Technische documentatie voor algemene LDAP-connector
In dit artikel wordt de algemene LDAP-connector beschreven. Het artikel is van toepassing op de volgende producten:
- Microsoft Identity Manager 2016 (MIM2016)
- Microsoft Entra ID
Voor MIM2016 is de connector beschikbaar als download in het Microsoft Downloadcentrum.
Wanneer wordt verwezen naar IETF-RFC's, gebruikt dit document de indeling (RFC [RFC-nummer]/[sectie in RFC-document]), bijvoorbeeld (RFC 4512/4.3). Meer informatie vindt u op https://tools.ietf.org/. Voer in het linkerdeelvenster een RFC-nummer in het dialoogvenster Document ophalen in en test het om te controleren of het geldig is.
Notitie
Microsoft Entra ID biedt nu een lichtgewicht oplossing op basis van agents voor het inrichten van gebruikers in een LDAPv3-server, zonder dat er een MIM-synchronisatie-implementatie nodig is. We raden u aan deze te gebruiken voor het inrichten van uitgaande gebruikers. Meer informatie.
Overzicht van de algemene LDAP-connector
Met de algemene LDAP-connector kunt u de synchronisatieservice integreren met een LDAP v3-server.
Bepaalde bewerkingen en schema-elementen, zoals de bewerkingen die nodig zijn voor het importeren van verschillen, zijn niet opgegeven in de IETF-RFC's. Voor deze bewerkingen worden alleen LDAP-directory's ondersteund die expliciet zijn opgegeven.
Voor het maken van verbinding met de directory's testen we met behulp van het hoofd-/beheerdersaccount. Als u een ander account wilt gebruiken om gedetailleerdere machtigingen toe te passen, moet u dit mogelijk controleren met uw LDAP-adreslijstteam.
De huidige release van de connector ondersteunt deze functies:
| Functie | Ondersteuning |
|---|---|
| Verbonden gegevensbron | De connector wordt ondersteund met alle LDAP v3-servers (compatibel met RFC 4510), behalve wanneer wordt aangegeven dat deze niet wordt ondersteund. Het is getest met deze directoryservers:
|
| Scenario's | |
| Operations | De volgende bewerkingen worden ondersteund in alle LDAP-directory's: |
| Schema |
Ondersteuning voor delta-import en wachtwoordbeheer
Ondersteunde mappen voor Delta-import en wachtwoordbeheer:
- Microsoft Active Directory Lightweight Directory Services (AD LDS)
- Ondersteunt alle bewerkingen voor het importeren van delta's
- Ondersteunt het instellen van een wachtwoord
- Microsoft Active Directory Global Catalog (AD GC)
- Ondersteunt alle bewerkingen voor het importeren van delta's
- Ondersteunt het instellen van een wachtwoord
- 389 Directory Server
- Ondersteunt alle bewerkingen voor het importeren van delta's
- Ondersteunt Wachtwoord instellen en Wachtwoord wijzigen
- Apache Directory-server
- Biedt geen ondersteuning voor het importeren van delta's omdat deze map geen permanent wijzigingenlogboek heeft
- Ondersteunt het instellen van een wachtwoord
- IBM Tivoli DS
- Ondersteunt alle bewerkingen voor het importeren van delta's
- Ondersteunt Wachtwoord instellen en Wachtwoord wijzigen
- Isode-directory
- Ondersteunt alle bewerkingen voor het importeren van delta's
- Ondersteunt Wachtwoord instellen en Wachtwoord wijzigen
- Novell eDirectory en NetIQ eDirectory
- Ondersteunt bewerkingen voor toevoegen, bijwerken en hernoemen voor het importeren van delta's
- Biedt geen ondersteuning voor verwijderbewerkingen voor het importeren van verschillen
- Ondersteunt Wachtwoord instellen en Wachtwoord wijzigen
- Open DJ
- Ondersteunt alle bewerkingen voor het importeren van delta's
- Ondersteunt Wachtwoord instellen en Wachtwoord wijzigen
- Open DS
- Ondersteunt alle bewerkingen voor het importeren van delta's
- Ondersteunt Wachtwoord instellen en Wachtwoord wijzigen
- Open LDAP (openldap.org)
- Ondersteunt alle bewerkingen voor het importeren van delta's
- Ondersteunt het instellen van een wachtwoord
- Biedt geen ondersteuning voor wachtwoord wijzigen
- Oracle (voorheen Sun) Directory Server Enterprise Edition
- Ondersteunt alle bewerkingen voor het importeren van delta's
- Ondersteunt Wachtwoord instellen en Wachtwoord wijzigen
- RadiantOne Virtual Directory Server (VDS)
- Moet versie 7.1.1 of hoger gebruiken
- Ondersteunt alle bewerkingen voor het importeren van verschillen
- Ondersteunt Wachtwoord instellen en Wachtwoord wijzigen
- Sun One Directory Server
- Ondersteunt alle bewerkingen voor het importeren van verschillen
- Ondersteunt Wachtwoord instellen en Wachtwoord wijzigen
Vereisten
Voordat u de connector gebruikt, moet u ervoor zorgen dat de volgende items op de synchronisatieserver staan:
- Microsoft .NET 4.6.2 Framework of hoger
Voor het implementeren van deze connector zijn mogelijk wijzigingen in de configuratie van de adreslijstserver en configuratiewijzigingen in MIM vereist. Voor implementaties waarbij MIM wordt geïntegreerd met een adreslijstserver van derden in een productieomgeving, raden we klanten aan om samen te werken met de leverancier van hun directoryserver of een implementatiepartner voor hulp, begeleiding en ondersteuning voor deze integratie.
De LDAP-server detecteren
De connector is afhankelijk van verschillende technieken om de LDAP-server te detecteren en te identificeren. De connector maakt gebruik van de basis-DSE, de leveranciersnaam/versie en inspecteert het schema om unieke objecten en kenmerken te vinden waarvan bekend is dat ze op bepaalde LDAP-servers bestaan. Deze gegevens worden, indien gevonden, gebruikt om de configuratieopties in de connector vooraf in te vullen.
Machtigingen voor verbonden gegevensbron
Als u import- en exportbewerkingen wilt uitvoeren op de objecten in de verbonden map, moet het connectoraccount over voldoende machtigingen beschikken. De connector heeft schrijfmachtigingen nodig om te kunnen exporteren en leesmachtigingen om te kunnen importeren. Machtigingsconfiguratie wordt uitgevoerd binnen de beheerervaringen van de doelmap zelf.
Poorten en protocollen
De connector gebruikt het poortnummer dat is opgegeven in de configuratie. Dit is standaard 389 voor LDAP en 636 voor LDAPS.
Voor LDAPS moet u SSL 3.0 of TLS gebruiken. SSL 2.0 wordt niet ondersteund en kan niet worden geactiveerd.
Vereiste besturingselementen en functies
De volgende LDAP-besturingselementen/-functies moeten beschikbaar zijn op de LDAP-server om de connector goed te laten werken:
1.3.6.1.4.1.4203.1.5.3 Waar/onwaar-filters
Het filter Waar/onwaar wordt vaak niet gerapporteerd als ondersteund door LDAP-directory's en wordt mogelijk weergegeven op de algemene pagina onder Verplichte functies niet gevonden. Het wordt gebruikt om OF-filters te maken in LDAP-query's, bijvoorbeeld bij het importeren van meerdere objecttypen. Als u meer dan één objecttype kunt importeren, ondersteunt uw LDAP-server deze functie.
Als u een map gebruikt waarin een unieke id het anker is, moet de volgende functie ook beschikbaar zijn (zie de sectie Ankers configureren voor meer informatie):
1.3.6.1.4.1.4203.1.5.1 Alle operationele kenmerken
Als de map meer objecten bevat dan wat in één aanroep van de map past, is het raadzaam paging te gebruiken. Paging werkt alleen als u een van de volgende opties nodig hebt:
Optie 1:
1.2.840.113556.1.4.319 pagedResultsControl
Optie 2:
2.16.840.1.113730.3.4.9 VLVControl
1.2.840.113556.1.4.473 SortControl
Als beide opties zijn ingeschakeld in de connectorconfiguratie, wordt pagedResultsControl gebruikt.
1.2.840.113556.1.4.417 ShowDeletedControl
ShowDeletedControl wordt alleen gebruikt met de importmethode USNChanged-delta om verwijderde objecten te kunnen zien.
De connector probeert de opties te detecteren die aanwezig zijn op de server. Als de opties niet kunnen worden gedetecteerd, is er een waarschuwing aanwezig op de pagina Algemeen in de connectoreigenschappen. Niet alle LDAP-servers bevatten alle besturingselementen/functies die ze ondersteunen en zelfs als deze waarschuwing aanwezig is, werkt de connector mogelijk zonder problemen.
Delta-import
Delta-import is alleen beschikbaar wanneer een map die deze ondersteunt, is gedetecteerd. De volgende methoden worden momenteel gebruikt:
- LDAP-toegangslogboek. Zie http://www.openldap.org/doc/admin24/overlays.html#Access Logboekregistratie
- LDAP-wijzigingenlogboek. Zie http://tools.ietf.org/html/draft-good-ldap-changelog-04
- Tijdstempel. Voor Novell/NetIQ eDirectory gebruikt de connector de laatste datum/tijd om gemaakte en bijgewerkte objecten op te halen. Novell/NetIQ eDirectory biedt geen gelijkwaardige methode om verwijderde objecten op te halen. Deze optie kan ook worden gebruikt als er geen andere deltaimportmethode actief is op de LDAP-server. Met deze optie kunt u geen verwijderde objecten importeren.
- USNChanged. Zie: https://msdn.microsoft.com/library/ms677627.aspx
Niet ondersteund
De volgende LDAP-functies worden niet ondersteund:
- LDAP-verwijzingen tussen servers (RFC 4511/4.1.10)
Een nieuwe connector maken
Als u een algemene LDAP-connector wilt maken, selecteert u in SynchronisatieserviceBeheeragent en Maken. Selecteer de Generic LDAP (Microsoft) Connector.
Connectiviteit
Op de pagina Connectiviteit moet u de host-, poort- en bindingsgegevens opgeven. Afhankelijk van welke binding is geselecteerd, kan in de volgende secties aanvullende informatie worden opgegeven.
- De instelling Time-out voor verbinding wordt alleen gebruikt voor de eerste verbinding met de server bij het detecteren van het schema.
- Als Binding Anoniem is, worden gebruikersnaam/wachtwoord en certificaat niet gebruikt.
- Voor andere bindingen voert u gegevens in als gebruikersnaam/wachtwoord of selecteert u een certificaat.
- Als u Kerberos gebruikt om te verifiëren, geeft u ook het realm/domein van de gebruiker op.
Het tekstvak kenmerkaliassen wordt gebruikt voor kenmerken die zijn gedefinieerd in het schema met RFC4522 syntaxis. Deze kenmerken kunnen niet worden gedetecteerd tijdens schemadetectie en de connector moet deze kenmerken afzonderlijk configureren. De volgende tekenreeks moet bijvoorbeeld worden ingevoerd in het vak kenmerkaliassen om het kenmerk userCertificate correct te identificeren als een binair kenmerk:
userCertificate;binary
De volgende tabel is een voorbeeld van hoe deze configuratie eruit kan zien:
Schakel het selectievakje Operationele kenmerken opnemen in schema in om ook kenmerken op te nemen die door de server zijn gemaakt. Deze omvatten kenmerken zoals wanneer het object is gemaakt en de laatste updatetijd.
Selecteer Uitbreidbare kenmerken opnemen in schema als uitbreidbare objecten (RFC4512/4.3) worden gebruikt en als u deze optie inschakelt, kan elk kenmerk voor alle objecten worden gebruikt. Als u deze optie selecteert, wordt het schema erg groot, dus tenzij de verbonden map deze functie gebruikt, is het raadzaam om de optie niet geselecteerd te houden.
Globale parameters
Op de pagina Globale parameters configureert u de DN voor het deltawijzigingslogboek en aanvullende LDAP-functies. De pagina is vooraf ingevuld met de informatie van de LDAP-server.
De bovenste sectie bevat informatie die door de server zelf wordt geleverd, zoals de naam van de server. De connector controleert ook of de verplichte besturingselementen aanwezig zijn in de hoofd-DSE. Als deze besturingselementen niet worden weergegeven, wordt er een waarschuwing weergegeven. Sommige LDAP-directory's vermelden niet alle functies in de hoofd-DSE en het is mogelijk dat de connector zonder problemen werkt, zelfs als er een waarschuwing aanwezig is.
De ondersteunde selectievakjes voor besturingselementen bepalen het gedrag voor bepaalde bewerkingen:
- Als structuur verwijderen is geselecteerd, wordt een hiërarchie verwijderd met één LDAP-aanroep. Als verwijderen van structuur niet is geselecteerd, voert de connector indien nodig een recursieve verwijdering uit.
- Als wisselresultaten zijn geselecteerd, voert de connector een gepaginade import uit met de grootte die is opgegeven in de uitvoeringsstappen.
- VLVControl en SortControl zijn een alternatief voor pagedResultsControl om gegevens uit de LDAP-directory te lezen.
- Als alle drie de opties (pagedResultsControl, VLVControl en SortControl) niet zijn geselecteerd, importeert de connector alle objecten in één bewerking, die kan mislukken als het een grote map is.
- ShowDeletedControl wordt alleen gebruikt wanneer de Delta-importmethode USNChanged is.
De DN van het wijzigingslogboek is de naamgevingscontext die wordt gebruikt door het deltawijzigingslogboek, bijvoorbeeld cn=changelog. Deze waarde moet worden opgegeven om deltaimport uit te voeren.
De volgende tabel is een lijst met standaard DN's voor wijzigingenlogboeken:
| Directory | Delta-wijzigingenlogboek |
|---|---|
| Microsoft AD LDS en AD GC | Automatisch gedetecteerd. USNChanged. |
| Apache Directory-server | Niet beschikbaar. |
| Directory 389 | Wijzigingenlogboek. Te gebruiken standaardwaarde: cn=changelog |
| IBM Tivoli DS | Wijzigingenlogboek. Te gebruiken standaardwaarde: cn=changelog |
| Isode-directory | Wijzigingenlogboek. Te gebruiken standaardwaarde: cn=changelog |
| Novell/NetIQ eDirectory | Niet beschikbaar. Tijdstempel. De connector gebruikt de datum/tijd van de laatste update om toegevoegde en bijgewerkte records op te halen. |
| DJ/DS openen | Wijzigingenlogboek. Te gebruiken standaardwaarde: cn=changelog |
| LDAP openen | Toegangslogboek. Te gebruiken standaardwaarde: cn=accesslog |
| Oracle DSEE | Wijzigingenlogboek. Te gebruiken standaardwaarde: cn=changelog |
| RadiantOne VDS | Virtuele map. Is afhankelijk van de map die is verbonden met VDS. |
| Sun One Directory Server | Wijzigingenlogboek. Te gebruiken standaardwaarde: cn=changelog |
Het wachtwoordkenmerk is de naam van het kenmerk dat de connector moet gebruiken om het wachtwoord in te stellen bij bewerkingen voor wachtwoordwijziging en wachtwoordset. Deze waarde is standaard ingesteld op userPassword , maar kan worden gewijzigd wanneer dat nodig is voor een bepaald LDAP-systeem.
In de lijst met extra partities is het mogelijk om extra naamruimten toe te voegen die niet automatisch worden gedetecteerd. Deze instelling kan bijvoorbeeld worden gebruikt als meerdere servers een logisch cluster vormen, dat allemaal tegelijkertijd moet worden geïmporteerd. Net zoals Active Directory meerdere domeinen in één forest kan hebben, maar alle domeinen één schema delen, kan hetzelfde worden gesimuleerd door de extra naamruimten in dit vak in te voeren. Elke naamruimte kan worden geïmporteerd van verschillende servers en wordt verder geconfigureerd op de pagina Partities en hiërarchieën configureren. Gebruik Ctrl+Enter om een nieuwe regel op te halen.
Inrichtingshiërarchie configureren
Deze pagina wordt gebruikt om het DN-onderdeel, bijvoorbeeld OE, toe te wijzen aan het objecttype dat moet worden ingericht, bijvoorbeeld organizationalUnit.
Door de inrichtingshiërarchie te configureren, kunt u de connector zo configureren dat automatisch een structuur wordt gemaakt wanneer dat nodig is. Als er bijvoorbeeld een naamruimte dc=contoso,dc=com en een nieuw object cn=Joe, ou=Seattle, c=US, dc=contoso, dc=com is ingericht, kan de connector een object van het type land maken voor VS en een organizationalUnit voor Seattle als deze nog niet aanwezig zijn in de directory.
Partities en hiërarchieën configureren
Selecteer op de pagina partities en hiërarchieën alle naamruimten met objecten die u wilt importeren en exporteren.
Voor elke naamruimte is het ook mogelijk om verbindingsinstellingen te configureren die de waarden die zijn opgegeven op het scherm Connectiviteit overschrijven. Als deze waarden worden overgelaten aan hun standaard lege waarde, wordt de informatie uit het scherm Connectiviteit gebruikt.
Het is ook mogelijk om te selecteren uit welke containers en OE's de connector moet worden geïmporteerd en waarnaar moet worden geëxporteerd.
Bij het uitvoeren van een zoekopdracht wordt dit gedaan voor alle containers in de partitie. In gevallen waarin er grote aantallen containers zijn, leidt dit gedrag tot prestatievermindering.
Notitie
Vanaf de update van maart 2017 kunnen zoekopdrachten voor de algemene LDAP-connector worden beperkt tot alleen de geselecteerde containers. U kunt dit doen door het selectievakje 'Search alleen in geselecteerde containers' in te schakelen, zoals wordt weergegeven in de onderstaande afbeelding.
Ankers configureren
Deze pagina heeft altijd een vooraf geconfigureerde waarde en kan niet worden gewijzigd. Als de serverleverancier is geïdentificeerd, kan het anker worden gevuld met een onveranderbaar kenmerk, bijvoorbeeld de GUID voor een object. Als deze niet is gedetecteerd of als bekend is dat deze geen onveranderbaar kenmerk heeft, gebruikt de connector dn (DN-naam) als anker.
De volgende tabel bevat een lijst met LDAP-servers en het gebruikte anker:
| Directory | Ankerkenmerk |
|---|---|
| Microsoft AD LDS en AD GC | objectGUID |
| 389 Directory Server | dn |
| Apache Directory | dn |
| IBM Tivoli DS | dn |
| Isode-directory | dn |
| Novell/NetIQ eDirectory | GUID |
| DJ/DS openen | dn |
| LDAP openen | dn |
| Oracle ODSEE | dn |
| RadiantOne VDS | dn |
| Sun One Directory Server | dn |
Overige notities
Deze sectie bevat informatie over aspecten die specifiek zijn voor deze connector of die om andere redenen belangrijk zijn om te weten.
Delta-import
Het deltawatermerk in Open LDAP is UTC-datum/-tijd. Daarom moeten de klokken tussen de FIM-synchronisatieservice en de Open LDAP worden gesynchroniseerd. Zo niet, dan worden sommige vermeldingen in het deltawijzigingslogboek mogelijk weggelaten.
Voor Novell eDirectory detecteert de delta-import geen objectverwijderingen. Daarom is het noodzakelijk om regelmatig een volledige importbewerking uit te voeren om alle verwijderde objecten te vinden.
Voor mappen met een deltawijzigingslogboek dat is gebaseerd op datum/tijd, wordt ten zeerste aangeraden om periodiek een volledige import uit te voeren. Met dit proces kan de synchronisatie-engine verschillen vinden tussen de LDAP-server en wat zich momenteel in de connectorruimte bevindt.
Problemen oplossen
- Zie ETW-tracering inschakelen voor connectors voor informatie over het inschakelen van logboekregistratie om problemen met de connector op te lossen.