泛目录技术 MicrosoftActiveDirectoryDirectory连接器

administrator

本文内容

本指南描述了通用 LDAP 连接器。本文适用于以下产品：

对于 MIM2016 和 FIM2010R2，可以从 Microsoft 下载中心下载此连接器。

当提到 IETF RFC 时，本文档使用格式（RFC [RFC 编号]/[RFC 文档的一部分]），例如：（RFC 4512/4.3）。您可以在左侧面板中找到更多信息，在“文档提取”对话框中输入 RFC 编号，并对其进行测试以确保其正常工作。

通用 LDAP 连接器概述

使用通用 LDAP 连接器将同步服务与 LDAP v3 服务器集成。

IETF RFC 中未指定某些操作和模式元素，例如项目执行增量导入。对于这些操作，仅支持明确指定的 LDAP 目录。

要连接到该目录，我们将使用 root/admin 帐户进行测试。要使用不同的帐户应用更精细的权限，您可能需要与 LDAP 目录团队联系。

在较高级别上，当前连接器版本支持以下功能：

功能支持

连接的数据源

此连接器支持所有 LDAP v3 服务器（符合 RFC 4510）。使用以下软件进行测试： Microsoft Active Directory Lightweight Directory Service (AD LDS) Microsoft Active Directory Global Directory (AD GC) 389 Directory Server Apache Directory Server IBM Tivoli DSIsode DirectoryNetIQ eDirectoryNovell eDirectoryOpen DJOpen DSOpen LDAP () Oracle (原 Sun) Directory Server Enterprise版本 RadiantOne 虚拟目录服务器 (VDS) Sun One 目录服务器 Microsoft Active Directory 域服务 (AD DS) 不支持著名的已知目录或功能： Microsoft Active Directory 域服务 (AD DS) Oracle Internet Directory (OID)

程序

对象生命周期管理 组管理 密码管理

运营

所有LDAP目录都支持以下操作：full import export只支持对指定目录的以下操作：incremental import set password, change password

建筑学

在 LDAP 模式中检测到的模式（RFC3673 和 RFC4512/4.2） 支持结构化类、辅助类和 extensibleObject 对象类（RFC4512/4.3）

增量导入和密码管理支持

支持增量导入和密码管理的目录：

Microsoft Active Directory Global Directory (AD GC) 389 Directory Server Apache Directory Server IBM Tivoli DSIsode Directory Novell eDirectory 和 NetIQ eDirectoryOpen DJOpen DSOpen LDAP () Oracle（原 Sun） Directory Server Enterprise Edition RadiantOne Virtual Directory Server (VDS) Sun One Directory Server 先决条件

在使用连接器之前，请确保在同步服务器上安装以下软件：

部署此连接器可能需要更改目录服务器的配置，以及更改 MIM 的配置。对于在生产环境中将 MIM 与第三方目录服务器集成的部署，我们建议客户与其目录服务器供应商或部署合作伙伴合作，以获取有关此集成的帮助、指导和支持。

检测 LDAP 服务器

连接器依靠各种技术来检测和识别 LDAP 服务器。连接器使用根 DSE（供应商名称和版本）并检查架构中已知存在于某些 LDAP 服务器中的唯一对象和属性。如果找到此数据，则用于预填充连接器的配置选项。

连接的数据源权限

要对连接目录中的对象执行导入和导出操作，连接器帐户必须具有足够的权限。连接器需要写入权限才能导出，需要读取权限才能导入。权限设置在目标目录本身的管理体验中执行。

端口和协议

连接器使用配置中指定的端口号，默认为 389 用于 LDAP，636 用于 LDAPS。

对于 LDAPS，必须使用 SSL 3.0 或 TLS。SSL 2.0 不受支持且无法激活。

所需的控件和功能

LDAP 服务器必须提供以下 LDAP 控件/功能，连接器才能正常运行：

1.3.6.1.4.1.4203.1.5.3 真/假过滤器

True/False 过滤器通常不会报告为受 LDAP 目录支持，并且可能会出现在“未找到强制功能”下的全局页面上。它用于在 LDAP 查询中创建 OR 过滤器，例如在导入多个对象类型时。如果可以导入对象类型，则 LDAP 服务器支持此功能。

如果使用的目录具有作为锚点的唯一标识符，则还必须提供以下项目（有关详细信息，请参阅章节）：

1.3.6.1.4.1.4203.1.5.1 所有操作属性

如果目录中的对象数量超过一次调用目录所能容纳的数量，则建议进行分页。对于正常分页，需要以下选项之一：

选项1：

1.2.840.113556.1.4.319 pagedResultsControl

选项 2：

2.16.840.1.113730.3.4.9 VLV控制

1.2.840.113556.1.4.473 排序控制

如果在连接器配置中启用了这两个选项，则将使用 pagedResultsControl。

1.2.840.113556.1.4.417 ShowDeletedControl

仅当 ShowDeletedControl 与 USNChanged 增量导入方法一起使用时，才能查看已删除的对象。

链接器尝试检测这些选项是否在服务器上。如果未检测到这些选项，则会在连接器属性的“全局”页面上显示警告。并非所有 LDAP 服务器都显示它们支持的所有控件/功能，即使出现此警告，连接器也可能正常工作。

增量导入

仅当检测到支持增量导入的目录时才可用。目前使用以下方法：

不支持

不支持以下 LDAP 功能：

创建新的连接器

要创建通用 LDAP 连接器，请选择管理代理并在同步服务中创建。选择通用 LDAP (Microsoft) 连接器。

连接

在 Connections 页面上，必须指定 Host、Port 和 Binding 信息。根据所选的“绑定”，以下部分可能会提供其他信息。

Attribute Alias 文本框用于在 RFC4522 语法的 schema 中定义的属性。在模式检测期间无法检测到这些属性，连接器需要帮助识别它们。例如，必须在 Attribute Alias 框中输入以下项目才能正确识别 userCertificate 属性为二进制属性：

用户证书；二进制

此配置的示例如下所示：

选中“在架构中包含操作属性”复选框以包含服务器创建的属性。它包含对象的创建时间和上次更新时间等属性。

如果使用可扩展对象 (RFC4512/4.3)，请选择“在架构中包含可扩展属性”。启用此选项以使用所有对象的每个属性。选择此选项会使架构非常大，因此除非连接的目录使用此功能，否则不建议使用。

全局参数

在“全局参数”页面上配置差异更改日志和其他 LDAP 功能的 DN。此页面预先填充了 LDAP 服务器提供的信息。

上半部分显示服务器本身提供的信息，例如服务器名称。连接器还验证根 DSE 中是否存在所需的控件。如果未列出这些控件，则会显示警告。一些 LDAP 目录没有列出根 DSE 中的所有功能，但即使有警告，连接器也可以正常工作。

Supported Controls 复选框控制特定操作的行为：

变更日志 DN 是增量变更日志使用的命名上下文，例如 cn=changelog。必须指定此值才能执行增量导入。

以下是默认变更日志 DN 的列表：

目录增量变更日志

Microsoft AD LDS 和 AD GC

自动检测。USN已更改。

Apache 目录服务器

不可用。

目录 389

变更日志。要使用的默认值：cn=changelog

IBM Tivoli DS

变更日志。要使用的默认值：cn=changelog

Isode 目录

变更日志。要使用的默认值：cn=changelog

Novell/NetIQ 电子目录

不可用。时间戳。连接器使用上次更新日期/时间来获取添加和更新的记录。

打开 DJ/DS

变更日志。要使用的默认值：cn=changelog

开放式LDAP

访问日志。要使用的默认值：cn=a​​ccesslog

甲骨文DSEE

变更日志。要使用的默认值：cn=changelog

RadiantOne VDS

虚拟列表。取决于连接到 VDS 的目录。

Sun One 目录服务器

变更日志。要使用的默认值：cn=changelog

密码属性是连接器在密码更改和密码设置操作中用于设置密码的属性名称。此值默认设置为 userPassword，但可以根据特定 LDAP 系统的需要进行更改。

在其他分区列表中泛目录技术，可以添加未自动检测到的其他命名空间。例如，如果应该将多个服务器一起导入以形成逻辑集群，则可以使用此设置。正如 Active Directory 可以在一个林中拥有多个域，所有域都共享一个架构，在此框中输入另一个命名空间可以模拟这种情况。每个命名空间都可以从不同的服务器导入，可以在配置分区和层次结构页面上进一步配置。使用 Ctrl+Enter 换行。

配置供应层次结构

此页面用于将 DN 组件（例如 OU）映射到应配置的对象类型，例如organizationalUnit。

通过配置供应层次结构，您可以将连接器配置为根据需要自动创建结构。例如，如果存在命名空间 dc=contoso,dc=com 并且预配了一个新对象 (cn=Joe,ou=Seattle,c=US,dc=contoso,dc=com)，则连接器可以创建一个国家美国和组织单位西雅图类型的对象（如果目录中尚不存在这些项目）。

配置分区和层次结构

在 Partitions and Hierarchies 页面上，选择包含您计划导入和导出的对象的所有命名空间。

对于每个命名空间，您还可以配置连接设置，覆盖连接屏幕上指定的值。如果将这些值保存为默认的空白值，则使用 Connect 屏幕中的信息。

此外，您可以选择连接器应导入和导出的容器和 OU。

执行搜索时，会针对分区中的所有容器执行此操作。在存在大量容器的情况下泛目录技术，这种行为可能会导致性能下降。

评论

从 2017 年 3 月的通用 LDAP 连接器更新开始，可以将搜索范围仅限于选定的容器。这可以通过选中“仅在选定容器中搜索”复选框来完成，如下图所示。

配置定位器标记

此页面始终具有预先配置的值，无法更改。如果标识了服务器提供程序，则可以使用不可变属性（例如对象的 GUID）填充锚点。如果供应商未检测到或已知没有不可变属性，则连接器将使用 dn（可分辨名称）作为锚点。

以下是使用的 LDAP 服务器和锚点列表：

目录锚属性

Microsoft AD LDS 和 AD GC

对象GUID

389 目录服务器

dn

阿帕奇目录

dn

IBM Tivoli DS

dn

Isode 目录

dn

Novell/NetIQ 电子目录

图形用户界面

打开 DJ/DS

dn

开放式LDAP

dn

甲骨文 ODSEE

dn

RadiantOne VDS

dn

Sun One 目录服务器

dn

其他说明

本节提供特定于此连接器的信息，或出于其他原因需要了解的重要信息。

增量导入

Open LDAP 中的增量水印是 UTC 日期/时间。因此，FIM 同步服务和 Open LDAP 之间的时钟必须同步。如果没有同步，增量更改日志中的某些项目可能会被省略。

对于 Novell eDirectory，增量导入不会检测到任何对象删除。因此，必须定期运行完全导入以查找所有已删除的对象。

对于包含基于日期/时间的增量更改日志的目录，强烈建议定期运行完全导入。此过程使同步引擎能够查找并消除 LDAP 服务器与当前连接器空间中的差异。

故障排除

豪侠泛目录站群程序，专业泛目录，站群，二级目录，泛站群程序！