune directory LDAP non elencano tutte le funzioni in Root DSE ed è possibile che il connettore funzioni senza problemi anche se è presente un avviso.

    Le caselle di controllo Supported Controls (Controlli supportati) controllano il comportamento di alcune operazioni:

    • Se si seleziona l'eliminazione di un albero, viene eliminata una gerarchia con una chiamata LDAP. Se si deseleziona l'eliminazione di un albero, il connettore esegue un'operazione di eliminazione ricorsiva, se necessario.
    • Se si selezionano i risultati di paging, il connettore esegue un'importazione con paging usando le dimensioni specificate nei passaggi di esecuzione.
    • VLVControl e SortControl sono un'alternativa a pagedResultsControl per leggere i dati dalla directory LDAP.
    • Se tutte e tre le opzioni (pagedResultsControl, VLVControl e SortControl) sono deselezionate, il connettore importa tutti gli oggetti in una sola operazione, che potrebbe non riuscire se la directory è di grandi dimensioni.
    • ShowDeletedControl viene usata solo quando il metodo di importazione delta è USNChanged.

    Il DN del log delle modifiche è il contesto dei nomi usato dal log delle modifiche differenziali, ad esempio cn=changelog. Questo valore deve essere specificato per poter eseguire l'importazione differenziale.

    La tabella seguente è un elenco di DN del log delle modifiche predefiniti:

    Directory Log delle modifiche delta
    Microsoft AD LDS e Catalogo globale Active Directory Rilevato automaticamente. USNChanged.
    Apache Directory Server Non disponibile.
    Directory 389 Log delle modifiche. Valore predefinito da usare: cn=changelog
    IBM Tivoli DS Log delle modifiche. Valore predefinito da usare: cn=changelog
    Isode Directory Log delle modifiche. Valore predefinito da usare: cn=changelog
    Novell/NetIQ eDirectory Non disponibile. TimeStamp. Il connettore usa data/ora dell'ultimo aggiornamento per ottenere i record aggiunti e aggiornati.
    Open DJ/DS Log delle modifiche. Valore predefinito da usare: cn=changelog
    Open LDAP Log di accesso. Valore predefinito da usare: cn=accesslog
    Oracle DSEE Log delle modifiche. Valore predefinito da usare: cn=changelog
    RadiantOne VDS Directory virtuale. Dipende dalla directory connessa a VDS.
    Sun One Directory Server Log delle modifiche. Valore predefinito da usare: cn=changelog

    L'attributo password è il nome dell'attributo che il connettore dovrà usare per impostare la password nelle operazioni di modifica e impostazione della password. Per impostazione predefinita, questo valore è userPassword , ma può essere modificato quando necessario per un particolare sistema LDAP.

    Nell'elenco delle partizioni aggiuntive è possibile aggiungere altri spazi dei nomi non rilevati automaticamente. Questa impostazione può essere ad esempio usata se diversi server costituiscono un cluster logico e devono quindi essere importati contemporaneamente. Così come Active Directory può includere più domini in una foresta, ma tutti i domini condividono uno schema, lo stesso approccio può essere simulato immettendo gli spazi dei nomi aggiuntivi in questa casella. Ogni spazio dei nomi può eseguire l'importazione da diversi server e viene configurato anche nella pagina di configurazione delle partizioni e delle gerarchie. Usare CTRL+INVIO per ottenere una nuova riga.

    Configurazione della gerarchia di provisioning

    Questa pagina viene usata per eseguire il mapping del componente DN, ad esempio l'unità organizzativa, al tipo di oggetto di cui deve essere effettuato il provisioning, ad esempio organizationalUnit.

    Gerarchia di provisioning

    Configurando una gerarchia di provisioning, è possibile configurare il connettore per creare automaticamente una struttura quando necessario. Ad esempio, se è presente uno spazio dei nomi dc=contoso,dc=com e un nuovo oggetto cn=Joe, ou=Seattle, c=US, dc=contoso, dc=com viene effettuato il provisioning, il connettore può creare un oggetto di tipo country per GLI Stati Uniti e un'unità organizzativa per Seattle se tali oggetti non sono già presenti nella directory.

    Configurare partizioni e gerarchie

    Nella pagina delle partizioni e gerarchie selezionare tutti gli spazi dei nomi con gli oggetti che si prevede di importare ed esportare.

    Pagina Partizioni di configurazione del connettore di sincronizzazione MIM

    Per ogni spazio dei nomi è anche possibile configurare le impostazioni di connettività che sostituiscono i valori specificati nella schermata Connectivity (Connettività). Se questi valori vengono lasciati sul valore vuoto predefinito, vengono usate le informazioni dalla schermata Connectivity (Connettività).

    È anche possibile selezionare i contenitori e le OU in cui il connettore deve esportare e importare.

    Quando si esegue una ricerca, l'operazione viene eseguita in tutti i contenitori della partizione. Se è presente un numero elevato di contenitori ciò comporta un peggioramento delle prestazioni.

    Nota

    A partire dall'aggiornamento di marzo 2017 del connettore Generic LDAP le ricerche possono essere limitate nell'ambito solo ai contenitori selezionati. Questa operazione può essere eseguita selezionando la casella di controllo "Search only in selected containers" ("Cerca solo in contenitori selezionati") come illustrato nell'immagine seguente.

    Eseguire la ricerca solo in contenitori selezionati

    Configurare gli ancoraggi

    Questa pagina ha sempre un valore preconfigurato e non può essere modificata. Se il fornitore del server è stato identificato, l'ancoraggio potrebbe essere popolato con un attributo non modificabile, ad esempio, il GUID di un oggetto. Se non è stato rilevato o non ha un attributo non modificabile, il connettore usa un DN (nome distinto) come ancoraggio.

    Pagina degli ancoraggi di configurazione del connettore di sincronizzazione MIM

    La tabella seguente contiene un elenco di server LDAP e l'ancoraggio usato:

    Directory Attributo di ancoraggio
    Microsoft AD LDS e Catalogo globale Active Directory objectGUID
    389 Directory Server dn
    Apache Directory dn
    IBM Tivoli DS dn
    Isode Directory dn
    Novell/NetIQ eDirectory GUID
    Open DJ/DS dn
    Open LDAP dn
    Oracle ODSEE dn
    RadiantOne VDS dn
    Sun One Directory Server dn

    Altre note

    Questa sezione fornisce informazioni di aspetti specifici di questo connettore o che, per altri motivi, è importante conoscere.

    Importazione delta

    La filigrana delta in Open LDAP è la data/ora UTC. Per questo motivo, è necessario sincronizzare gli orologi tra il servizio di sincronizzazione FIM e Open LDAP. In caso contrario, potrebbero essere omesse alcune voci nel log delle modifiche delta.

    Per Novell eDirectory, l'importazione differenziale non rileva eliminazioni di oggetti. Per questo motivo è necessario eseguire un'importazione completa periodicamente per trovare tutti gli oggetti eliminati.

    Per le directory con un log delle modifiche differenziali basato su data/ora, è consigliabile eseguire un'importazione completa a intervalli regolari. Questo processo consente al motore di sincronizzazione di trovare eventuali differenze tra il server LDAP e gli elementi attualmente presenti nello spazio del connettore.

    Risoluzione dei problemi