Chatta subito con l'assistenza
Chat con il supporto

Identity Manager 8.1.5 - Administrationshandbuch für die Anbindung einer LDAP-Umgebung

Verwalten einer LDAP-Umgebung Synchronisieren eines LDAP Verzeichnisses
Einrichten der Initialsynchronisation mit einem LDAP Verzeichnis Anpassen einer Synchronisationskonfiguration Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse
Basisdaten zur Konfiguration LDAP Domänen LDAP Benutzerkonten LDAP Gruppen LDAP Containerstrukturen LDAP Computer Berichte über LDAP Objekte Konfigurationsparameter für die Verwaltung einer LDAP-Umgebung Standardprojektvorlagen für LDAP Einstellungen des generischen LDAP Konnektors

Benötigte Informationen für die Erstellung eines Synchronisationsprojektes

Für die Einrichtung des Synchronisationsprojektes sollten Sie die folgenden Informationen bereit halten.

Tabelle 4: Benötigte Informationen für die Erstellung eines Synchronisationsprojektes
Angaben Erläuterungen

DNS Name des LDAP Servers

IP-Adresse oder vollständiger Name des LDAP Servers, gegen den sich der Synchronisationsserver verbindet, um auf die LDAP Objekte zuzugreifen.

Syntax:

<Name des Servers>.<Vollqualifizierter Domänenname>

Authentifizierungsart

Eine Verbindung zum Zielsystem kann nur hergestellt werden, wenn die richtige Authentifizierungsart gewählt wird. Als Standard wird die Authentifizierungsart Basic verwendet.

Weitere Informationen zu den Authentifizierungsarten finden Sie in der MSDN Library.

Kommunikationsport auf dem Server

LDAP Standard-Kommunikationsport ist Port 389.

Benutzerkonto und Kennwort zur Anmeldung an der Domäne

Benutzerkonto und Kennwort zur Anmeldung an der Domäne. Dieses Benutzerkonto wird für den Zugriff auf die Domäne verwendet. Stellen Sie ein Benutzerkonto mit ausreichend Berechtigungen bereit. Weitere Informationen finden Sie unter Benutzer und Berechtigungen für die Synchronisation mit einem LDAP Verzeichnis.

Synchronisationsserver für das LDAP

Vom Synchronisationsserver werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet.

Auf dem Synchronisationsserver muss der One Identity Manager Service mit dem LDAP Konnektor installiert sein.

Der Synchronisationsserver muss im One Identity Manager als Jobserver bekannt sein. Verwenden Sie beim Einrichten des Jobservers die folgenden Eigenschaften.

Tabelle 5: Zusätzliche Eigenschaften für den Jobserver
Eigenschaft Wert
Serverfunktion LDAP Konnektor
Maschinenrolle Server | Jobserver | LDAP directories

Weitere Informationen finden Sie unter Einrichten des LDAP Synchronisationsservers.

Verbindungsdaten zur One Identity Manager-Datenbank

  • Datenbankserver

  • Datenbank

  • SQL Server Anmeldung und Kennwort

  • Angabe, ob integrierte Windows-Authentifizierung verwendet wird. Die Verwendung dieser Authentifizierung wird nicht empfohlen. Sollten Sie dieses Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows-Authentifizierung unterstützt.

Remoteverbindungsserver

Um die Synchronisation mit einem Zielsystem zu konfigurieren, muss der One Identity Manager Daten aus dem Zielsystem auslesen. Dabei kommuniziert der One Identity Manager direkt mit dem Zielsystem. Mitunter ist der direkte Zugriff von der Arbeitsstation, auf welcher der Synchronization Editor installiert ist, nicht möglich, beispielsweise aufgrund der Firewall-Konfiguration oder weil die Arbeitsstation nicht die notwendigen Hard- oder Softwarevoraussetzungen erfüllt. Wenn der direkte Zugriff von der Arbeitsstation nicht möglich ist, kann eine Remoteverbindung eingerichtet werden.

Der Remoteverbindungsserver und die Arbeitsstation müssen in der selben Active Directory Domäne stehen.

Konfiguration des Remoteverbindungsservers:

  • One Identity Manager Service ist gestartet

  • RemoteConnectPlugin ist installiert

  • LDAP Konnektor ist installiert

Der Remoteverbindungsserver muss im One Identity Manager als Jobserver bekannt sein. Es wird der Name des Jobservers benötigt.

TIPP: Der Remoteverbindungsserver benötigt dieselbe Konfiguration (bezüglich der installierten Software sowie der Berechtigungen des Benutzerkontos) wie der Synchronisationsserver. Nutzen Sie den Synchronisationsserver gleichzeitig als Remoteverbindungsserver, indem Sie lediglich das RemoteConnectPlugin zusätzlich installieren.

Ausführliche Informationen zum Herstellen einer Remoteverbindung finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Initiales Synchronisationsprojekt für eine LDAP Domäne mit dem generischen LDAP Konnektor erstellen

HINWEIS: Der folgende Ablauf beschreibt die Einrichtung eines Synchronisationsprojekts, wenn der Synchronization Editor

  • im Standardmodus ausgeführt wird und

  • aus dem Launchpad gestartet wird.

Wenn der Projektassistent im Expertenmodus ausgeführt wird oder direkt aus dem Synchronization Editor gestartet wird, können zusätzliche Konfigurationseinstellungen vorgenommen werden. Folgen Sie in diesen Schritten den Anweisungen des Projektassistenten.

Um ein initiales Synchronisationsprojekt für eine LDAP Domäne einzurichten

  1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.

    HINWEIS: Wenn die Synchronisation über einen Anwendungsserver ausgeführt werden soll, stellen Sie die Datenbankverbindung über den Anwendungsserver her.

  2. Wählen Sie den Eintrag Zielsystemtyp LDAP und klicken Sie Starten.

    Der Projektassistent des Synchronization Editors wird gestartet.

  1. Auf der Seite Zielsystem auswählen wählen Sie LDAP Konnektor.

  1. Auf der Seite Systemzugriff legen Sie fest, wie der One Identity Manager auf das Zielsystem zugreifen kann.

    • Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, möglich, nehmen Sie keine Einstellungen vor.

    • Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, nicht möglich, können Sie eine Remoteverbindung herstellen.

      Aktivieren Sie die Option Verbindung über einen Remoteverbindungsserver herstellen und wählen Sie unter Jobserver den Server, über den die Verbindung hergestellt werden soll.

  1. Auf der Startseite des Assistenten legen Sie über die Option Erweiterte Einstellungen konfigurieren (Expertenmodus) die Einstellungen für den Assistenten fest.

    • Wenn Sie eine Standardprojektvorlage verwenden, lassen Sie die Option deaktiviert. Die Standardvorlagen ermitteln die zu verwendenden Einstellungen automatisch.

    • Für kundenspezifische angepasste LDAP Systeme, aktivieren Sie die Option. Für diesen Fall können Sie folgende Einstellungen zusätzlich vornehmen:

      • Definition virtueller Klassen für nicht RFC konforme Abbildungen von Objekten

      • Definition von Hilfsklassen von Typ Auxiliary

      • Definition von Systemattributen zur Objektidentifikation, Revisionsattributen und zusätzlichen funktionalen Attributen

      • Definition weiterer Attribute für die Unterstützung dynamischer Gruppen

      Weitere Informationen finden Sie unter Erweiterte Einstellungen des generischen LDAP Konnektors.

  2. Auf der Seite Netzwerk erfassen Sie die Netzwerkeinstellungen für die Verbindung zum LDAP Server.

    1. Im Bereich Host erfassen Sie die Verbindungsdaten zum LDAP Server.

      • Server: IP-Adresse oder vollständiger Name des LDAP Servers, gegen den sich der Synchronisationsserver verbindet, um auf die LDAP Objekte zuzugreifen.

      • Port: Kommunikationsport auf dem Server. LDAP Standard-Kommunikationsport ist Port 389.

    2. Klicken Sie Verbindung testen.

      Es wird versucht eine Verbindung zum Server aufzubauen.

    3. Im Bereich Zusätzliche Einstellungen erfassen Sie zusätzliche Einstellungen zur Kommunikation mit dem LDAP Server.

      • Protokollversion: Version des LDAP Protokolls. Standardwert ist 3.

      • Keine Verschlüsselung: Angabe, ob keine Verschlüsselung verwendet wird.

      • SSL/TLS Verschlüsselung: Angabe, ob eine SSL/TLS verschlüsselte Verbindung erfolgt.

      • Verwende StartTLS: Angabe, ob StartTLS verwendet wird.

  3. Auf der Seite Authentifizierung erfassen Sie Informationen zur Authentifizierung.

    1. Im Bereich Authentifizierungsmethode wählen Sie die Authentifizierungsart für die Anmeldung am Zielsystem.

      • Authentifizierungsmethode: Wählen Sie die Authentifizierungsart für die Anmeldung am LDAP System. Zulässig sind:

        • Basic: Die Standardauthentifizierung wird verwendet.

        • Negotiate: Die Negotiate-Authentifizierung von Microsoft wird verwendet.

        • Anonymous: Die Verbindung erfolgt ohne Übergabe von Anmeldeinformationen.

        • Kerberos: Die Kerberos-Authentifizierung wird verwendet.

        • NTLM: Die Windows NT-Abfrage/Rückmeldung-Authentifizierung wird verwendet.

    2. Abhängig von der gewählten Authentifizierungsmethode können weitere Informationen erforderlich sein. Diese Informationen erfassen Sie im Bereich Anmeldeinformationen.

      • Benutzername: Name des Benutzerkontos zur Anmeldung am LDAP.

      • Kennwort: Kennwort zum Benutzerkonto.

      • Sealing aktivieren: Angabe, ob Sealing aktiviert ist. Aktivieren Sie die Option, wenn die gewählte Authentifizierungsmethode die Nachrichtenvertraulichkeit (Sealing) unterstützt.

      • Signing aktivieren: Angabe, ob Signing aktiviert ist. Aktivieren Sie die Option, wenn die gewählte Authentifizierungsmethode die Nachrichtenintegrität (Signing) unterstützt.

    3. Im Bereich LDAP-Verbindung prüfen klicken Sie Verbindung testen.

      Es wird versucht eine Anmeldung am Server durchzuführen.

  4. Auf der Seite LDAP Serverinformationen werden die Informationen zum LDAP Schema angezeigt.

  5. Auf der Seite Suchoptionen legen Sie Parameter für die Suche nach den zu ladenden LDAP Objekten fest.

    Tabelle 6: Suchoptionen
    Eigenschaft Beschreibung

    DN des Basiseintrags

    Basis für die Suchanfragen, in der Regel die LDAP Domäne.

    LDAP Schema im lokalen Cache speichern

    Angabe, ob das LDAP Schema lokal im Cache gehalten werden soll. Dadurch kann die Synchronisation und Provisionierung von LDAP Objekten beschleunigt werden.

    Der Cache befindet sich auf dem Computer mit dem die Verbindung hergestellt wird unter %Appdata%\...\Local\One Identity\One Identity Manager\Cache\GenericLdapConnector.

    Anfrage Timeout (Sekunden)

    Timeout für LDAP Anfragen in Sekunden.

    Standard: 3600

    Seitenweise Suche verwenden

    Angabe, ob die LDAP Objekte seitenweise geladen werden sollen. Wenn Sie die Option aktivieren, erfassen Sie die Seitengröße.

    Seitengröße

    Anzahl der maximal zu ladenden Objekte pro Seite.

    Standard: 500

  6. Auf der Seite Einstellungen für schreibende Optionen geben Sie an, welche Art von Schreiboperationen der LDAP Server unterstützt.

    • Aktivieren Sie die Option Server unterstützt Umbenennung von Einträgen, wenn der LDAP Server die Umbenennung von Einträgen unterstützt.

    • Aktivieren Sie die Option Server unterstützt Verschiebung von Einträgen, wenn der LDAP Server das Verschieben von Einträgen unterstützt.

      HINWEIS: Einige Server unterstützen das Umbenennen von Einträgen nur auf Blattebene. In diesem Fall scheitert die Umbenennung von anderen Knoten mit einer Fehlermeldung.

    • Aktivieren Sie die Option Verwende DeleteTree-Control beim Löschen, wenn der LDAP Server beim Löschen das DeleteTree-Control senden soll, um Einträge mit untergeordneten Einträgen zu löschen.

  7. Auf der Seite Kennworteinstellungen für Einträge legen Sie zusätzliche Kennworteinstellungen für Benutzerkonten fest. Erfassen Sie folgende Einstellungen:

    • Kennwortattribut: Attribut, welches das Kennwort eines Benutzerkontos repräsentiert, beispielsweise userPassword.

    • Kennwortänderungsmethode: Methode, die verwendet wird, um Kennwörter zu ändern. Zulässige Werte sind:

      • Default: Standardmethode zum Ändern der Kennwörter. Das Kennwort wird direkt auf das Kennwortattribut geschrieben.

      • ADLDS: Kennwortänderungsmethode die für Systeme verwendet wird, die auf MicrosoftActive Directory Lightweight Directory Services (AD LDS) basieren.

  8. Auf der letzten Seite des Systemverbindungsassistenten können Sie die Verbindungsdaten speichern.

    • Aktivieren Sie die Option Verbindung lokal speichern, um die Verbindungsdaten zu speichern. Diese können Sie bei der Einrichtung weiterer Synchronisationsprojekte nutzen.

    • Um den Systemverbindungsassistenten zu beenden und zum Projektassistenten zurückzukehren, klicken Sie Fertig.

  1. Auf der Seite One Identity Manager Verbindung überprüfen Sie die Verbindungsdaten zur One Identity Manager-Datenbank. Die Daten werden aus der verbundenen Datenbank geladen. Geben Sie das Kennwort erneut ein.

    HINWEIS: Wenn Sie mit einer unverschlüsselten One Identity Manager-Datenbank arbeiten und noch kein Synchronisationsprojekt in der Datenbank gespeichert ist, erfassen Sie alle Verbindungsdaten neu. Wenn bereits ein Synchronisationsprojekt gespeichert ist, wird diese Seite nicht angezeigt.

  2. Der Assistent lädt das Zielsystemschema. Abhängig von der Art des Zielsystemzugriffs und der Größe des Zielsystems kann dieser Vorgang einige Minuten dauern.

  1. Auf der Seite Projektvorlage auswählen wählen Sie eine Projektvorlage, mit der die Synchronisationskonfiguration erstellt werden soll.

    Tabelle 7: Standardprojektvorlagen
    Projektvorlage Beschreibung

    OpenDJ Synchronisation

    Diese Projektvorlage basiert auf OpenDJ. Verwenden Sie diese Projektvorlage für die initiale Einrichtung des Synchronisationsprojektes. Für kundenspezifische Implementierungen können Sie das Synchronisationsprojekt mit dem Synchronization Editor erweitern.

    AD LDS Synchronisation

    Diese Projektvorlage basiert auf Active Directory Lightweight Directory Services (AD LDS).

  1. Auf der Seite Zielsystemzugriff einschränken legen Sie fest, wie der Systemzugriff erfolgen soll. Zur Auswahl stehen:
    Tabelle 8: Zielsystemzugriff festlegen
    Option Bedeutung

    Das Zielsystem soll nur eingelesen werden.

    Angabe, ob nur ein Synchronisationsworkflow zum initialen Einlesen des Zielsystems in die One Identity Manager-Datenbank eingerichtet werden soll.

    Der Synchronisationsworkflow zeigt folgende Besonderheiten:

    • Die Synchronisationsrichtung ist In den One Identity Manager.
    • In den Synchronisationsschritten sind die Verarbeitungsmethoden nur für die Synchronisationsrichtung In den One Identity Manager definiert.

    Es sollen auch Änderungen im Zielsystem durchgeführt werden.

    Angabe, ob zusätzlich zum Synchronisationsworkflow zum initialen Einlesen des Zielsystems ein Provisionierungsworkflow eingerichtet werden soll.

    Der Provisionierungsworkflow zeigt folgende Besonderheiten:

    • Die Synchronisationsrichtung ist In das Zielsystem.
    • In den Synchronisationsschritten sind die Verarbeitungsmethoden nur für die Synchronisationsrichtung In das Zielsystem definiert.
    • Synchronisationsschritte werden nur für solche Schemaklassen erstellt, deren Schematypen schreibbar sind.
  1. Auf der Seite Synchronisationsserver wählen Sie den Synchronisationsserver, der die Synchronisation ausführen soll.

    Wenn der Synchronisationsserver noch nicht als Jobserver in der One Identity Manager-Datenbank bekannt gegeben wurde, können Sie einen neuen Jobserver anlegen.

    1. Klicken Sie , um einen neuen Jobserver anzulegen.

    2. Erfassen Sie die Bezeichnung des Jobservers und den vollständigen Servernamen gemäß DNS-Syntax.

    3. Klicken Sie OK.

      Der Synchronisationsserver wird als Jobserver für das Zielsystem in der One Identity Manager-Datenbank bekannt gegeben.

      HINWEIS: Stellen Sie nach dem Speichern des Synchronisationsprojekts sicher, dass dieser Server als Synchronisationsserver eingerichtet ist.

  1. Auf der Seite Allgemein erfassen Sie die allgemeinen Einstellungen für das Synchronisationsprojekt.

    HINWEIS: Dieser Schritt wird nur angezeigt, wenn die gewählte Projektvorlage mehrere Skriptsprachen unterstützt.
    Tabelle 9: Allgemeine Eigenschaften des Synchronisationsprojekts

    Eigenschaft

    Beschreibung

    Anzeigename

    Anzeigename für das Synchronisationsprojekt.

    Skriptsprache

    Sprache, in der Skripte in diesem Synchronisationsprojekt geschrieben werden.

    Skripte werden an verschiedenen Stellen in der Synchronisationskonfiguration eingesetzt. Wenn Sie ein leeres Projekt erstellen, legen Sie die Skriptsprache fest.

    WICHTIG: Die Skriptsprache kann nach dem Speichern des Synchronisationsprojekts nicht mehr geändert werden!

    Wenn Sie eine Projektvorlage nutzen, wird die Skriptsprache der Projektvorlage übernommen.

    Beschreibung

    		 Freitextfeld für zusätzliche Erläuterungen.
  1. Um den Projektassistenten zu beenden, klicken Sie Fertig.

    Es wird ein Standardzeitplan für regelmäßige Synchronisationen erstellt und zugeordnet. Aktivieren Sie den Zeitplan für die regelmäßige Synchronisation.

    Das Synchronisationsprojekt wird erstellt, gespeichert und sofort aktiviert.

    HINWEIS:Beim Aktivieren wird eine Konsistenzprüfung durchgeführt. Wenn dabei Fehler auftreten, erscheint eine Meldung. Sie können entscheiden, ob das Synchronisationsprojekt dennoch aktiviert werden soll.

    Bevor Sie das Synchronisationsprojekt nutzen, prüfen Sie die Fehler. In der Ansicht Allgemein auf der Startseite des Synchronization Editor klicken Sie dafür Projekt prüfen.

    HINWEIS: Wenn das Synchronisationsprojekt nicht sofort aktiviert werden soll, deaktivieren Sie die Option Synchronisationsprojekt speichern und sofort aktivieren. In diesem Fall speichern Sie das Synchronisationsprojekt manuell vor dem Beenden des Synchronization Editor.

    HINWEIS: Die Verbindungsdaten zum Zielsystem werden in einem Variablenset gespeichert und können bei Bedarf im Synchronization Editor in der Kategorie Konfiguration | Variablen angepasst werden.
Verwandte Themen

Synchronisationsprotokoll konfigurieren

Im Synchronisationsprotokoll werden alle Informationen, Hinweise, Warnungen und Fehler, die bei der Synchronisation auftreten, aufgezeichnet. Welche Informationen aufgezeichnet werden sollen, kann für jede Systemverbindung separat konfiguriert werden.

Um den Inhalt des Synchronisationsprotokolls zu konfigurieren

  1. Um das Synchronisationsprotokoll für die Zielsystemverbindung zu konfigurieren, wählen Sie im Synchronization Editor die Kategorie Konfiguration | Zielsystem.

    - ODER -

    Um das Synchronisationsprotokoll für die Datenbankverbindung zu konfigurieren, wählen Sie im Synchronization Editor die Kategorie Konfiguration | One Identity Manager Verbindung.

  2. Wählen Sie den Bereich Allgemein und klicken Sie Konfigurieren.

  3. Wählen Sie den Bereich Synchronisationsprotokoll und aktivieren Sie Synchronisationsprotokoll erstellen.

  4. Aktivieren Sie die zu protokollierenden Daten.

    HINWEIS: Einige Inhalte erzeugen besonders viele Protokolldaten!

    Das Synchronisationsprotokoll soll nur die für Fehleranalysen und weitere Auswertungen notwendigen Daten enthalten.

  5. Klicken Sie OK.

Synchronisationsprotokolle werden für einen festgelegten Zeitraum aufbewahrt.

Um den Aufbewahrungszeitraum für Synchronisationsprotokolle anzupassen

  • Aktivieren Sie im Designer den Konfigurationsparameter DPR | Journal | LifeTime und tragen Sie die maximale Aufbewahrungszeit ein.

Verwandte Themen

Anpassen einer Synchronisationskonfiguration

Mit dem Synchronization Editor haben Sie ein Synchronisationsprojekt für die initiale Synchronisation einer LDAP Domäne eingerichtet. Mit diesem Synchronisationsprojekt können Sie LDAP Objekte in die One Identity Manager-Datenbank einlesen. Wenn Sie Benutzerkonten und ihre Berechtigungen mit dem One Identity Manager verwalten, werden Änderungen in die LDAP-Umgebung provisioniert.

Um die Datenbank und die LDAP-Umgebung regelmäßig abzugleichen und Änderungen zu synchronisieren, passen Sie die Synchronisationskonfiguration an.

  • Um bei der Synchronisation den One Identity Manager als Mastersystem zu nutzen, erstellen Sie einen Workflow mit der Synchronisationsrichtung In das Zielsystem.
  • Um allgemeingültige Synchronisationskonfigurationen zu erstellen, die erst beim Start der Synchronisation die notwendigen Informationen über die zu synchronisierenden Objekte erhalten, können Variablen eingesetzt werden. Variablen können beispielsweise in den Basisobjekten, den Schemaklassen oder den Verarbeitungsmethoden eingesetzt werden.

  • Um festzulegen, welche LDAP Objekte und Datenbankobjekte bei der Synchronisation behandelt werden, bearbeiten Sie den Scope der Zielsystemverbindung und der One Identity Manager-Datenbankverbindung. Um Dateninkonsistenzen zu vermeiden, definieren Sie in beiden Systemen den gleichen Scope. Ist kein Scope definiert, werden alle Objekte synchronisiert.

  • Mit Hilfe von Variablen kann ein Synchronisationsprojekt für die Synchronisation verschiedener Domänen eingerichtet werden. Hinterlegen Sie die Verbindungsparameter zur Anmeldung an den Domänen als Variablen.

  • Wenn sich das One Identity Manager Schema oder das Zielsystemschema geändert hat, aktualisieren Sie das Schema im Synchronisationsprojekt. Anschließend können Sie die Änderungen in das Mapping aufnehmen.

Ausführliche Informationen zum Konfigurieren einer Synchronisation finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Detaillierte Informationen zum Thema
Related Documents

The document was helpful.

Seleziona valutazione

I easily found the information I needed.

Seleziona valutazione