Chat now with support
Chat mit Support

Identity Manager 9.1 - Administrationshandbuch für die Anbindung einer LDAP-Umgebung

Über dieses Handbuch Verwalten einer LDAP-Umgebung Synchronisieren eines LDAP Verzeichnisses
Einrichten der Initialsynchronisation mit einem LDAP Verzeichnis Anpassen der Synchronisationskonfiguration für LDAP-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von LDAP Benutzerkonten und Personen Managen von Mitgliedschaften in LDAP Gruppen Bereitstellen von Anmeldeinformationen für LDAP Benutzerkonten Abbildung von LDAP Objekten im One Identity Manager
LDAP Domänen LDAP Containerstrukturen LDAP Benutzerkonten LDAP Gruppen LDAP Computer Berichte über LDAP Objekte
Behandeln von LDAP Objekten im Web Portal Basisdaten für die Verwaltung einer LDAP-Umgebung Fehlerbehebung Konfigurationsparameter für die Verwaltung einer LDAP-Umgebung Standardprojektvorlagen für LDAP Einstellungen des LDAP Konnektors V2

Besonderheiten für die Synchronisation eines Active Directory Lightweight Directory Services

Bei der Einrichtung eines Synchronisationsprojektes mit einem Active Directory Lightweight Directory Service (AD LDS) sind einige Besonderheiten zu beachten.

AD LDS unterstützt verschiedene Authentifizierungswege. Detaillierte Informationen zur AD LDS Authentifizierung finden Sie in der Microsoft TechNet Library.

Abhängig von der gewählten Authentifizierungsmethode ergeben sich unterschiedliche Einstellungen, die bei der Einrichtung eines Synchronisationsprojektes zu beachten sind.

Authentifizierung mittels AD LDS Sicherheitsprinzipal

Für die Authentifizierungsmethode wird ein Benutzerkonto verwendet, das sich direkt im AD LDS befindet.

  • Das Benutzerkonto muss Mitglied in der Gruppe Administratoren der AD LDS Instanz sein.

  • Das Benutzerkonto muss ein Kennwort besitzen.

    Ist kein Kennwort angegeben, erfolgt einen anonyme Authentifizierung. Dies führt dazu, dass das Schema nicht gelesen werden kann und die Einrichtung des Synchronisationsprojektes fehlschlägt.

Für die Einrichtung des Synchronisationsprojektes beachten Sie Folgendes.

  • Die Authentifizierung muss mit SSL Verschlüsselung erfolgen.

  • Als Authentifizierungsmethode muss Basic verwendet werden.

  • Der Benutzername des Benutzerkontos für die Anmeldung am AD LDS ist mit dem definierten LDAP Namen (DN) anzugeben.

    Syntaxbeispiel: CN=Administrator,OU=Users,DC=Domain,DC=com

Authentifizierung mit Windows Sicherheitsprinzipal

Für die Authentifizierung wird ein Benutzerkonto verwendet, das sich auf einem lokalen Computer oder in einer Active Directory Domäne befindet.

  • Das Benutzerkonto muss Mitglied in der Gruppe Administratoren der AD LDS Instanz sein.

Für die Einrichtung des Synchronisationsprojektes beachten Sie Folgendes.

  • Als Authentifizierungsmethode muss Negotiate verwendet werden.

  • Erfolgt die Authentifizierung ohne SSL Verschlüsselung, müssen die Nachrichtenvertraulichkeit (Sealing) und die Nachrichtenintegrität (Signing) aktiviert sein.

  • Erfolgt die Authentifizierung mit SSL Verschlüsselung, sollten die Nachrichtenvertraulichkeit (Sealing) und die Nachrichtenintegrität (Signing) deaktiviert sein.

  • Der Benutzername des Benutzerkonto für die Anmeldung am AD LDS ist mit dem Benutzerprinzipalnamen (User Prinicpal Name) anzugeben.

    Syntaxbeispiel: Administrator@<domain.com>

Authentifizierung mittels AD LDS Proxyobjekt

Für die Authentifizierung wird ein Benutzerkonto verwendet, das im AD LDS vorhanden ist und als Bindungsumleitung für ein lokales Benutzerkonto oder ein Benutzerkonto in einer Active Directory Domäne dient. Das lokale Benutzerkonto oder das Active Directory Benutzerkonto ist im AD LDS Proxyobjekt als Sicherheits-ID (SID) referenziert.

  • Das Benutzerkonto (AD LDS Proxyobjekt) muss Mitglied in der Gruppe Administratoren der AD LDS Instanz sein.

Für die Einrichtung des Synchronisationsprojektes beachten Sie Folgendes.

  • Die Authentifizierung muss mit SSL Verschlüsselung erfolgen.

  • Als Authentifizierungsmethode muss Basic verwendet werden.

  • Für die Anmeldung am AD LDS ist der Benutzername des AD LDS Proxyobjektes zu verwenden.

  • Der Benutzername ist mit dem definierten LDAP Namen (DN) anzugeben.

    Syntaxbeispiel: CN=Administrator,OU=Users,DC=Domain,DC=com

  • Als Kennwort für die Anmeldung ist das Kennwort des Benutzerkontos anzugeben, auf welches das AD LDS Proxyobjekt verweist.

Besonderheiten für die Synchronisation mit Oracle Directory Server Enterprise Edition

Oracle Directory Server Enterprise Edition (DSEE) unterstützt keine seitenweise Suche. Aus diesem Grund muss der Konnektor in der Lage sein, die Liste der zu synchronisierenden Objekte eines Schematyps komplett auf einmal zu laden. Bei der Verwendung eines herkömmlichen Oracle DSEE LDAP Benutzers werden in größeren Verzeichnissen serverseitige Limits erreicht, die einen solchen Ladeversuch fehlschlagen lassen.

Mögliche Meldung:

Size Limit exceeded

Time Limit exceeded

Aus diesem Grund müssen diese Limits für den Synchronisationsbenutzer entfernt werden. Hierzu sind im Verzeichnis am Benutzer für die Synchronisation folgende LDAP Attribute zu setzen:

  • nsTimeLimit: Maximale Abfragezeit für eine Suchanfrage in Sekunden. Dieser Wert kann je nach Größe des Verzeichnisses erhöht oder verringert werden. (Empfehlung: 7200)

  • nsSizeLimit: Maximale Anzahl von Suchergebnissen für eine Suchanfrage. Dieser Wert kann je nach Größe des Verzeichnisses erhöht oder verringert werden. (Empfehlung: 500000)

Einrichten des LDAP Synchronisationsservers

Vom Synchronisationsserver werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet.

Auf dem Synchronisationsserver muss der One Identity Manager Service mit dem LDAP Konnektor installiert werden.

Detaillierte Informationen zum Thema

Systemanforderungen für den LDAP Synchronisationsserver

Für die Einrichtung der Synchronisation mit einer LDAP-Umgebung muss ein Server zur Verfügung gestellt werden, auf dem die nachfolgend genannte Software installiert ist:

  • Windows Betriebssystem

    Unterstützt werden die Versionen:

    • Windows Server 2022

    • Windows Server 2019

    • Windows Server 2016

    • Windows Server 2012 R2

    • Windows Server 2012

  • Microsoft .NET Framework Version 4.8 oder höher

    HINWEIS: Beachten Sie die Empfehlungen des Zielsystemherstellers.
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen