Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve o Conector LDAP Genérico. O artigo se aplica aos seguintes produtos:
- Microsoft Identity Manager 2016 (MIM2016)
- Microsoft Entra ID
Para o MIM2016, o Conector está disponível para download no Centro de Download da Microsoft.
Ao se referir a RFCs IETF, este documento está usando o formato (RFC [número RFC]/[seção no documento RFC]), por exemplo (RFC 4512/4.3). Você pode encontrar mais informações em https://tools.ietf.org/. No painel esquerdo, insira um número RFC na caixa de diálogo Busca do Doc e teste-o para verificar se ele é válido.
Observação
O Microsoft Entra ID agora oferece uma solução leve baseada em agente para provisionar usuários em um servidor LDAPv3, sem a necessidade de uma implantação de sincronização do MIM. Recomendamos usá-lo para provisionamento de usuários de saída do sistema. Saiba mais.
Visão geral do conector LDAP genérico
O Conector LDAP Genérico permite integrar o serviço de sincronização a um servidor LDAP v3.
Determinadas operações e elementos de esquema, como os necessários para executar a importação delta, não são especificados nos RFCs IETF. Para essas operações, há suporte apenas para diretórios LDAP especificados explicitamente.
Para se conectar aos diretórios, testamos usando a conta root/admin. Para usar uma conta diferente para aplicar permissões mais granulares, talvez seja necessário examinar com sua equipe de diretório LDAP.
A versão atual do conector dá suporte a estes recursos:
| Característica | Apoio |
|---|---|
| Fonte de dados conectada | O Conector tem suporte com todos os servidores LDAP v3 (em conformidade com RFC 4510), exceto quando chamado como sem suporte. Ele foi testado com estes servidores de diretório:
|
| Cenários | |
| Operações | As seguintes operações têm suporte em todos os diretórios LDAP: |
| Esquema |
Suporte de gerenciamento de importação delta e de senha
Diretórios com suporte para importação delta e gerenciamento de senha:
- Microsoft Active Directory Lightweight Directory Services (AD LDS)
- Oferece suporte para todas as operações de importação delta
- Dá suporte à definição de senha
- Catálogo Global do Microsoft Active Directory (AD GC)
- Oferece suporte para todas as operações de importação delta
- Dá suporte à definição de senha
- Servidor de Diretório 389
- Oferece suporte para todas as operações de importação delta
- Dá suporte a definir senha e alterar senha
- Servidor do Apache Directory
- Não dá suporte à importação delta, pois esse diretório não tem um log de alterações persistente
- Dá suporte à definição de senha
- IBM Tivoli DS
- Oferece suporte para todas as operações de importação delta
- Dá suporte a definir senha e alterar senha
- Diretório Isode
- Oferece suporte para todas as operações de importação delta
- Dá suporte a definir senha e alterar senha
- Novell eDirectory e NetIQ eDirectory
- Oferece suporte para operações de adição, atualização e renomeação para importação delta
- Não oferece suporte a operações de Excluir para importação delta
- Dá suporte a definir senha e alterar senha
- Abrir DJ
- Oferece suporte para todas as operações de importação delta
- Dá suporte a definir senha e alterar senha
- Abrir o DS
- Oferece suporte para todas as operações de importação delta
- Dá suporte a definir senha e alterar senha
- Open LDAP (openldap.org)
- Oferece suporte para todas as operações de importação delta
- Dá suporte à definição de senha
- Não dá suporte à alteração de senha
- Oracle (anteriormente Sun) Directory Server Enterprise Edition
- Oferece suporte para todas as operações de importação delta
- Dá suporte a definir senha e alterar senha
- VDS (RadianteOne Virtual Directory Server)
- Deve estar usando a versão 7.1.1 ou superior
- Oferece suporte para todas as operações de importação delta
- Dá suporte a definir senha e alterar senha
- Servidor de Diretório Sun One
- Oferece suporte para todas as operações de importação delta
- Dá suporte a definir senha e alterar senha
Pré-requisitos
Para usar o conector, verifique se você tem os seguintes itens no servidor de sincronização:
- Microsoft .NET 4.6.2 Framework ou posterior
A implantação desse conector pode exigir alterações na configuração do servidor de diretório, bem como alterações de configuração no MIM. Para implantações que envolvem a integração do MIM com um servidor de diretório de terceiros em um ambiente de produção, recomendamos que os clientes trabalhem com o fornecedor do servidor de diretório ou um parceiro de implantação para obter ajuda, diretrizes e suporte para essa integração.
Detectando o servidor LDAP
O Conector se baseia em várias técnicas para detectar e identificar o servidor LDAP. O Conector usa o DSE raiz, o nome/versão do fornecedor e inspeciona o esquema para localizar objetos e atributos exclusivos conhecidos por existirem em determinados servidores LDAP. Esses dados, se encontrados, são usados para preencher previamente as opções de configuração no Conector.
Permissões da Fonte de Dados Conectada
Para executar operações de importação e exportação nos objetos no diretório conectado, a conta do conector deve ter permissões suficientes. O conector precisa de permissões de gravação para poder exportar e ler permissões para poder importar. A configuração de permissão é executada dentro das experiências de gerenciamento do próprio diretório de destino.
Portas e protocolos
O conector usa o número de porta especificado na configuração, que por padrão é 389 para LDAP e 636 para LDAPS.
Para LDAPS, você deve usar SSL 3.0 ou TLS. O SSL 2.0 não tem suporte e não pode ser ativado.
Controles e recursos necessários
Os seguintes controles/recursos LDAP devem estar disponíveis no servidor LDAP para que o conector funcione corretamente:
1.3.6.1.4.1.4203.1.5.3 Filtros verdadeiro/falso
O filtro True/False frequentemente não é relatado como compatível com diretórios LDAP e pode aparecer na Página Global em Recursos Obrigatórios Não Encontrados. Ele é usado para criar filtros OR em consultas LDAP, por exemplo, ao importar vários tipos de objeto. Se você puder importar mais de um tipo de objeto, o servidor LDAP oferecerá suporte a esse recurso.
Se você usar um diretório em que um identificador exclusivo é a âncora, o recurso a seguir também deverá estar disponível (para obter mais informações, consulte a seção Configurar Âncoras ):
1.3.6.1.4.1.4203.1.5.1 Todos os atributos operacionais
Se o diretório tiver mais objetos do que o que pode caber em uma chamada para o diretório, é recomendável usar paginação. Para a paginação funcionar, uma das seguintes opções é necessária:
Opção 1:
1.2.840.113556.1.4.319 controleDeResultadosPaginados
Opção 2:
2.16.840.1.113730.3.4.9 VLVControl
1.2.840.113556.1.4.473 Controle de Ordenação
Se ambas as opções estiverem habilitadas na configuração do conector, pagedResultsControl será usado.
1.2.840.113556.1.4.417 Showdeletedcontrol
ShowDeletedControl é usado apenas com o método de importação delta USNChanged para poder ver objetos excluídos.
O conector tenta detectar as opções presentes no servidor. Se as opções não puderem ser detectadas, um aviso estará presente na página Global nas propriedades do conector. Nem todos os servidores LDAP apresentam todos os controles/recursos compatíveis e, mesmo que esse aviso esteja presente, o conector pode funcionar sem problemas.
Importação delta
A importação delta só estará disponível quando um diretório que a suporte for detectado. Atualmente, os seguintes métodos são usados:
- LDAP Accesslog. Consulte http://www.openldap.org/doc/admin24/overlays.html#Access Registro em log.
- LDAP Changelog (Registro de Alterações) Consulte http://tools.ietf.org/html/draft-good-ldap-changelog-04
- Timestamp. Para o Novell/NetIQ eDirectory, o Conector usa a última data/hora para obter objetos criados e atualizados. O Novell/NetIQ eDirectory não fornece um meio equivalente para recuperar objetos excluídos. Essa opção também poderá ser usada se nenhum outro método de importação delta estiver ativo no servidor LDAP. Essa opção não pode importar objetos excluídos.
- USNChanged. Confira: https://msdn.microsoft.com/library/ms677627.aspx
Sem suporte
Não há suporte para os seguintes recursos LDAP:
- Referências de LDAP entre servidores (RFC 4511/4.1.10)
Criar um novo conector
Para criar um conector LDAP genérico, no Serviço de Sincronização , selecione Agente de Gerenciamento e Crie. Selecione o Conector LDAP Genérico (Microsoft).
Conectividade
Na página Conectividade, especifique as informações de Host, Porta e Associação. Dependendo de qual associação está selecionada, informações adicionais podem ser fornecidas nas seções a seguir.
- A configuração tempo limite de conexão só é usada para a primeira conexão com o servidor ao detectar o esquema.
- Se a associação for anônima, não serão utilizados nome de usuário/senha nem certificado.
- Para outras associações, insira informações em nome de usuário/senha ou selecione um certificado.
- Se você estiver usando Kerberos para autenticar, forneça também o Realm/Domínio do usuário.
A caixa de texto aliases de atributo é usada para atributos definidos no esquema com a sintaxe RFC4522. Esses atributos não podem ser detectados durante a detecção de esquema e o Conector precisa que esses atributos sejam configurados separadamente. Por exemplo, a seguinte cadeia de caracteres deve ser inserida na caixa de aliases de atributo para identificar corretamente o atributo userCertificate como um atributo binário:
userCertificate;binary
A tabela a seguir é um exemplo de como essa configuração poderia se parecer:
Selecione a caixa de seleção incluir atributos operacionais no esquema para também adicionar os atributos criados pelo servidor. Eles incluem atributos como quando o objeto foi criado e a hora da última atualização.
Selecione Incluir atributos extensíveis no esquema se objetos extensíveis (RFC4512/4.3) forem usados e habilitar essa opção permitirá que todos os atributos sejam usados em todos os objetos. Selecionar essa opção torna o esquema muito grande, portanto, a menos que o diretório conectado esteja usando esse recurso, a recomendação é manter a opção não selecionada.
Parâmetros Globais
Na página Parâmetros Globais, configure o DN para o log de alterações delta e os recursos de LDAP adicionais. A página é preenchida previamente com as informações fornecidas pelo servidor LDAP.
A seção superior mostra informações fornecidas pelo próprio servidor, como o nome do servidor. O Conector também verifica se os controles obrigatórios estão presentes no Root DSE. Se esses controles não estiverem listados, um aviso será apresentado. Alguns diretórios LDAP não listam todos os recursos no DSE Raiz e é possível que o Conector funcione sem problemas, mesmo que um aviso esteja presente.
As caixas de seleção dos controles com suporte controlam o comportamento de determinadas operações:
- Com a opção de exclusão de árvore marcada, uma hierarquia é excluída com uma chamada LDAP. Com a opção de exclusão de árvore desmarcada, o conector realiza uma exclusão recursiva, se for necessário.
- Com resultados paginados selecionados, o Conector faz uma importação paginada com o tamanho especificado nas etapas de execução.
- O VLVControl e o SortControl são uma alternativa ao pagedResultsControl para ler dados do diretório LDAP.
- Se todas as três opções (pagedResultsControl, VLVControl e SortControl) não forem selecionadas, o Conector importará todo o objeto em uma operação, o que poderá falhar se for um diretório grande.
- ShowDeletedControl é usado somente quando o método de Importação delta é USNChanged.
O DN do log de alterações é o contexto de nomenclatura usado pelo log de alterações Delta, por exemplo, cn=changelog. Esse valor deve ser especificado para que seja possível fazer a importação de delta.
A tabela seguinte é uma lista de DNs de log de alterações padrão:
| Diretório | Log de alterações delta |
|---|---|
| Microsoft AD LDS e AD GC | Detectado automaticamente. USNChanged. |
| Servidor do Apache Directory | Não disponível. |
| Diretório 389 | Registro de alterações. Valor padrão a ser usado: cn=changelog |
| IBM Tivoli DS | Registro de alterações. Valor padrão a ser usado: cn=changelog |
| Diretório Isode | Registro de alterações. Valor padrão a ser usado: cn=changelog |
| Novell/NetIQ eDirectory | Não disponível. Timestamp. O Conector usa a data/hora da última atualização para obter os registros adicionados e atualizados. |
| Abrir DJ/DS | Registro de alterações. Valor padrão a ser usado: cn=changelog |
| Abrir LDAP | Log de acesso. Valor padrão a ser usado: cn=accesslog |
| Oracle DSEE | Registro de alterações. Valor padrão a ser usado: cn=changelog |
| RadiantOne VDS | Diretório virtual. Depende do diretório conectado ao VDS. |
| Servidor de Diretório Sun One | Registro de alterações. Valor padrão a ser usado: cn=changelog |
O atributo de senha é o nome do atributo que o Conector deve usar para definir a senha em operações de alteração de senha e conjunto de senhas. Esse valor é definido por padrão como userPassword, mas pode ser alterado quando necessário para um sistema LDAP específico.
Na lista de partições adicionais, é possível adicionar namespaces adicionais não detectados automaticamente. Por exemplo, essa configuração poderá ser usada se vários servidores comporem um cluster lógico, que deve ser importado ao mesmo tempo. Assim como o Active Directory pode ter vários domínios em uma floresta, mas todos os domínios compartilham um esquema, o mesmo pode ser simulado inserindo os namespaces adicionais nesta caixa. Cada namespace pode importar de servidores diferentes e ainda está configurado na página Configurar Partições e Hierarquias. Use Ctrl+Enter para obter uma nova linha.
Configurar hierarquia de provisionamento
Esta página é usada para mapear o componente DN, por exemplo, UO, para o tipo de objeto que deve ser provisionado, por exemplo organizationalUnit.
Ao configurar a hierarquia de provisionamento, você pode configurar o Conector para criar automaticamente uma estrutura quando necessário. Por exemplo, se houver um namespace dc=contoso,dc=com e um novo objeto cn=Joe, ou=Seattle, c=US, dc=contoso, dc=com será provisionado e o Conector poderá criar um objeto do tipo país para EUA e um organizationalUnit para Seattle, caso ainda não estão presentes no diretório.
Configurar partições e hierarquias
Na página partições e hierarquias, selecione todos os namespaces com objetos que você planeja importar e exportar.
Para cada namespace, também é possível definir as configurações de conectividade que substituiriam os valores especificados na tela conectividade. Se esses valores forem deixados para o valor em branco padrão, as informações da tela conectividade serão usadas.
Também é possível selecionar quais contêineres e UOs o Conector deve importar e exportar.
Ao executar uma pesquisa, isso é feito em todos os contêineres na partição. Nos casos em que há um grande número de contêineres, esse comportamento leva à degradação do desempenho.
Observação
A partir da atualização de março de 2017, as buscas no conector LDAP genérico podem ser limitadas no escopo para apenas os contêineres selecionados. Isso pode ser feito selecionando a caixa de seleção "Pesquisar somente em contêineres selecionados", conforme mostrado na imagem abaixo.
Configurar Âncoras
Essa página sempre tem um valor pré-configurado e não pode ser alterada. Se o fornecedor do servidor tiver sido identificado, a âncora poderá ser preenchida com um atributo imutável, por exemplo, o GUID de um objeto. Se ele não tiver sido detectado ou for conhecido por não ter um atributo imutável, o conector usará dn (nome diferenciado) como a âncora.
A tabela a seguir é uma lista de servidores LDAP e a âncora que está sendo usada:
| Diretório | Atributo de âncora |
|---|---|
| Microsoft AD LDS e AD GC | objectGUID |
| Servidor de Diretórios 389 | dn |
| Diretório Apache | dn |
| IBM Tivoli DS | dn |
| Diretório Isode | dn |
| Novell/NetIQ eDirectory | GUID |
| Abrir DJ/DS | dn |
| Abrir LDAP | dn |
| Oracle ODSEE | dn |
| RadiantOne VDS | dn |
| Servidor de Diretório Sun One | dn |
Outras anotações
Esta seção fornece informações sobre aspectos específicos para este Conector ou que, por outras razões, são importantes de saber.
Importação delta
A marca d'água delta em Open LDAP é data/hora UTC. Por esse motivo, os relógios entre o Serviço de Sincronização do FIM e o LDAP Aberto devem ser sincronizados. Caso contrário, algumas entradas no log de alterações delta poderão ser omitidas.
Para o Novell eDirectory, a importação delta não está detectando nenhuma exclusão de objeto. Por esse motivo, é necessário executar uma importação completa periodicamente para localizar todos os objetos excluídos.
Para diretórios com um log de alterações delta baseado em data/hora, é altamente recomendável executar uma importação completa em horários periódicos. Esse processo permite que o mecanismo de sincronização localize diferenças entre o servidor LDAP e o que está atualmente no espaço do conector.
Resolução de problemas
- Para saber mais sobre como habilitar o registro em log para solucionar problemas do conector, confira How to Enable ETW Tracing for Connectors.