Chat now with support
Chat mit Support

Identity Manager 8.2 - Administrationshandbuch für die Anbindung einer LDAP-Umgebung

Über dieses Handbuch Verwalten einer LDAP-Umgebung Synchronisieren eines LDAP Verzeichnisses
Einrichten der Initialsynchronisation mit einem LDAP Verzeichnis Anpassen der Synchronisationskonfiguration für LDAP-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren
Managen von LDAP Benutzerkonten und Personen Managen von Mitgliedschaften in LDAP Gruppen Bereitstellen von Anmeldeinformationen für LDAP Benutzerkonten Abbildung von LDAP Objekten im One Identity Manager
LDAP Domänen LDAP Containerstrukturen LDAP Benutzerkonten LDAP Gruppen LDAP Computer Berichte über LDAP Objekte
Behandeln von LDAP Objekten im Web Portal Basisdaten für die Verwaltung einer LDAP-Umgebung Fehlerbehebung Konfigurationsparameter für die Verwaltung einer LDAP-Umgebung Standardprojektvorlagen für LDAP Einstellungen des generischen LDAP Konnektors Einstellungen des LDAP Konnektors V2

Einstellungen des generischen LDAP Konnektors

Für die Systemverbindung mit dem generischen LDAP Konnektor werden die folgenden Einstellungen konfiguriert.

HINWEIS: Einige der Einstellungen können Sie nur setzen, wenn Sie auf der Startseite des Systemverbindungsassistenten die Option Erweiterte Einstellungen konfigurieren (Expertenmodus) aktivieren.

Tabelle 47: Einstellungen des generischen LDAP Konnektors

Einstellung

Bedeutung

Server

IP-Adresse oder vollständiger Name des LDAP Servers, gegen den sich der Synchronisationsserver verbindet, um auf die LDAP Objekte zuzugreifen.

Variable: CP_Server

Port

Kommunikationsport auf dem Server.

Standard: 389

Variable: CP_Port

Authentifizierungsart

Authentifizierungsmethode zur Anmeldung am LDAP System. Zulässig sind:

  • Basic: Die Standardauthentifizierung wird verwendet.

  • Negotiate: Die Negotiate-Authentifizierung von Microsoft wird verwendet.

  • Anonymous: Die Verbindung erfolgt ohne Übergabe von Anmeldeinformationen.

  • Kerberos: Die Kerberos-Authentifizierung wird verwendet.

  • NTLM: Die Windows NT-Abfrage/Rückmeldung-Authentifizierung wird verwendet.

Standard: Basic

Variable: CP_AuthenticationType

Weitere Informationen zu den Authentifizierungsarten finden Sie in der MSDN Library.

Benutzername

Name des Benutzerkontos zur Anmeldung am LDAP.

Variable: CP_Username

Kennwort

Kennwort zum Benutzerkonto.

Variable: CP_Password

Sealing verwenden

Gibt an, ob die Nachrichtenvertraulichkeit aktiviert ist.

Signing verwenden

Gibt an, ob Nachrichtenintegrität aktiviert ist.

SSL verwenden

Gibt an, ob eine SSL/TLS verschlüsselte Verbindung verwendet wird.

Variable: CP_UseSsl

StartTLS verwenden

Gibt an, ob eine StartTLS zur Verschlüsselung verwendet wird.

Variable: CP_UseStartTls

Protokollversion

Version des LDAP Protokolls.

Standard: 3

Suchbasis

Basis für die Suchanfragen, in der Regel die LDAP Domäne.

Variable: CP_RootEntry

Anfrage Timeout

Timeout für LDAP Anfragen in Sekunden.

Standard: 3600

Variable: CP_ClientTimeout

Verwende seitenweise Suche

Gibt an, ob die LDAP Objekte seitenweise geladen werden sollen. Wenn die Option aktiviert ist (Standard), erfassen Sie die Seitengröße.

Seitengröße

Anzahl der maximal zu ladenden Objekte pro Seite.

Standard: 500

Verwende DeleteTree-Control beim Löschen

Gibt an, ob der LDAP Server beim Löschen das DeleteTree-Control senden soll, um Einträge mit untergeordneten Einträgen zu löschen.

Variable:CP_LDAP_UseDeleteTree

LDAP Schema im lokalen Cache speichern

Gibt an, ob das LDAP Schema lokal im Cache gehalten werden soll. Dadurch kann die Synchronisation und Provisionierung von LDAP Objekten beschleunigt werden.

Der Cache befindet sich auf dem Computer mit dem die Verbindung hergestellt wird unter %Appdata%\...\Local\One Identity\One Identity Manager\Cache\LdapConnector.

Standard: False

Variable: CP_CacheSchema

Attribut für die Objektidentifikation

Attribut, mit dem Objekte eindeutig im LDAP zu identifizieren sind. Das Attribut muss eindeutig sein und an allen Objekten im LDAP vorhanden sein.

Standard: entryUUID

Variable: CP_Guid_Attribute

Revisionsattribut

Attribute, die für Revisionsfilterung genutzt werden.

Standard: createTimestamp, modifyTimestamp

Hilfsklassen definieren

Mit dieser Schemafunktion können Sie den Typ einer Objektklasse ändern. Dies kann erforderlich sein, wenn ein nicht RFC-konformes LDAP System die Zuweisung mehrerer struktureller Objektklassen zu einem Eintrag zulässt obwohl nur eine strukturelle Klasse erlaubt ist.

Mehrere zugewiesene strukturelle Klassen führen dazu, das ein LDAP Eintrag nicht eindeutig einem Schematyp zugeordnet werden kann. Wurden strukturelle Objektklassen definiert, die lediglich als Eigenschaftserweiterungen dienen sollen (also Auxiliary-Klassen sein sollten), so kann man den Konnektor mit Hilfe dieser Einstellung dazu veranlassen, diese Objektklasse als Auxiliary zu betrachten.

HINWEIS: Als Auxiliary konfigurierte Objektklassen werden dann nicht mehr als eigenständige Schematypen behandelt und können in Folge auch nicht separat synchronisiert werden.

Virtuelle Klassen Zusätzliche virtuelle Klassen. Zur Unterstützung von LDAP Systemen, die nicht RFC-konform sind und mehrere strukturellen Klassen je Objekt erlauben.
Server unterstützt Umbenennung von Einträgen

Gibt an, ob der die Umbenennung von Einträgen unterstützt.

Standard: False

Server unterstützt Verschiebung von Einträgen

Gibt an, ob der das Verschieben von Einträgen unterstützt.

Standard: False

Hilfsklassen zuordnen

Zuweisung zusätzlicher Hilfsklassen an strukturelle Klassen. Hilfsklassen sind Klassen vom Typ Auxiliary und enthalten Attribute, die die strukturelle Klasse erweitern. Die Attribute der Hilfsklassen werden wie optionale Attribute der strukturellen Klassen im Schema angeboten.

HINWEIS: Um die Attribute der Hilfsklassen im One Identity Manager abzubilden, sind unter Umständen kundenspezifische Erweiterungen des One Identity Manager Schemas erforderlich. Verwenden Sie dazu das Programm Schema Extension.

Funktionale Attribute

Attribute, die zusätzlich für die LDAP Objekte ermittelt werden sollen. Funktionale Attribute werden für die Verzeichnisverwaltung verwendet. Die funktionalen Attribute werden zu jeder Schemaklasse der übergeordneten Funktion hinzugefügt.

HINWEIS: Um die funktionalen Attribute im One Identity Manager abzubilden, sind unter Umständen kundenspezifische Erweiterungen des One Identity Manager Schemas erforderlich. Verwenden Sie dazu das Programm Schema Extension.

Erkennung dynamischer Gruppen Attribute, welche die URL mit Suchinformationen enthalten, um die Mitglieder von dynamischen Gruppen zu bestimmen, beispielsweise memberURL.

Kennwortattribut

Attribut, welches das Kennwort eines Benutzerkontos repräsentiert, beispielsweise userPassword.

Kennwortänderungsmethode

Methode, die verwendet wird, um Kennwörter zu ändern. Zulässige Werte sind:

  • Default: Standardmethode zum Ändern der Kennwörter. Das Kennwort wird direkt auf das Kennwortattribut geschrieben.

  • ADLDS: Kennwortänderungsmethode die für Systeme verwendet wird, die auf MicrosoftActive Directory Lightweight Directory Services (AD LDS) basieren.

LDAP Domäne

Eindeutige Bezeichnung der Domäne in der Form:

<DN Bestandteil 1> (<Server aus Verbindungsparametern>)

Variable: $IdentDomain$

Einstellungen des LDAP Konnektors V2

Für die Systemverbindung mit dem LDAP Konnektor V2 werden die folgenden Einstellungen konfiguriert.

HINWEIS: Einige der Einstellungen können Sie nur setzen, wenn Sie auf der Startseite des Systemverbindungsassistenten die Option Erweiterte Einstellungen anzeigen aktivieren.

Tabelle 48: Einstellungen des LDAP Konnektors V2

Einstellung

Bedeutung

Server

IP-Adresse oder vollständiger Name des LDAP Servers, gegen den sich der Synchronisationsserver verbindet, um auf die LDAP Objekte zuzugreifen.

Variable: CP_SdspLdapDriverDescriptorServer

Port

Kommunikationsport auf dem Server.

Standard: 389

Variable: CP_SdspLdapDriverDescriptorPort

Authentifizierungsart

Authentifizierungsmethode zur Anmeldung am LDAP System. Zulässig sind:

  • Basic: Die Standardauthentifizierung wird verwendet.

  • Negotiate: Die Negotiate-Authentifizierung von Microsoft wird verwendet.

  • Anonymous: Die Verbindung erfolgt ohne Übergabe von Anmeldeinformationen.

  • Kerberos: Die Kerberos-Authentifizierung wird verwendet.

  • NTLM: Die Windows NT-Abfrage/Rückmeldung-Authentifizierung wird verwendet.

  • External: Als externe Methode wird die zertifikatsbasierte Authentifizierung verwendet.

Standard: Basic

Variable: CP_SdspLdapDriverDescriptorAuthenticationType

Weitere Informationen zu den Authentifizierungsarten finden Sie in der MSDN Library.

Benutzername

Name des Benutzerkontos zur Anmeldung am LDAP.

Variable: CP_SdspLdapDriverDescriptorUsername

Kennwort

Kennwort zum Benutzerkonto.

Variable: CP_SdspLdapDriverDescriptorPassword

Sealing verwenden

Gibt an, ob die Nachrichtenvertraulichkeit aktiviert ist.

Variable: CP_SdspLdapDriverDescriptorUseSealing

Signing verwenden

Gibt an, ob Nachrichtenintegrität aktiviert ist.

Variable: CP_SdspLdapDriverDescriptorUseSigning

SSL verwenden

Gibt an, ob eine SSL/TLS verschlüsselte Verbindung verwendet wird.

Variable: CP_SdspLdapDriverDescriptorUseSsl

StartTLS verwenden

Gibt an, ob eine StartTLS zur Verschlüsselung verwendet wird.

Variable: CP_SdspLdapDriverDescriptorUseStartTls

Prüfung Serverzertifikat

Gibt an, ob bei der Verschlüsslung mittels SSL oder StartTLS das Serverzertifikat geprüft werden soll.

HINWEIS: Das Serverzertifikat muss gültig sein. Das Zertifikat der Stammzertifizierungsstelle muss als Computerzertifikat (Zertifikatsspeicher Lokaler Computer) auf dem Host, auf dem der Synchronization Editor gestartet wurde oder auf dem Jobserver, zu dem eine Remoteverbindung hergestellt wurde, vorhanden sein. Stellen Sie sicher, dass das Zertifikat auch auf allen Jobservern installiert ist, die sich gegen das LDAP System verbinden sollen.

Variable: CP_SdspLdapDriverDescriptorVerifyServerCertificate

Protokollversion

Version des LDAP Protokolls.

Standard: 3

Variable: CP_SdspLdapDriverDescriptorProtocolVersion

Suchbasis

Basis für die Suchanfragen, in der Regel die LDAP Domäne.

Variable: CP_LdapContextDescriptorBaseDn

Anfrage Timeout

Timeout für LDAP Anfragen in Sekunden.

Variable: CP_SdspLdapDriverDescriptorClientTimeout

UID der LDAP Domäne

Eindeutige Kennung für die LDAP Domäne in der Tabelle LDPDomain.

Variable: UID_LDPDomain

Default Searcher: Verwende seitenweise Suche

Gibt an, ob die LDAP Objekte seitenweise geladen werden sollen. Diese Information wird automatisch durch die gewählte Vorkonfiguration ermittelt oder vom LDAP Server abgefragt. Wenn die Option aktiviert ist, erfassen Sie die Seitengröße.

Variable: CP_SdspDefaultSearchDescriptorUsePagedSearch

Default Searcher: Seitengröße

Anzahl der maximal zu ladenden Objekte pro Seite.

Standard: 500

Variable: CP_SdspDefaultSearchDescriptorPageSize

AD (LDS) Search implementation: Segmentgröße

Wenn Attribute mit einer großen Anzahl Werte von einem Microsoft basierenden LDAP Server zurückgegeben werden sollen, sendet der Server nur eine bestimmte Menge der Werte zurück (üblicherweise 1500). Um alle Werte abzufragen, müssen mehrere Abfragen mit einer Bereichseinschränkung gesendet werden.

Die Segmentgröße bestimmt, wie viele Werte pro Abfrage zurückgeliefert werden sollen. Wenn die gewählte Segmentgröße größer ist, als die Maximalgröße, die der Server verarbeiten kann, wird die Segmentgröße automatisch angepasst.

Standard: 1000

Variable: CP_AdLdsSearchFeatureDescriptorChunkSize

Default delete implementation: Verwende DeleteTree-Control bei Löschung von Einträgen

Gibt an, ob der LDAP Server beim Löschen das DeleteTree-Control senden soll, um Einträge mit untergeordneten Einträgen zu löschen. Diese Information wird automatisch durch die gewählte Vorkonfiguration ermittelt oder vom LDAP Server abgefragt.

Variable:CP_SdspDefaultDeleteDescriptorUseDeleteTree

Load schema from LDAP Server

Das Schema wird vom LDAP Server geladen. (Standard)

Load schema from given LDIF string

Alternative Quelle, aus der das Schema geladen wird, falls das Schema des LDAP Servers nicht verfügbar ist. Die LDIF Zeichenkette wird in der Systemverbindung (DPRSystemConnection.ConnectionParameter) gespeichert. Damit muss keine *.ldif-Datei verteilt werden.

Remove spaces in distinguished names

Die Funktion entfernt alle laut RFC nicht erlaubten oder nicht signifikanten Leerzeichen in definierten Namen von Objekten.

Wenn die Funktion nicht vorhanden ist, werden laut RFC nicht erlaubte oder nicht signifikante Leerzeichen in definierten Namen nicht entfernt und führen unter Umständen zu Fehlern.

Standard: True

Tolerate 'Attribute already exists' and 'no such attribute' and retry

Mit dieser Funktion werden bei der Änderung eines Objektes bereits im LDAP System vorhandene oder fehlende Attribute toleriert, beispielsweise bei der Aktualisierung von Gruppenmitgliedschaften.

Wenn die Funktion nicht vorhanden ist, führen Änderungen, die im LDAP System vorhandene oder fehlende Attribute betreffen, zu Fehlern.

Standard: True

Return operational attributes

Mit dieser Schemafunktion legen Sie fest, welche Attribute zusätzlich für die LDAP Objekte ermittelt werden sollen. Funktionale Attribute werden für die Verzeichnisverwaltung verwendet. Die funktionalen Attribute werden zu jeder Schemaklasse der übergeordneten Funktion hinzugefügt.

HINWEIS: Um die funktionalen Attribute im One Identity Manager abzubilden, sind unter Umständen kundenspezifische Erweiterungen des One Identity Manager Schemas erforderlich. Verwenden Sie dazu das Programm Schema Extension.

Auxillary class assigment

Mit dieser Schemafunktion weisen Sie strukturellen Klassen zusätzliche Hilfsklassen zu. Hilfsklassen sind Klassen vom Typ Auxiliary und enthalten Attribute, die die strukturelle Klasse erweitern. Die Attribute der Hilfsklassen werden wie optionale Attribute der strukturellen Klassen im Schema angeboten.

HINWEIS: Um die Attribute der Hilfsklassen im One Identity Manager abzubilden, sind unter Umständen kundenspezifische Erweiterungen des One Identity Manager Schemas erforderlich. Verwenden Sie dazu das Programm Schema Extension.

Switch type of objectclasses

Mit dieser Schemafunktion können Sie den Typ einer Objektklasse ändern. Dies kann erforderlich sein, wenn ein nicht RFC-konformes LDAP System die Zuweisung mehrerer struktureller Objektklassen zu einem Eintrag zulässt obwohl nur eine strukturelle Klasse erlaubt ist.

Mehrere zugewiesene strukturelle Klassen führen dazu, das ein LDAP Eintrag nicht eindeutig einem Schematyp zugeordnet werden kann. Wurden strukturelle Objektklassen definiert, die lediglich als Eigenschaftserweiterungen dienen sollen (also Auxiliary-Klassen sein sollten), so kann man den Konnektor mit Hilfe dieser Einstellung dazu veranlassen, diese Objektklasse als Auxiliary zu betrachten.

HINWEIS: Als Auxiliary konfigurierte Objektklassen werden dann nicht mehr als eigenständige Schematypen behandelt und können in Folge auch nicht separat synchronisiert werden.

Cache Schema

Mit dieser Schemafunktion wird das LDAP Schema lokal im Cache gehalten. Es wird empfohlen, diese Funktion möglichst nach dem Laden des Schemas anzuordnen. Dadurch kann die Synchronisation und Provisionierung von LDAP Objekten beschleunigt werden.

Der Cache befindet sich auf dem Computer mit dem die Verbindung hergestellt wird unter %Appdata%\...\Local\One Identity\One Identity Manager\Cache\LdapConnector.

Load AD LDS schema extension

Mit dieser Schemafunktion werden zusätzliche Informationen geladen, die für die Synchronisation eines Active Directory Lightweight Directory Services erforderlich sind.

Treiber

Treiber, der zum Zugriff auf das LDAP System verwendet werden soll.

Standard: LDAP via Windows API (SdspLdapDriver)

LDAP Domäne

Eindeutige Bezeichnung der Domäne in der Form:

<DN Bestandteil 1> (<Server aus Verbindungsparametern>)

Variable: $IdentDomain$

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen