Um ein initiales Synchronisationsprojekt für eine LDAP Domäne einzurichten

1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.

   HINWEIS: Wenn die Synchronisation über einen Anwendungsserver ausgeführt werden soll, stellen Sie die Datenbankverbindung über den Anwendungsserver her.

2. Wählen Sie den Eintrag Zielsystemtyp LDAP und klicken Sie Starten.

   Der Projektassistent des Synchronization Editors wird gestartet.

1. Auf der Seite Zielsystem auswählen wählen Sie LDAP Konnektor (Version 2).

2. Auf der Seite Systemzugriff legen Sie fest, wie der One Identity Manager auf das Zielsystem zugreifen kann.

   • Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, möglich, nehmen Sie keine Einstellungen vor.

   • Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, nicht möglich, können Sie eine Remoteverbindung herstellen.

     Aktivieren Sie die Option Verbindung über einen Remoteverbindungsserver herstellen und wählen Sie unter Jobserver den Server, über den die Verbindung hergestellt werden soll.

3. Auf der Seite Verbindungsinformationen erfassen Sie die Verbindungsinformationen für den Zugriff auf das LDAP System. Es wird anschließend versucht eine Verbindung zum Server aufzubauen.

   • Server: IP-Adresse oder vollständiger Name des LDAP Servers, gegen den sich der Synchronisationsserver verbindet, um auf die LDAP Objekte zuzugreifen.

   • Port: Kommunikationsport auf dem Server. LDAP Standard-Kommunikationsport ist Port 389.

   • Authentifizierungsmethode: Wählen Sie die Authentifizierungsart für die Anmeldung am LDAP System. Zulässig sind:

     • Basic: Die Standardauthentifizierung wird verwendet.

     • Negotiate: Die Negotiate-Authentifizierung von Microsoft wird verwendet.

     • Anonymous: Die Verbindung erfolgt ohne Übergabe von Anmeldeinformationen.

     • Kerberos: Die Kerberos-Authentifizierung wird verwendet.

     • NTLM: Die Windows NT-Abfrage/Rückmeldung-Authentifizierung wird verwendet.

     • External: Als externe Methode wird die zertifikatsbasierte Authentifizierung verwendet.

     Abhängig von der gewählten Authentifizierungsmethode können weitere Informationen für die Anmeldung erforderlich sein.

     • Benutzername: Name des Benutzerkontos zur Anmeldung am LDAP.

     • Kennwort: Kennwort zum Benutzerkonto.

     • Sealing aktivieren: Gibt an, ob die Nachrichtenvertraulichkeit aktiviert ist. Aktivieren Sie die Option, wenn die gewählte Authentifizierungsmethode die Nachrichtenvertraulichkeit (Sealing) unterstützt.

     • Signing aktivieren: Gibt an, ob Nachrichtenintegrität aktiviert ist. Aktivieren Sie die Option, wenn die gewählte Authentifizierungsmethode die Nachrichtenintegrität (Signing) unterstützt.

     • Clientzertifikat: Wählen Sie ein Zertifikat. Die Zertifikate werden aus den Benutzerzertifikaten (Zertifikatsspeicher Aktueller Benutzer) des Hosts ermittelt, auf den aktuell verbunden wurde. Dies ist entweder der lokale Computer auf dem der Synchronization Editor gestartet wurde oder der Jobserver, zu dem eine Remoteverbindung hergestellt wurde.

       HINWEIS: Stellen Sie sicher, dass das gewählte Zertifikat auch auf allen Jobservern installiert ist, die sich gegen das LDAP System verbinden sollen.

       TIPP: Über neben dem Eingabefeld werden zusätzliche Informationen zum gewählten Zertifikat angezeigt, beispielsweise Subjekt, Zertifizierungsstelle und Gültigkeitszeitraum.

   • Verschlüsselung: Legen Sie die Verschlüsselung für die Verbindung fest. Zur Auswahl stehen:

     • None: Es wird keinen Verschlüsselung verwendet.

     • SSL: Es wird eine SSL/TLS verschlüsselte Verbindung verwendet.

     • StartTLS: Es wird StartTLS zur Verschlüsselung verwendet.

   • Prüfung Serverzertifikat: Gibt an, ob bei der Verschlüsslung mittels SSL oder StartTLS das Serverzertifikat geprüft werden soll.

     HINWEIS: Das Serverzertifikat muss gültig sein. Das Zertifikat der Stammzertifizierungsstelle muss als Computerzertifikat (Zertifikatsspeicher Lokaler Computer) auf dem Host, auf dem der Synchronization Editor gestartet wurde oder auf dem Jobserver, zu dem eine Remoteverbindung hergestellt wurde, vorhanden sein. Stellen Sie sicher, dass das Zertifikat auch auf allen Jobservern installiert ist, die sich gegen das LDAP System verbinden sollen.

   • Protokollversion: Version des LDAP Protokolls. Standardwert ist 3.

4. Auf der Seite Auswahl der Schemaquelle wählen Sie die Quelle für die Bereitstellung des Schemainformationen. Zur Auswahl stehen:

   • Load schema from LDAP Server: Das Schema wird vom LDAP Server geladen. (Standard)

   • Load schema from given LDIF string: Falls das Schema des LDAP Servers nicht verfügbar ist, können Sie eine alternative Quelle angeben.

   Schema des LDAP Servers laden (Standard)

   Um das Schema des Servers zu laden (Standard)

   1. Wählen Sie in der Auswahlliste Quelle den Eintrag Load schema from LDAP Server.

   2. (Optional) Klicken Sie .

   3. (Optional) Um das Schema zu prüfen, klicken Sie .

      Fehler, die beim Analysieren des Schemas gefunden werden, werden im Bereich Schema Parserfehler angezeigt.

   Schema aus einer LDIF Zeichenkette laden

   Um das Schema aus einer LDIF Zeichenkette zu laden

   1. Wählen Sie unter Quelle den Eintrag Load schema from given LDIF string.

   2. Erfassen Sie unter Eindeutige Kennung eine Bezeichnung für die Schemaquelle.

   3. Fügen Sie die Schemadefinition direkt in das Eingabefeld ein.

      - ODER -

      Klicken Sie und wählen Sie die Datei, die das Schema enthält.

   4. Um das Schema zu prüfen, klicken Sie .

      Fehler, die beim Analysieren des Schemas gefunden werden, werden im Bereich Schema Parserfehler angezeigt. Mit Doppelklick auf eine Fehlermeldung wird zur entsprechenden Stelle in Schema gesprungen.

5. Auf der Seite Konfigurationsvoreinstellung wählen legen Sie fest, wie die Vorkonfiguration des Konnektors erfolgen soll. Anhand des erkannten Servers wird bereits eine Vorkonfiguration vorgeschlagen. Alternative können Sie die Konfiguration manuell vornehmen. In diesem Fall konfigurieren Sie Einstellungen für die Suchanfragen, die Änderung von Objekten und das Löschen von Objekten.

   • Konfigurationsvoreinstellungen verwenden: Aktivieren Sie diese Option, wenn Sie eine der vorhandenen Konfiguration für den Konnektor verwenden möchten. Anhand des erkannten LDAP Systems wird bereits eine Vorkonfiguration vorgeschlagen. Zur Auswahl stehen:

     • OpenDJ

     • Oracle DSEE

     • Microsoft AD LDS oder Active Directory

     • Novell/NetIQ eDirectory

   • Manuell konfigurieren: Aktivieren Sie diese Option, wenn Sie die Konfiguration manuell erstellen möchten. In diesem Fall werden zusätzliche Seiten angeboten, auf denen Sie die Einstellungen für die Suchanfragen, die Änderung von Objekten und das Löschen von Objekten festlegen.

     Konfiguration manuell erstellen

     1. Auf der Seite Sucheinstellungen nehmen Sie die Einstellungen für LDAP Suchanfragen vor.

        Die Suchfunktionen sind hierarchisch aufgebaut und werden in der konfigurierten Reihenfolge ausgeführt. Jede Suchfunktion wird auf das Ergebnis der vorherigen Suchfunktion angewendet. Folgende Suchfunktionen stehen zur Verfügung:

        • Default Searcher: Standardsucheinstellungen.

          • Verwende seitenweise Suche: Gibt an, ob die LDAP Objekte seitenweise geladen werden sollen. Diese Information wird automatisch durch die gewählte Vorkonfiguration ermittelt oder vom LDAP Server abgefragt. Wenn die Option aktiviert ist, erfassen Sie die Seitengröße.

          • Seitengröße: Erfassen Sie die Anzahl der maximal zu ladenden Objekte pro Seite. (Standard 500)

        • Remove spaces in distinguished names: Entfernt alle laut RFC nicht erlaubten oder nicht signifikanten Leerzeichen in definierten Namen von Objekten. (Standard)

          Wenn die Funktion nicht vorhanden ist, werden laut RFC nicht erlaubten oder nicht signifikanten Leerzeichen in definierten Namen nicht entfernt und führen unter Umständen zu Fehlern.

        • AD (LDS) Search implementation: Zusätzliche Sucheinstellungen für Active Directory Lightweight Directory Service.

          • Segmentgröße: Wenn Attribute mit einer großen Anzahl Werte von einem Microsoft basierenden LDAP Server zurückgegeben werden sollen, sendet der Server nur eine bestimmte Menge der Werte zurück (üblicherweise 1500). Um alle Werte abzufragen, müssen mehrere Abfragen mit einer Bereichseinschränkung gesendet werden.

            Die Segmentgröße bestimmt, wie viele Werte pro Abfrage zurückgeliefert werden sollen. Wenn die gewählte Segmentgröße größer ist, als die Maximalgröße, die der Server verarbeiten kann, wird die Segmentgröße automatisch angepasst.

            Erfassen Sie die zulässige Segmentgröße. (Standard 1000)

        Suchfunktionen einfügen, bearbeiten oder entfernen

        Um eine Suchfunktionen einzufügen

        1. Im Bereich Sucheinstellungen klicken Sie .

        2. Wählen Sie in der Auswahlliste die gewünschte Suchfunktion und klicken Sie .

           Über und können die Reihenfolge der Suchfunktionen ändern.

        Um eine Suchfunktion zu bearbeiten

        • Wählen Sie im Bereich Sucheinstellungen die Suchfunktion und bearbeiten Sie im unteren Bereich die entsprechende Konfiguration.

        Um eine Suchfunktion zu entfernen

        • Wählen Sie im Bereich Sucheinstellungen die Suchfunktion und klicken Sie .

     2. Auf der Seite Modifikationseinstellungen nehmen Sie zusätzliche Einstellungen zur Änderung von Objekten vor. Folgende Funktionen stehen zur Verfügung:

        • Default Modify implementation: Standardkonfiguration für die Änderung von Objekten.

        • Tolerate 'Attribute already exists' and 'no such attribute' and retry: Mit dieser Funktion werden bei der Änderung eines Objektes bereits im LDAP System vorhandene oder fehlende Attribute toleriert, beispielsweise bei der Aktualisierung von Gruppenmitgliedschaften. (Standard)

          Wenn die Funktion nicht vorhanden ist, führen Änderungen, die im LDAP System vorhandene oder fehlende Attribute betreffen, zu Fehlern.

        Modifikationseinstellungen einfügen oder entfernen

        Um eine Funktionen einzufügen

        1. Im Bereich Modifikationseinstellungen klicken Sie .

        2. Wählen Sie in der Auswahlliste die gewünschte Funktion und klicken Sie .

        Um eine Funktion zu entfernen

        • Wählen Sie im Bereich Modifikationseinstellungen die Funktion und klicken Sie .

     3. Auf der Seite Löscheinstellungen nehmen Sie zusätzliche Einstellungen für das Löschen von Objekten vor. Folgende Funktion steht zur Verfügung:

        • Default delete implementation: Standardkonfiguration für das Löschen von Objekten.

          • Verwende DeleteTree-Control bei Löschung von Einträgen: Gibt an, ob der LDAP Server beim Löschen das DeleteTree-Control senden soll, um Einträge mit untergeordneten Einträgen zu löschen. Diese Information wird automatisch durch die gewählte Vorkonfiguration ermittelt oder vom LDAP Server abgefragt.
        Löscheinstellungen bearbeiten

        Um eine Funktion zu bearbeiten

        • Wählen Sie im Bereich Löscheinstellungen die Funktion und bearbeiten Sie im unteren Bereich die entsprechende Konfiguration.

6. Auf der Seite LDAP Schemaerweiterungen konfigurieren Sie zusätzliche Schemafunktionen, die beim Laden des Schemas ausgeführt werden.

   Die Schemafunktionen sind hierarchisch aufgebaut. Eine Schemafunktion wird immer auf ihre übergeordnete Schemafunktion angewendet. Der Konnektor verarbeitet die Schemafunktionen hierarchisch von unten nach oben. Folgende Schemafunktionen sind verfügbar:

   • Load schema from LDAP Server/Load schema for LDIF string: Quelle, aus der das Schema ermittelt wird.

   • Return operational attributes: Mit dieser Schemafunktion legen Sie fest, welche Attribute zusätzlich für die LDAP Objekte ermittelt werden sollen. Funktionale Attribute werden für die Verzeichnisverwaltung verwendet. Die funktionalen Attribute werden zu jeder Schemaklasse der übergeordneten Funktion hinzugefügt.

     HINWEIS: Um die funktionalen Attribute im One Identity Manager abzubilden, sind unter Umständen kundenspezifische Erweiterungen des One Identity Manager Schemas erforderlich. Verwenden Sie dazu das Programm Schema Extension.

   • Auxillary class assigment: Mit dieser Schemafunktion weisen Sie strukturellen Klassen zusätzliche Hilfsklassen zu. Hilfsklassen sind Klassen vom Typ Auxiliary und enthalten Attribute, die die strukturelle Klasse erweitern. Die Attribute der Hilfsklassen werden wie optionale Attribute der strukturellen Klassen im Schema angeboten.

     HINWEIS: Um die Attribute der Hilfsklassen im One Identity Manager abzubilden, sind unter Umständen kundenspezifische Erweiterungen des One Identity Manager Schemas erforderlich. Verwenden Sie dazu das Programm Schema Extension.

   • Switch type of objectclasses: Mit dieser Schemafunktion können Sie den Typ einer Objektklasse ändern. Dies kann erforderlich sein, wenn ein nicht RFC-konformes LDAP System die Zuweisung mehrerer struktureller Objektklassen zu einem Eintrag zulässt obwohl nur eine strukturelle Klasse erlaubt ist.

     Mehrere zugewiesene strukturelle Klassen führen dazu, dass ein LDAP Eintrag nicht eindeutig einem Schematyp zugeordnet werden kann. Wurden strukturelle Objektklassen definiert, die lediglich als Eigenschaftserweiterungen dienen sollen (also Auxiliary-Klassen sein sollten), so kann man den Konnektor mit Hilfe dieser Einstellung dazu veranlassen, diese Objektklasse als Auxiliary zu betrachten.

     HINWEIS: Als Auxiliary konfigurierte Objektklassen werden dann nicht mehr als eigenständige Schematypen behandelt und können in Folge auch nicht separat synchronisiert werden.

   • Cache Schema: Mit dieser Schemafunktion wird das LDAP Schema lokal im Cache gehalten. Es wird empfohlen, diese Funktion möglichst nach dem Laden des Schemas anzuordnen. Dadurch kann die Synchronisation und Provisionierung von LDAP Objekten beschleunigt werden.

     Der Cache befindet sich auf dem Computer mit dem die Verbindung hergestellt wird unter %Appdata%\...\Local\One Identity\One Identity Manager\Cache\LdapConnector.

   • Load AD LDS schema extension: Mit dieser Schemafunktion werden zusätzliche Informationen geladen, die für die Synchronisation eines Active Directory Lightweight Directory Services erforderlich sind.

   Schemafunktionen einfügen, bearbeiten oder entfernen

   Um eine Schemafunktion einzufügen

   1. Im Bereich LDAP Schemaerweiterungen klicken Sie .

   2. Wählen Sie in der Auswahlliste die gewünschte Schemafunktion und klicken Sie .

      Über und können die Reihenfolge der Schemafunktionen ändern.

   Um eine Schemafunktion zu bearbeiten

   • Wählen Sie im Bereich LDAP Schemaerweiterungen die Schemafunktion und bearbeiten Sie im unteren Bereich entsprechende Konfiguration.

   Um eine Schemafunktion zu entfernen

   • Wählen Sie im Bereich LDAP Schemaerweiterungen die Schemafunktion und klicken Sie .

7. Auf der Seite Suchbasis legen Sie den Wurzeleintrag (in der Regel die Domäne) fest, der als Basis für die Suchanfragen dient. Wählen Sie in der Auswahlliste Suchbasis einen Eintrag aus oder erfassen Sie einen Wurzeleintrag.

8. Auf der letzten Seite des Systemverbindungsassistenten können Sie die Verbindungsdaten speichern.

   • Aktivieren Sie die Option Verbindung lokal speichern, um die Verbindungsdaten zu speichern. Diese können Sie bei der Einrichtung weiterer Synchronisationsprojekte nutzen.

   • Um den Systemverbindungsassistenten zu beenden und zum Projektassistenten zurückzukehren, klicken Sie Fertig.

9. Auf der Seite One Identity Manager Verbindung überprüfen Sie die Verbindungsdaten zur One Identity Manager-Datenbank. Die Daten werden aus der verbundenen Datenbank geladen. Geben Sie das Kennwort erneut ein.

   HINWEIS:

   • Wenn Sie mit einer unverschlüsselten One Identity Manager-Datenbank arbeiten und noch kein Synchronisationsprojekt in der Datenbank gespeichert ist, erfassen Sie alle Verbindungsdaten neu.

   • Wenn bereits ein Synchronisationsprojekt gespeichert ist, wird diese Seite nicht angezeigt.

10. Der Assistent lädt das Zielsystemschema. Abhängig von der Art des Zielsystemzugriffs und der Größe des Zielsystems kann dieser Vorgang einige Minuten dauern.

11. Auf der Seite Zielsystemzugriff einschränken legen Sie fest, wie der Systemzugriff erfolgen soll. Zur Auswahl stehen:

    Tabelle 6: Zielsystemzugriff festlegen

    Option	Bedeutung
    Das Zielsystem soll nur eingelesen werden.	Gibt an, ob nur ein Synchronisationsworkflow zum initialen Einlesen des Zielsystems in die One Identity Manager-Datenbank eingerichtet werden soll. Der Synchronisationsworkflow zeigt folgende Besonderheiten: Die Synchronisationsrichtung ist In den One Identity Manager. In den Synchronisationsschritten sind die Verarbeitungsmethoden nur für die Synchronisationsrichtung In den One Identity Manager definiert.
    Es sollen auch Änderungen im Zielsystem durchgeführt werden.	Gibt an, ob zusätzlich zum Synchronisationsworkflow zum initialen Einlesen des Zielsystems ein Provisionierungsworkflow eingerichtet werden soll. Der Provisionierungsworkflow zeigt folgende Besonderheiten: Die Synchronisationsrichtung ist In das Zielsystem. In den Synchronisationsschritten sind die Verarbeitungsmethoden nur für die Synchronisationsrichtung In das Zielsystem definiert. Synchronisationsschritte werden nur für solche Schemaklassen erstellt, deren Schematypen schreibbar sind.

12. Auf der Seite Synchronisationsserver wählen Sie den Synchronisationsserver, der die Synchronisation ausführen soll.

    Wenn der Synchronisationsserver noch nicht als Jobserver in der One Identity Manager-Datenbank bekannt gegeben wurde, können Sie einen neuen Jobserver anlegen.

    1. Klicken Sie , um einen neuen Jobserver anzulegen.

    2. Erfassen Sie die Bezeichnung des Jobservers und den vollständigen Servernamen gemäß DNS-Syntax.

    3. Klicken Sie OK.

       Der Synchronisationsserver wird als Jobserver für das Zielsystem in der One Identity Manager-Datenbank bekannt gegeben.

    4. HINWEIS: Stellen Sie nach dem Speichern des Synchronisationsprojekts sicher, dass dieser Server als Synchronisationsserver eingerichtet ist.

13. Um den Projektassistenten zu beenden, klicken Sie Fertig.

    Es wird ein Standardzeitplan für regelmäßige Synchronisationen erstellt und zugeordnet. Aktivieren Sie den Zeitplan für die regelmäßige Synchronisation.

    Das Synchronisationsprojekt wird erstellt, gespeichert und sofort aktiviert.

    HINWEIS:

    • Beim Aktivieren wird eine Konsistenzprüfung durchgeführt. Wenn dabei Fehler auftreten, erscheint eine Meldung. Sie können entscheiden, ob das Synchronisationsprojekt dennoch aktiviert werden soll.

      Bevor Sie das Synchronisationsprojekt nutzen, prüfen Sie die Fehler. In der Ansicht Allgemein auf der Startseite des Synchronization Editor klicken Sie dafür Projekt prüfen.

    • Wenn das Synchronisationsprojekt nicht sofort aktiviert werden soll, deaktivieren Sie die Option Synchronisationsprojekt speichern und sofort aktivieren. In diesem Fall speichern Sie das Synchronisationsprojekt manuell vor dem Beenden des Synchronization Editor.

    • Die Verbindungsdaten zum Zielsystem werden in einem Variablenset gespeichert und können bei Bedarf im Synchronization Editor in der Kategorie Konfiguration > Variablen angepasst werden.

Verwandte Themen

• Benötigte Informationen für die Erstellung eines Synchronisationsprojektes
• Benutzer und Berechtigungen für die Synchronisation mit einem LDAP Verzeichnis
• Besonderheiten für die Synchronisation eines Active Directory Lightweight Directory Services
• Besonderheiten für die Synchronisation mit Oracle Directory Server Enterprise Edition
• Einrichten des LDAP Synchronisationsservers
• Synchronisationsprotokoll konfigurieren
• Anpassen der Synchronisationskonfiguration für LDAP-Umgebungen
• Erweiterte Schemakonfiguration mit dem LDAP Konnektor V2
• Aufgaben nach einer Synchronisation
• OpenDJ Projektvorlage für den LDAP Konnektor V2

• Active Directory Lightweight Directory Services Projektvorlage für den LDAP Konnektor V2

• Oracle Directory Server Enterprise Edition Projektvorlage für den LDAP Konnektor V2
• Generische Projektvorlage für den LDAP Konnektor V2
• Einstellungen des LDAP Konnektors V2