Chat now with support
Chat mit Support

Identity Manager 9.0 LTS - Administrationshandbuch für die Anbindung einer LDAP-Umgebung

Über dieses Handbuch Verwalten einer LDAP-Umgebung Synchronisieren eines LDAP Verzeichnisses
Einrichten der Initialsynchronisation mit einem LDAP Verzeichnis Anpassen der Synchronisationskonfiguration für LDAP-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von LDAP Benutzerkonten und Personen Managen von Mitgliedschaften in LDAP Gruppen Bereitstellen von Anmeldeinformationen für LDAP Benutzerkonten Abbildung von LDAP Objekten im One Identity Manager
LDAP Domänen LDAP Containerstrukturen LDAP Benutzerkonten LDAP Gruppen LDAP Computer Berichte über LDAP Objekte
Behandeln von LDAP Objekten im Web Portal Basisdaten für die Verwaltung einer LDAP-Umgebung Fehlerbehebung Konfigurationsparameter für die Verwaltung einer LDAP-Umgebung Standardprojektvorlagen für LDAP Einstellungen des LDAP Konnektors V2

Fehlerbehebung

Mögliche Fehler bei der Synchronisation einer OpenDJ-Umgebung

Problem

Bei der Synchronisation einer OpenDJ-Umgebung tritt ein Fehler auf, wenn ein Kennwort mit einer öffnenden geschweiften Klammer beginnt.

Ursache

Der LDAP Server interpretiert ein generiertes Kennwort in der Form {<abc>}<def> als Hashwert. Der LDAP Server lässt die Übergabe von gehashten Kennwörtern jedoch nicht zu.

Lösung

LDAP Server können so konfiguriert werden, dass ein bereits gehashtes Kennwort in der Form {<Algorithmus>}Hash übergeben wird.

  • Auf dem LDAP Server: Erlauben Sie die Übergabe von bereits gehashten Kennwörtern.

  • Im Synchronisationsprojekt: Übergeben Sie nur gehashte Kennwörter. Nutzen Sie Skripteigenschaften für das Mapping von Schemaeigenschaften, die Kennwörter enthalten. Erzeugen Sie im Skript den Hashwert der Kennwörter.

Fehler beim mehrfachen Anbinden von LDAP Systemen mit dem gleichen definierten Namen

Probleme

Beim Erstellen mehrerer Synchronisationsprojekte für die Anbindung einer LDAP Domäne oder bei der Anbindung von Instanzen mit identischer Bezeichnung tritt eine Fehlermeldung auf.

Die Domäne mit dem definierten Namen '{0}' wird bereits im Synchronisationsprojekt '{1}' verwendet. Je Domäne und Konnektor ist nur ein Synchronisationsprojekt zulässig.

Ursache

Dieses Problem tritt auf, wenn die Synchronisationsprojekte mit einer älteren One Identity Manager Version erstellt wurden.

Zur Suche von LDAP Domänen in der Datenbank wird die Bezeichnung der Domäne (Ident_Domain) verwendet. In Synchronisationsprojekten, die mit einer älteren One Identity Manager Version erstellt wurden, wurde die Bezeichnung der LDAP Domänen in der Form <DN Bestandteil 1> gebildet.

Lösung

  • Mit neu erstellten Synchronisationsprojekten wird die Bezeichnung der LDAP Domänen in der Form <DN Bestandteil 1> (<Server aus Verbindungsparametern>) gebildet.

  • Für bestehende Synchronisationsprojekte, die mit dem generischen LDAP Konnektor erstellt wurden, wenden Sie den Patch VPR#33513 an. Damit wird eine Variable samt Wert für $IdentDomain$ in allen Variablensets erzeugt und der Scope auf DistinguishedName = '$CP_RootEntry$' and Ident_Domain='$IdentDomain$' geändert.

    Ausführliche Informationen zum Anwenden von Patches finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

  • Bereits in der Datenbank vorhandene LDAP Domänen werden nicht umbenannt. Passen Sie die Bezeichnung der LDAP Domänen (Ident_Domain) gegebenenfalls manuell an. Weitere Informationen finden Sie unter LDAP Domänen.

HINWEIS: Bei Objekten, die aus verschiedenen Verzeichnisdiensten importiert werden, und in der One Identity Manager-Datenbank den identischen kanonischen Namen und definierten Namen besitzen, kann es zu doppelten Anzeigewerten in laufenden Attestierungen, beispielsweise bei Systemberechtigungen, und in Berichten über Zielsystemobjekten und Zielsystemberechtigungen kommen. Gegebenenfalls müssen kundenspezifische Anpassungen an den Attestierungsverfahren und Berichten vorgenommen werden.

Konfigurationsparameter für die Verwaltung einer LDAP-Umgebung

Mit der Installation des Moduls sind zusätzlich folgende Konfigurationsparameter im One Identity Manager verfügbar.

Tabelle 39: Konfigurationsparameter für die Synchronisation mit einem LDAP-Verzeichnis
Konfigurationsparameter Beschreibung

TargetSystem | LDAP

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Verwaltung des Zielsystems LDAP. Ist der Parameter aktiviert, sind die Bestandteile des Zielsystems verfügbar. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.

Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

TargetSystem | LDAP | Accounts

Erlaubt die Konfiguration der Angaben zu Benutzerkonten.

TargetSystem | LDAP | Accounts
| InitialRandomPassword

Gibt an, ob bei Neuanlage von Benutzerkonten ein zufällig generiertes Kennwort vergeben wird. Das Kennwort muss mindestens die Zeichenklassen enthalten, die in der zugewiesenen Kennwortrichtlinie definiert sind.

TargetSystem | LDAP | Accounts |
InitialRandomPassword | SendTo

Person, die eine E-Mail mit dem zufällig generierten Kennwort erhalten soll (Verantwortlicher der Kostenstelle/Abteilung/Standort/Geschäftsrolle, Verantwortlicher der Person oder XUserInserted). Ist kein Empfänger ermittelbar, dann wird an die im Konfigurationsparameter TargetSystem | LDAP | DefaultAddress hinterlegte Adresse versandt.

TargetSystem | LDAP | Accounts |
InitialRandomPassword | SendTo |
MailTemplateAccountName

Name der Mailvorlage, welche versendet wird, um Benutzer mit den Anmeldeinformationen zum Benutzerkonto zu versorgen. Es wird die Mailvorlage Person - Erstellung neues Benutzerkonto verwendet.

TargetSystem | LDAP | Accounts |
InitialRandomPassword | SendTo |
MailTemplatePassword

Name der Mailvorlage, welche versendet wird, um Benutzer mit den Informationen zum initialen Kennwort zu versorgen. Es wird die Mailvorlage Person - Initiales Kennwort für neues Benutzerkonto verwendet.

TargetSystem | LDAP | Accounts |
MailTemplateDefaultValues

Mailvorlage, die zum Senden von Benachrichtigungen genutzt wird, wenn bei der automatischen Erstellung eines Benutzerkontos Standardwerte der IT Betriebsdatenabbildung verwendet werden. Es wird die Mailvorlage Person - Erstellung neues Benutzerkonto mit Standardwerten verwendet.

TargetSystem | LDAP | Accounts |
PrivilegedAccount

Erlaubt die Konfiguration der Einstellungen für privilegierte LDAP Benutzerkonten.

TargetSystem | LDAP | Accounts |
PrivilegedAccount | UserID_Postfix

Postfix zur Bildung des Anmeldenamens für privilegierte Benutzerkonten.

TargetSystem | LDAP | Accounts |
PrivilegedAccount | UserID_Prefix

Präfix zur Bildung des Anmeldenamens für privilegierte Benutzerkonten.

TargetSystem | LDAP | Authentication

Erlaubt die Konfiguration der LDAP Authentifizierungsmodule.

Ausführliche Informationen zu den One Identity Manager Authentifizierungsmodulen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

TargetSystem | LDAP | Authentication | Authentication

Authentifizierungsmechanismus. Gültige Werte sind Secure, Encryption, SecureSocketsLayer, ReadonlyServer, Anonymous, FastBind, Signing, Sealing, Delegation und ServerBind. Die Werte können mit Komma (,) kombiniert werden. Ausführliche Informationen zu den Authentifizierungsarten finden Sie in der MSDN Library.

Standard: ServerBind

TargetSystem | LDAP | Authentication | Port

Kommunikationsport auf dem Server.

Standard: 389

TargetSystem | LDAP | Authentication | RootDN

Pipe (|) getrennte Liste von Root-Domänen, in denen das Benutzerkonto zur Authentifizierung gesucht werden soll.

Syntax:

DC=<MyDomain>|DC=<MyOtherDomain>

Beispiel:

DC=Root1,DC=com|DC=Root2,DC=de

TargetSystem | LDAP | Authentication | Server

Name des LDAP Servers.

TargetSystem | LDAP | AuthenticationV2

Erlaubt die Konfiguration der LDAP Authentifizierungsmodule.

Ausführliche Informationen zu den One Identity Manager Authentifizierungsmodulen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

TargetSystem | LDAP | AuthenticationV2 | AcceptSelfSigned

Gibt an, ob selbstsignierte Zertifikate akzeptiert werden.

TargetSystem | LDAP | AuthenticationV2 | Authentication

Authentifizierungsmethode zur Anmeldung am LDAP System. Zulässig sind:

  • Basic: Die Standardauthentifizierung wird verwendet.

  • Negotiate: Die Negotiate-Authentifizierung von Microsoft wird verwendet.

  • Kerberos: Die Kerberos-Authentifizierung wird verwendet.

  • NTLM: Die Windows NT-Abfrage/Rückmeldung-Authentifizierung wird verwendet.

Standard: Basic

Weitere Informationen zu den Authentifizierungsarten finden Sie in der MSDN Library.

TargetSystem | LDAP | AuthenticationV2 | ClientTimeout

Client-Timeout in Sekunden.

TargetSystem | LDAP | AuthenticationV2 | Port

Kommunikationsport auf dem Server.

Standard: 389

TargetSystem | LDAP | AuthenticationV2 | ProtocolVersion

Version des LDAP Protokolls. Zulässig sind die Werte 2 und 3.

Standard: 3

TargetSystem | LDAP | AuthenticationV2 | RootDN

Pipe (|) getrennte Liste von Root-Domänen, in denen das Benutzerkonto zur Authentifizierung gesucht werden soll.

Syntax:

DC=<MyDomain>|DC=<MyOtherDomain>

Beispiel:

DC=Root1,DC=com|DC=Root2,DC=de

TargetSystem | LDAP | AuthenticationV2 | Security

Sicherheit der Verbindung. Zulässige Werte sind None, SSL und STARTTLS.

TargetSystem | LDAP | AuthenticationV2 | Server

Name des LDAP Servers.

TargetSystem | LDAP | AuthenticationV2 | UseSealing

Gibt an, ob die Nachrichtenvertraulichkeit aktiviert ist.

TargetSystem | LDAP | AuthenticationV2 | UseSigning

Gibt an, ob Nachrichtenintegrität aktiviert ist.

TargetSystem | LDAP | AuthenticationV2 | VerifyServerCertificate

Gibt an, ob bei Verschlüsselung mit SSL das Serverzertifikat geprüft werden soll.

TargetSystem | LDAP | DefaultAddress

Standard-E-Mail-Adresse des Empfängers von Benachrichtigungen über Aktionen im Zielsystem.

TargetSystem | LDAP |
HardwareInGroupFromOrg

Gibt an, ob Computer aufgrund von Gruppenzuordnung zu Rollen in Gruppen aufgenommen werden.

TargetSystem | LDAP |
MaxFullsyncDuration

Maximale Laufzeit in Minuten für eine Synchronisation. Während dieser Zeit erfolgt keine Neuberechnung der Gruppenmitgliedschaften durch den DBQueue Prozessor. Bei Überschreitung der festgelegten maximalen Laufzeit werden die Berechnungen von Gruppenmitgliedschaften wieder ausgeführt.

TargetSystem | LDAP |
PersonAutoDefault

Modus für die automatische Personenzuordnung für Benutzerkonten, die außerhalb der Synchronisation in der Datenbank angelegt werden.

TargetSystem | LDAP |
PersonAutoDisabledAccounts

Gibt an, ob an deaktivierte Benutzerkonten automatisch Personen zugewiesen werden. Die Benutzerkonten erhalten keine Kontendefinition.

TargetSystem | LDAP |
PersonAutoFullSync

Modus für die automatische Personenzuordnung für Benutzerkonten, die durch die Synchronisation in der Datenbank angelegt oder aktualisiert werden.

 

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen