Поделиться через

Технический справочник по универсальному соединителю LDAP

  • Статья

В этой статье описывается универсальный соединитель LDAP. Статья относится к следующим продуктам:

Для MIM2016 коннектор доступен для скачивания из Центра загрузки Microsoft.

При обращении к RFC IETF этот документ использует формат (RFC [номер RFC]/[раздел в документе RFC]), например (RFC 4512/4.3). Дополнительные сведения см. в https://tools.ietf.org/. На левой панели введите номер RFC в диалоговом окне получения документа и протестируйте номер, чтобы убедиться, что он действителен.

Примечание.

Microsoft Entra ID теперь предоставляет легкое решение на основе агента для предоставления пользователей на сервере LDAPv3 без необходимости развертывания синхронизации MIM. Мы рекомендуем использовать его для подготовки исходящих пользователей. Подробнее.

Обзор универсального соединителя LDAP

Универсальный соединитель LDAP позволяет интегрировать службу синхронизации с сервером LDAP версии 3.

Некоторые операции и элементы схемы, такие как необходимые для выполнения разностного импорта, не указаны в RFCS IETF. Для этих операций поддерживаются только каталоги LDAP, явно указанные.

Для подключения к каталогам мы проверяем использование учетной записи root/admin. Чтобы использовать другую учетную запись для применения более детализированных разрешений, может потребоваться проконсультироваться с командой, отвечающей за каталог LDAP.

Текущий выпуск соединителя поддерживает следующие функции:

Функция Поддержка
Подключенный источник данных Соединитель поддерживается со всеми серверами LDAP версии 3 (совместимыми с RFC 4510), за исключением случаев, когда он не поддерживается. Он был протестирован с этими серверами каталогов:
  • Службы упрощенных каталогов Microsoft Active Directory (AD LDS)
  • Глобальный каталог Microsoft Active Directory (AD GC)
  • 389 Directory Server
  • Apache Directory Server.
  • IBM Tivoli DS.
  • Isode Directory.
  • NetIQ eDirectory.
  • Novell eDirectory.
  • Open DJ.
  • Open DS.
  • Открытие LDAP (openldap.org)
  • Oracle (ранее Sun) Directory Server Enterprise Edition
  • RadiantOne Virtual Directory Server (VDS).
  • Sun One Directory Server.
  • Доменные службы Microsoft Active Directory (AD DS)
    • Для большинства сценариев необходимо использовать встроенный соединитель Active Directory, так как некоторые функции могут не работать.
    Известные каталоги или функции не поддерживаются:
  • Доменные службы Microsoft Active Directory (AD DS)
    • Служба уведомлений об изменении пароля (PCNS)
    • Подготовка службы Exchange
    • Удаление устройств активной синхронизации
    • Поддержка nTDescurityDescriptor
  • Oracle Internet Directory (OID)
    		•
    Сценарии
  • Управление жизненным циклом объектов
  • Управление группами
  • Управление паролями
    		•
    Операции Следующие операции поддерживаются во всех каталогах LDAP:
  • Полный импорт
  • Экспорт
    • Следующие операции поддерживаются только в указанных каталогах:
  • Дельта импорт
  • Установка пароля, изменение пароля
    		•
    Схема
  • Схема обнаружена из схемы LDAP (RFC3673 и RFC4512/4.2)
  • Поддерживает структурные классы, классы aux и класс объектов extensibleObject (RFC4512/4.3)
    		•

    Поддержка разностного импорта и управления паролями

    Поддерживаемые каталоги для дельта-импорта и управления паролями:

    • Службы упрощенных каталогов Microsoft Active Directory (AD LDS)
      • Поддерживает все операции для импорта дельта
      • Поддерживает установку пароля
    • Глобальный каталог Microsoft Active Directory (AD GC)
      • Поддерживает все операции при разностном импорте
      • Поддержка установки пароля
    • Сервер каталогов 389
      • Поддерживает все операции для разностного импорта
      • Поддерживает настройку пароля и изменение пароля
    • Apache Directory Server
      • Не поддерживает разностный импорт, так как в этом каталоге нет постоянного журнала изменений
      • Поддерживается установка пароля
    • IBM Tivoli DS
      • Поддерживает все операции при разностном импорте
      • Поддерживает настройку пароля и изменение пароля
    • Каталог Isode
      • Поддерживает все операции для разностного импорта
      • Поддерживает настройку пароля и изменение пароля
    • Novell eDirectory и NetIQ eDirectory
      • Поддерживает операции добавления, обновления и переименования для дельта-импорта
      • Не поддерживает операции удаления для разностного импорта
      • Поддерживает настройку пароля и изменение пароля
    • Открыть DJ
      • Поддерживает все операции для разностного импорта
      • Поддерживает настройку пароля и изменение пароля
    • Откройте DS
      • Поддерживает все операции для разностного импорта
      • Поддерживает настройку пароля и изменение пароля
    • Открытие LDAP (openldap.org)
      • Поддерживает все операции для разностного импорта
      • Поддерживает установку пароля
      • Не поддерживает изменение пароля
    • Oracle (ранее Sun) Directory Server Enterprise Edition
      • Поддерживает все операции разностного импорта
      • Поддерживает настройку пароля и изменение пароля
    • Сервер виртуального каталога RadiantOne (VDS)
      • Необходимо использовать версию 7.1.1 или более позднюю.
      • Поддерживает все операции для разностного импорта
      • Поддерживает настройку пароля и изменение пароля
    • Сервер каталогов Sun One
      • Поддерживает все операции для разностного импорта
      • Поддерживает настройку пароля и изменение пароля

    Предпосылки

    Прежде чем использовать коннектор, убедитесь, что у вас есть следующее на сервере синхронизации:

    • Microsoft .NET 4.6.2 Framework или более поздней версии

    При развертывании этого соединителя могут потребоваться изменения конфигурации сервера каталогов, а также изменения конфигурации для MIM. Для развертываний, связанных с интеграцией MIM с сторонним сервером каталогов в рабочей среде, мы рекомендуем клиентам работать со своим поставщиком сервера каталогов или партнером по развертыванию для справки, рекомендаций и поддержки этой интеграции.

    Обнаружение сервера LDAP

    Соединитель использует различные методы для обнаружения и идентификации сервера LDAP. Соединитель использует Root DSE, имя и версию поставщика, и проверяет схему для поиска уникальных объектов и атрибутов, которые известны как существующие на определённых серверах LDAP. Эти данные, если они найдены, используются для предварительного заполнения параметров конфигурации в соединителе.

    Разрешения подключенного источника данных

    Для выполнения операций импорта и экспорта объектов в подключенном каталоге учетная запись соединителя должна иметь достаточные разрешения. Соединитель должен иметь разрешения на запись для экспорта и разрешения на чтение для импорта. Конфигурация разрешений выполняется в интерфейсе управления целевого каталога.

    Порты и протоколы

    Соединитель использует номер порта, указанный в конфигурации, который по умолчанию равен 389 для LDAP и 636 для LDAPS.

    Для LDAPS необходимо использовать ПРОТОКОЛ SSL 3.0 или TLS. ПРОТОКОЛ SSL 2.0 не поддерживается и не может быть активирован.

    Обязательные элементы управления и компоненты

    Для правильной работы соединителя на сервере LDAP должны быть доступны следующие элементы управления и компоненты LDAP:
    1.3.6.1.4.1.4203.1.5.3 фильтры Истина/Ложь

    Фильтр True/False часто не сообщается как поддерживаемый каталогами LDAP и может отображаться на глобальной странице в разделе Обязательные функции не найдены. Он используется для создания фильтров OR в запросах LDAP, например при импорте нескольких типов объектов. Если вы можете импортировать несколько типов объектов, сервер LDAP поддерживает эту функцию.

    Если вы используете каталог, где уникальный идентификатор является привязкой следующей функции, также должна быть доступна (Дополнительные сведения см. в разделе Настройка привязок):
    1.3.6.1.4.1.4203.1.5.1 Все операционные атрибуты

    Если каталог содержит больше объектов, чем то, что может соответствовать одному вызову каталога, рекомендуется использовать разбиение по страницам. Для работы разбиения по страницам вам потребуется один из следующих вариантов:

    Вариант 1:
    1.2.840.113556.1.4.319 pagedResultsControl

    Вариант 2:
    VLVControl 2.16.840.1.113730.3.4.9
    1.2.840.113556.1.4.473 SortControl

    Если оба параметра включены в конфигурации соединителя, используется pagedResultsControl.

    1.2.840.113556.1.4.417 ПоказатьУдаленныйКонтроль

    ShowDeletedControl используется только с методом дельта-импорта USNChanged для просмотра удаленных объектов.

    Соединитель пытается определить параметры, присутствующих на сервере. Если параметры не удается обнаружить, предупреждение присутствует на глобальной странице в свойствах соединителя. Не все серверы LDAP представляют все элементы управления или функции, которые они поддерживают, и даже если это предупреждение присутствует, соединитель может работать без проблем.

    Дельта импорт

    Разностный импорт доступен только в том случае, если обнаружен каталог, поддерживающий его. В настоящее время используются следующие методы:

    • Журнал доступа LDAP. См. http://www.openldap.org/doc/admin24/overlays.html#Access ведение журнала
    • Журнал изменений LDAP. См. http://tools.ietf.org/html/draft-good-ldap-changelog-04
    • Метка времени. Для novell/NetIQ eDirectory соединитель использует последнюю дату и время для получения и обновления объектов. Novell/NetIQ eDirectory не предоставляет эквивалентные средства для извлечения удаленных объектов. Этот параметр также можно использовать, если на сервере LDAP не активен другой метод разностного импорта. Этот параметр не может импортировать удаленные объекты.
    • USN изменено. См.: https://msdn.microsoft.com/library/ms677627.aspx

    Не поддерживается

    Следующие функции LDAP не поддерживаются.

    • Ссылки LDAP между серверами (RFC 4511/4.1.10)

    Создайте новый соединитель

    Чтобы создать универсальный соединитель LDAP, в службе синхронизации выберите Управление агентом и Создать. Выберите универсальный соединитель LDAP (Microsoft) .

    пользовательский интерфейс синхронизации MIM для создания нового соединителя

    Связь

    На странице подключения необходимо указать сведения о узле, порту и привязке. В зависимости от выбранной привязки дополнительные сведения могут быть предоставлены в следующих разделах.

    странице конфигурации соединителя синхронизации MIM

    • Параметр времени ожидания подключения используется только для первого подключения к серверу при обнаружении схемы.
    • Если привязка является анонимной, ни имя пользователя, ни пароль, ни сертификат не используются.
    • Для других привязок введите сведения в имени пользователя или пароля или выберите сертификат.
    • Если вы используете Kerberos для проверки подлинности, укажите область или домен пользователя.

    Псевдонимы атрибутов в текстовом поле используются для атрибутов, определенных в схеме, с синтаксисом RFC4522. Эти атрибуты нельзя обнаружить во время обнаружения схемы, и соединитель должен настраивать эти атрибуты отдельно. Например, в поле псевдонимов атрибутов необходимо ввести следующую строку, чтобы правильно определить атрибут userCertificate как двоичный атрибут:

    userCertificate;binary

    В следующей таблице приведен пример того, как может выглядеть эта конфигурация:

    конфигурация страницы подключения соединителя синхронизации MIM с атрибутами

    Установите флажок «Включить операционные атрибуты в схему», чтобы также включить атрибуты, созданные сервером. К ним относятся такие атрибуты, как когда объект был создан и время последнего обновления.

    Выберите Включить расширяемые атрибуты в схемы, если используются расширяемые объекты (RFC4512/4.3), и этот параметр позволяет использовать каждый атрибут для всех объектов. Выбор этого параметра делает схему очень большой, поэтому если подключенный каталог не использует эту функцию, рекомендация заключается в том, чтобы сохранить параметр без выбора.

    Глобальные параметры

    На странице «Глобальные параметры» вы настраиваете DN для журнала разностных изменений и дополнительные функции LDAP. Страница предварительно заполняется сведениями, предоставленными сервером LDAP.

    страница глобальных параметров конфигурации соединителя синхронизации MIM

    В верхнем разделе показаны сведения, предоставляемые самим сервером, например имя сервера. Соединитель также проверяет наличие обязательных элементов управления в корневом DSE. Если эти элементы управления не указаны, появится предупреждение. Некоторые каталоги LDAP не перечисляют все функции в корневой DSE, и возможно, что соединитель работает без проблем, даже если присутствует предупреждение.

    Флажки, поддерживаемые элементами управления , управляют поведением определенных операций.

    • При выбранном удалении дерева иерархия удаляется с одним вызовом LDAP. Если удаление древесной структуры не выбрано, соединитель выполняет рекурсивное удаление при необходимости.
    • При выборе страничных результатов соединитель выполняет импорт страниц с размером, указанным на шагах выполнения.
    • VLVControl и SortControl является альтернативой pagedResultsControl для чтения данных из каталога LDAP.
    • Если все три параметра (pagedResultsControl, VLVControl и SortControl) не выбраны, соединитель импортирует весь объект в одной операции, что может завершиться ошибкой, если это большой каталог.
    • ShowDeletedControl используется только в том случае, если метод импорта Delta имеет значение USNChanged.

    DN журнала изменений — это контекст именования, используемый журналом дельта-изменений, например cn=changelog. Чтобы выполнить дельта-импорт, необходимо указать это значение.

    В следующей таблице приведен список доменных имен журналов изменений по умолчанию:

    Каталог Журнал изменений Delta
    Microsoft AD LDS и AD GC Автоматически обнаружен. USNChanged.
    Apache Directory Server. Недоступно.
    Каталог 389 Журнал изменений. Значение по умолчанию для использования: cn=changelog
    IBM Tivoli DS. Журнал изменений. Значение по умолчанию для использования: cn=changelog
    Isode Directory. Журнал изменений. Значение по умолчанию для использования: cn=changelog
    Novell/NetIQ eDirectory Недоступно. Метка времени. Соединитель использует последнюю обновленную дату и время для добавления и обновления записей.
    Открыть DJ/DS Журнал изменений. Значение по умолчанию для использования: cn=changelog
    Open LDAP Журнал доступа. Значение по умолчанию: cn=accesslog
    Oracle DSEE Журнал изменений. Значение по умолчанию для использования: cn=changelog
    RadiantOne VDS Виртуальный каталог. Зависит от каталога, подключенного к VDS.
    Sun One Directory Server. Журнал изменений. Значение по умолчанию для использования: cn=changelog

    Атрибут пароля — это имя атрибута, который соединитель должен использовать для задания пароля в операциях изменения пароля и набора паролей. Это значение по умолчанию имеет значение userPassword, но его можно изменить при необходимости для конкретной системы LDAP.

    В списке дополнительных разделов можно добавить дополнительные пространства имен, которые не обнаружены автоматически. Например, этот параметр можно использовать, если несколько серверов составляют логический кластер, который следует импортировать одновременно. Как в Active Directory в одном лесу может быть несколько доменов, все из которых используют одну схему, так и здесь это можно смоделировать, введя дополнительные пространства имен в это поле. Каждое пространство имен может импортироваться с разных серверов и дополнительно настроено на странице "Настройка секций и иерархий". Нажмите клавиши CTRL+ВВОД, чтобы получить новую строку.

    Настройка иерархии подготовки

    Эта страница используется для сопоставления компонента DN, например OU, с типом объекта, который должен быть подготовлен, например организационная единица.

    иерархия управления ресурсами

    Настроив иерархию провизирования, можно настроить Коннектор для автоматического создания структуры при необходимости. Например, если существует пространство имен dc=contoso,dc=com и создан новый объект cn=Joe, ou=Сиэтл, c=US, dc=contoso, dc=com, то Соединитель может создать объект типа страна для США и организационную единицу для Сиэтла, если они еще не присутствуют в каталоге.

    Настройка секций и иерархий

    На странице секций и иерархий выберите все пространства имен с объектами, которые планируется импортировать и экспортировать.

    конфигурация соединителя синхронизации MIM страница разделов

    Для каждого пространства имен также можно настроить параметры подключения, которые переопределяют значения, указанные на экране подключения. Если эти значения остаются пустым значением по умолчанию, используется информация на экране подключения.

    Также можно выбрать, из каких контейнеров и подразделений должен импортировать и в какие экспортировать Коннектор.

    При выполнении поиска это происходит во всех контейнерах раздела. В случаях, когда существует большое количество контейнеров, такое поведение приводит к снижению производительности.

    Примечание.

    Начиная с обновления универсального подключаемого модуля LDAP за март 2017 года, область поиска можно ограничить только выбранными контейнерами. Это можно сделать, установив флажок "Поиск только в выбранных контейнерах", как показано на рисунке ниже.

    поиск только выбранных контейнеров

    Настройка привязок

    Эта страница всегда имеет предварительно настроенное значение и не может быть изменена. Если поставщик сервера был идентифицирован, привязка может быть заполнена неизменяемым атрибутом, например GUID для объекта. Если он не обнаружен или не имеет неизменяемого атрибута, соединитель использует dn (различающееся имя) в качестве привязки.

    В следующей таблице приведен список серверов LDAP и используемой привязки:

    Каталог Атрибут привязки
    Microsoft AD LDS и AD GC objectGUID
    389 Directory Server dn
    Apache Directory dn
    IBM Tivoli DS. dn
    Isode Directory. dn
    Novell/NetIQ eDirectory ГУИД
    Открыть DJ/DS dn
    Open LDAP dn
    Oracle ODSEE dn
    RadiantOne VDS dn
    Sun One Directory Server. dn

    Другие примечания

    В этом разделе содержатся сведения о аспектах, относящихся к этому соединителю или по другим причинам, которые важно знать.

    Дельта импорт

    Метка (водяной знак) в Open LDAP — это дата и время в формате UTC. По этой причине часы между службой синхронизации FIM и Open LDAP должны быть синхронизированы. В противном случае некоторые записи в журнале разностных изменений могут быть опущены.

    Для Novell eDirectory разностный импорт не обнаруживает удаления объектов. По этой причине необходимо периодически запускать полный импорт, чтобы найти все удаленные объекты.

    Для каталогов с журналом разностных изменений, основанным на дате и времени, настоятельно рекомендуется периодически выполнять полный импорт. Этот процесс позволяет движку синхронизации находить различия между сервером LDAP и тем, что в настоящее время находится в пространстве соединителя.

    Устранение неполадок