Bei der Synchronisation einer OpenDJ-Umgebung tritt ein Fehler auf, wenn ein Kennwort mit einer öffnenden geschweiften Klammer beginnt.
Der LDAP Server interpretiert ein generiertes Kennwort in der Form {<abc>}<def> als Hashwert. Der LDAP Server lässt die Übergabe von gehashten Kennwörtern jedoch nicht zu.
LDAP Server können so konfiguriert werden, dass ein bereits gehashtes Kennwort in der Form {<Algorithmus>}Hash übergeben wird.
Auf dem LDAP Server: Erlauben Sie die Übergabe von bereits gehashten Kennwörtern.
Im Synchronisationsprojekt: Übergeben Sie nur gehashte Kennwörter. Nutzen Sie Skripteigenschaften für das Mapping von Schemaeigenschaften, die Kennwörter enthalten. Erzeugen Sie im Skript den Hashwert der Kennwörter.
Beim Erstellen mehrerer Synchronisationsprojekte für die Anbindung einer LDAP Domäne oder bei der Anbindung von Instanzen mit identischer Bezeichnung tritt eine Fehlermeldung auf.
Die Domäne mit dem definierten Namen '{0}' wird bereits im Synchronisationsprojekt '{1}' verwendet. Je Domäne und Konnektor ist nur ein Synchronisationsprojekt zulässig.
Ursache
Dieses Problem tritt auf, wenn die Synchronisationsprojekte mit einer älteren One Identity Manager Version erstellt wurden.
Zur Suche von LDAP Domänen in der Datenbank wird die Bezeichnung der Domäne (Ident_Domain) verwendet. In Synchronisationsprojekten, die mit einer älteren One Identity Manager Version erstellt wurden, wurde die Bezeichnung der LDAP Domänen in der Form <DN Bestandteil 1> gebildet.
Lösung
Mit neu erstellten Synchronisationsprojekten wird die Bezeichnung der LDAP Domänen in der Form <DN Bestandteil 1> (<Server aus Verbindungsparametern>) gebildet.
Für bestehende Synchronisationsprojekte, die mit dem generischen LDAP Konnektor erstellt wurden, wenden Sie den Patch VPR#33513 an. Damit wird eine Variable samt Wert für $IdentDomain$ in allen Variablensets erzeugt und der Scope auf DistinguishedName = '$CP_RootEntry$' and Ident_Domain='$IdentDomain$' geändert.
Ausführliche Informationen zum Anwenden von Patches finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.
Bereits in der Datenbank vorhandene LDAP Domänen werden nicht umbenannt. Passen Sie die Bezeichnung der LDAP Domänen (Ident_Domain) gegebenenfalls manuell an. Weitere Informationen finden Sie unter LDAP Domänen.
HINWEIS: Bei Objekten, die aus verschiedenen Verzeichnisdiensten importiert werden, und in der One Identity Manager-Datenbank den identischen kanonischen Namen und definierten Namen besitzen, kann es zu doppelten Anzeigewerten in laufenden Attestierungen, beispielsweise bei Systemberechtigungen, und in Berichten über Zielsystemobjekten und Zielsystemberechtigungen kommen. Gegebenenfalls müssen kundenspezifische Anpassungen an den Attestierungsverfahren und Berichten vorgenommen werden.
Mit der Installation des Moduls sind zusätzlich folgende Konfigurationsparameter im One Identity Manager verfügbar.
Konfigurationsparameter | Beschreibung |
---|---|
TargetSystem | LDAP |
Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Verwaltung des Zielsystems LDAP. Ist der Parameter aktiviert, sind die Bestandteile des Zielsystems verfügbar. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank. Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch. |
TargetSystem | LDAP | Accounts |
Erlaubt die Konfiguration der Angaben zu Benutzerkonten. |
TargetSystem | LDAP | Accounts |
Gibt an, ob bei Neuanlage von Benutzerkonten ein zufällig generiertes Kennwort vergeben wird. Das Kennwort muss mindestens die Zeichenklassen enthalten, die in der zugewiesenen Kennwortrichtlinie definiert sind. |
TargetSystem | LDAP | Accounts | |
Person, die eine E-Mail mit dem zufällig generierten Kennwort erhalten soll (Verantwortlicher der Kostenstelle/Abteilung/Standort/Geschäftsrolle, Verantwortlicher der Person oder XUserInserted). Ist kein Empfänger ermittelbar, dann wird an die im Konfigurationsparameter TargetSystem | LDAP | DefaultAddress hinterlegte Adresse versandt. |
TargetSystem | LDAP | Accounts | |
Name der Mailvorlage, welche versendet wird, um Benutzer mit den Anmeldeinformationen zum Benutzerkonto zu versorgen. Es wird die Mailvorlage Person - Erstellung neues Benutzerkonto verwendet. |
TargetSystem | LDAP | Accounts | |
Name der Mailvorlage, welche versendet wird, um Benutzer mit den Informationen zum initialen Kennwort zu versorgen. Es wird die Mailvorlage Person - Initiales Kennwort für neues Benutzerkonto verwendet. |
TargetSystem | LDAP | Accounts | |
Mailvorlage, die zum Senden von Benachrichtigungen genutzt wird, wenn bei der automatischen Erstellung eines Benutzerkontos Standardwerte der IT Betriebsdatenabbildung verwendet werden. Es wird die Mailvorlage Person - Erstellung neues Benutzerkonto mit Standardwerten verwendet. |
TargetSystem | LDAP | Accounts | |
Erlaubt die Konfiguration der Einstellungen für privilegierte LDAP Benutzerkonten. |
TargetSystem | LDAP | Accounts | |
Postfix zur Bildung des Anmeldenamens für privilegierte Benutzerkonten. |
TargetSystem | LDAP | Accounts | |
Präfix zur Bildung des Anmeldenamens für privilegierte Benutzerkonten. |
TargetSystem | LDAP | Authentication |
Erlaubt die Konfiguration der LDAP Authentifizierungsmodule. Ausführliche Informationen zu den One Identity Manager Authentifizierungsmodulen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung. |
TargetSystem | LDAP | Authentication | Authentication |
Authentifizierungsmechanismus. Gültige Werte sind Secure, Encryption, SecureSocketsLayer, ReadonlyServer, Anonymous, FastBind, Signing, Sealing, Delegation und ServerBind. Die Werte können mit Komma (,) kombiniert werden. Standard: ServerBind |
TargetSystem | LDAP | Authentication | Port |
Kommunikationsport auf dem Server. Standard: 389 |
TargetSystem | LDAP | Authentication | RootDN |
Pipe (|) getrennte Liste von Root-Domänen, in denen das Benutzerkonto zur Authentifizierung gesucht werden soll. Syntax: DC=<MyDomain>|DC=<MyOtherDomain> Beispiel: DC=Root1,DC=com|DC=Root2,DC=de |
TargetSystem | LDAP | Authentication | Server |
Name des LDAP Servers. |
TargetSystem | LDAP | AuthenticationV2 |
Erlaubt die Konfiguration der LDAP Authentifizierungsmodule. Ausführliche Informationen zu den One Identity Manager Authentifizierungsmodulen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung. |
TargetSystem | LDAP | AuthenticationV2 | AcceptSelfSigned |
Gibt an, ob selbstsignierte Zertifikate akzeptiert werden. |
TargetSystem | LDAP | AuthenticationV2 | Authentication |
Authentifizierungsmethode zur Anmeldung am LDAP System. Zulässig sind:
Standard: Basic |
TargetSystem | LDAP | AuthenticationV2 | ClientTimeout |
Client-Timeout in Sekunden. |
TargetSystem | LDAP | AuthenticationV2 | Port |
Kommunikationsport auf dem Server. Standard: 389 |
TargetSystem | LDAP | AuthenticationV2 | ProtocolVersion |
Version des LDAP Protokolls. Zulässig sind die Werte 2 und 3. Standard: 3 |
TargetSystem | LDAP | AuthenticationV2 | RootDN |
Pipe (|) getrennte Liste von Root-Domänen, in denen das Benutzerkonto zur Authentifizierung gesucht werden soll. Syntax: DC=<MyDomain>|DC=<MyOtherDomain> Beispiel: DC=Root1,DC=com|DC=Root2,DC=de |
TargetSystem | LDAP | AuthenticationV2 | Security |
Sicherheit der Verbindung. Zulässige Werte sind None, SSL und STARTTLS. |
TargetSystem | LDAP | AuthenticationV2 | Server |
Name des LDAP Servers. |
TargetSystem | LDAP | AuthenticationV2 | UseSealing |
Gibt an, ob die Nachrichtenvertraulichkeit aktiviert ist. |
TargetSystem | LDAP | AuthenticationV2 | UseSigning |
Gibt an, ob Nachrichtenintegrität aktiviert ist. |
TargetSystem | LDAP | AuthenticationV2 | VerifyServerCertificate |
Gibt an, ob bei Verschlüsselung mit SSL das Serverzertifikat geprüft werden soll. |
TargetSystem | LDAP | DefaultAddress |
Standard-E-Mail-Adresse des Empfängers von Benachrichtigungen über Aktionen im Zielsystem. |
TargetSystem | LDAP | |
Gibt an, ob Computer aufgrund von Gruppenzuordnung zu Rollen in Gruppen aufgenommen werden. |
TargetSystem | LDAP | |
Maximale Laufzeit in Minuten für eine Synchronisation. Während dieser Zeit erfolgt keine Neuberechnung der Gruppenmitgliedschaften durch den DBQueue Prozessor. Bei Überschreitung der festgelegten maximalen Laufzeit werden die Berechnungen von Gruppenmitgliedschaften wieder ausgeführt. |
TargetSystem | LDAP | |
Modus für die automatische Personenzuordnung für Benutzerkonten, die außerhalb der Synchronisation in der Datenbank angelegt werden. |
TargetSystem | LDAP | |
Gibt an, ob an deaktivierte Benutzerkonten automatisch Personen zugewiesen werden. Die Benutzerkonten erhalten keine Kontendefinition. |
TargetSystem | LDAP | |
Modus für die automatische Personenzuordnung für Benutzerkonten, die durch die Synchronisation in der Datenbank angelegt oder aktualisiert werden. |
© ALL RIGHTS RESERVED. Nutzungsbedingungen Datenschutz Cookie Preference Center