지금 지원 담당자와 채팅
지원 담당자와 채팅

Identity Manager 9.1.2 - Administrationshandbuch für die Anbindung einer LDAP-Umgebung

Über dieses Handbuch Verwalten einer LDAP-Umgebung Synchronisieren eines LDAP Verzeichnisses
Einrichten der Initialsynchronisation mit einem LDAP Verzeichnis Anpassen der Synchronisationskonfiguration für LDAP-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von LDAP Benutzerkonten und Personen Managen von Mitgliedschaften in LDAP Gruppen Bereitstellen von Anmeldeinformationen für LDAP Benutzerkonten Abbildung von LDAP Objekten im One Identity Manager
LDAP Domänen LDAP Containerstrukturen LDAP Benutzerkonten LDAP Gruppen LDAP Computer Berichte über LDAP Objekte
Behandeln von LDAP Objekten im Web Portal Basisdaten für die Verwaltung einer LDAP-Umgebung Fehlerbehebung Konfigurationsparameter für die Verwaltung einer LDAP-Umgebung Standardprojektvorlagen für LDAP Einstellungen des LDAP Konnektors V2

Generische Projektvorlage für den LDAP Konnektor V2

Diese Vorlage kann als Basisvorlage verwendet werden, wenn keine systemspezifische Vorlage vorhanden ist. Es können weitere Anpassungen können erforderlich sein.

HINWEIS: Prüfen Sie das Projekt und korrigieren Sie mögliche Fehler bevor Sie das Synchronisationsprojekt verwenden.

Die Projektvorlage verwendet Mappings für die folgenden Schematypen.

Tabelle 43: Abbildung der Schematypen auf Tabellen im One Identity Manager Schema
Schematyp im LDAP Tabelle im One Identity Manager Schema
container LDAPContainer

country

LDAPContainer

domain LDPDomain

GroupOfEntries

LDAPGroup

groupOfNames LDAPGroup
groupOfUniqueNames LDAPGroup
groupOfURLs LDAPGroup
inetOrgPerson LDAPAccount
locality LDAPContainer
organization LDAPContainer
organizationalUnit LDAPContainer

Einstellungen des LDAP Konnektors V2

Für die Systemverbindung mit dem LDAP Konnektor V2 werden die folgenden Einstellungen konfiguriert.

HINWEIS: Einige der Einstellungen können Sie nur setzen, wenn Sie auf der Startseite des Systemverbindungsassistenten die Option Erweiterte Einstellungen anzeigen aktivieren.

Tabelle 44: Einstellungen des LDAP Konnektors V2

Einstellung

Bedeutung

Server

IP-Adresse oder vollständiger Name des LDAP Servers, gegen den sich der Synchronisationsserver verbindet, um auf die LDAP Objekte zuzugreifen.

Variable: CP_SdspLdapDriverDescriptorServer

Port

Kommunikationsport auf dem Server.

Standard: 389

Variable: CP_SdspLdapDriverDescriptorPort

Authentifizierungsart

Authentifizierungsmethode zur Anmeldung am LDAP System. Zulässig sind:

  • Basic: Die Standardauthentifizierung wird verwendet.

  • Negotiate: Die Negotiate-Authentifizierung von Microsoft wird verwendet.

  • Anonymous: Die Verbindung erfolgt ohne Übergabe von Anmeldeinformationen.

  • Kerberos: Die Kerberos-Authentifizierung wird verwendet.

  • NTLM: Die Windows NT-Abfrage/Rückmeldung-Authentifizierung wird verwendet.

  • External: Als externe Methode wird die zertifikatsbasierte Authentifizierung verwendet.

Standard: Basic

Variable: CP_SdspLdapDriverDescriptorAuthenticationType

Weitere Informationen zu den Authentifizierungsarten finden Sie in der MSDN Library.

Benutzername

Name des Benutzerkontos zur Anmeldung am LDAP.

Variable: CP_SdspLdapDriverDescriptorUsername

Kennwort

Kennwort zum Benutzerkonto.

Variable: CP_SdspLdapDriverDescriptorPassword

Sealing verwenden

Gibt an, ob die Nachrichtenvertraulichkeit aktiviert ist.

Variable: CP_SdspLdapDriverDescriptorUseSealing

Signing verwenden

Gibt an, ob Nachrichtenintegrität aktiviert ist.

Variable: CP_SdspLdapDriverDescriptorUseSigning

SSL verwenden

Gibt an, ob eine SSL/TLS verschlüsselte Verbindung verwendet wird.

Variable: CP_SdspLdapDriverDescriptorUseSsl

StartTLS verwenden

Gibt an, ob eine StartTLS zur Verschlüsselung verwendet wird.

Variable: CP_SdspLdapDriverDescriptorUseStartTls

Prüfung Serverzertifikat

Gibt an, ob bei der Verschlüsslung mittels SSL oder StartTLS das Serverzertifikat geprüft werden soll.

HINWEIS: Das Serverzertifikat muss gültig sein. Das Zertifikat der Stammzertifizierungsstelle muss als Computerzertifikat (Zertifikatsspeicher Lokaler Computer) auf dem Host, auf dem der Synchronization Editor gestartet wurde oder auf dem Jobserver, zu dem eine Remoteverbindung hergestellt wurde, vorhanden sein. Stellen Sie sicher, dass das Zertifikat auch auf allen Jobservern installiert ist, die sich gegen das LDAP System verbinden sollen.

Variable: CP_SdspLdapDriverDescriptorVerifyServerCertificate

Protokollversion

Version des LDAP Protokolls.

Standard: 3

Variable: CP_SdspLdapDriverDescriptorProtocolVersion

Suchbasis

Basis für die Suchanfragen, in der Regel die LDAP Domäne.

Variable: CP_LdapContextDescriptorBaseDn

Anfrage Timeout

Timeout für LDAP Anfragen in Sekunden.

Standard: 3600

Variable: CP_SdspLdapDriverDescriptorClientTimeout

UID der LDAP Domäne

Eindeutige Kennung für die LDAP Domäne in der Tabelle LDPDomain.

Variable: UID_LDPDomain

Default Searcher: Verwende seitenweise Suche

Gibt an, ob die LDAP Objekte seitenweise geladen werden sollen. Diese Information wird automatisch durch die gewählte Vorkonfiguration ermittelt oder vom LDAP Server abgefragt. Wenn die Option aktiviert ist, erfassen Sie die Seitengröße.

Variable: CP_SdspDefaultSearchDescriptorUsePagedSearch

Default Searcher: Seitengröße

Anzahl der maximal zu ladenden Objekte pro Seite.

Standard: 500

Variable: CP_SdspDefaultSearchDescriptorPageSize

AD (LDS) Search implementation: Segmentgröße

Wenn Attribute mit einer großen Anzahl Werte von einem Microsoft basierenden LDAP Server zurückgegeben werden sollen, sendet der Server nur eine bestimmte Menge der Werte zurück (üblicherweise 1500). Um alle Werte abzufragen, müssen mehrere Abfragen mit einer Bereichseinschränkung gesendet werden.

Die Segmentgröße bestimmt, wie viele Werte pro Abfrage zurückgeliefert werden sollen. Wenn die gewählte Segmentgröße größer ist, als die Maximalgröße, die der Server verarbeiten kann, wird die Segmentgröße automatisch angepasst.

Standard: 1000

Variable: CP_AdLdsSearchFeatureDescriptorChunkSize

Default delete implementation: Verwende DeleteTree-Control bei Löschung von Einträgen

Gibt an, ob der LDAP Server beim Löschen das DeleteTree-Control senden soll, um Einträge mit untergeordneten Einträgen zu löschen. Diese Information wird automatisch durch die gewählte Vorkonfiguration ermittelt oder vom LDAP Server abgefragt.

Variable:CP_SdspDefaultDeleteDescriptorUseDeleteTree

Load schema from LDAP Server

Das Schema wird vom LDAP Server geladen. (Standard)

Load schema from given LDIF string

Alternative Quelle, aus der das Schema geladen wird, falls das Schema des LDAP Servers nicht verfügbar ist. Die LDIF Zeichenkette wird in der Systemverbindung (DPRSystemConnection.ConnectionParameter) gespeichert. Damit muss keine *.ldif-Datei verteilt werden.

Remove spaces in distinguished names

Die Funktion entfernt alle laut RFC nicht erlaubten oder nicht signifikanten Leerzeichen in definierten Namen von Objekten.

Wenn die Funktion nicht vorhanden ist, werden laut RFC nicht erlaubte oder nicht signifikante Leerzeichen in definierten Namen nicht entfernt und führen unter Umständen zu Fehlern.

Standard: False

Tolerate 'Attribute already exists' and 'no such attribute' and retry

Mit dieser Funktion werden bei der Änderung eines Objektes bereits im LDAP System vorhandene oder fehlende Attribute toleriert, beispielsweise bei der Aktualisierung von Gruppenmitgliedschaften.

Wenn die Funktion nicht vorhanden ist, führen Änderungen, die im LDAP System vorhandene oder fehlende Attribute betreffen, zu Fehlern.

Standard: True

Return operational attributes

Mit dieser Schemafunktion legen Sie fest, welche Attribute zusätzlich für die LDAP Objekte ermittelt werden sollen. Funktionale Attribute werden für die Verzeichnisverwaltung verwendet. Die funktionalen Attribute werden zu jeder Schemaklasse der übergeordneten Funktion hinzugefügt.

HINWEIS: Um die funktionalen Attribute im One Identity Manager abzubilden, sind unter Umständen kundenspezifische Erweiterungen des One Identity Manager Schemas erforderlich. Verwenden Sie dazu das Programm Schema Extension.

Auxillary class assigment

Mit dieser Schemafunktion weisen Sie strukturellen Klassen zusätzliche Hilfsklassen zu. Hilfsklassen sind Klassen vom Typ Auxiliary und enthalten Attribute, die die strukturelle Klasse erweitern. Die Attribute der Hilfsklassen werden wie optionale Attribute der strukturellen Klassen im Schema angeboten.

HINWEIS: Um die Attribute der Hilfsklassen im One Identity Manager abzubilden, sind unter Umständen kundenspezifische Erweiterungen des One Identity Manager Schemas erforderlich. Verwenden Sie dazu das Programm Schema Extension.

Switch type of objectclasses

Mit dieser Schemafunktion können Sie den Typ einer Objektklasse ändern. Dies kann erforderlich sein, wenn ein nicht RFC-konformes LDAP System die Zuweisung mehrerer struktureller Objektklassen zu einem Eintrag zulässt obwohl nur eine strukturelle Klasse erlaubt ist.

Mehrere zugewiesene strukturelle Klassen führen dazu, das ein LDAP Eintrag nicht eindeutig einem Schematyp zugeordnet werden kann. Wurden strukturelle Objektklassen definiert, die lediglich als Eigenschaftserweiterungen dienen sollen (also Auxiliary-Klassen sein sollten), so kann man den Konnektor mit Hilfe dieser Einstellung dazu veranlassen, diese Objektklasse als Auxiliary zu betrachten.

HINWEIS: Als Auxiliary konfigurierte Objektklassen werden dann nicht mehr als eigenständige Schematypen behandelt und können in Folge auch nicht separat synchronisiert werden.

Cache Schema

Mit dieser Schemafunktion wird das LDAP Schema lokal im Cache gehalten. Es wird empfohlen, diese Funktion möglichst nach dem Laden des Schemas anzuordnen. Dadurch kann die Synchronisation und Provisionierung von LDAP Objekten beschleunigt werden.

Der Cache befindet sich auf dem Computer mit dem die Verbindung hergestellt wird unter %Appdata%\...\Local\One Identity\One Identity Manager\Cache\LdapConnector.

Load AD LDS schema extension

Mit dieser Schemafunktion werden zusätzliche Informationen geladen, die für die Synchronisation eines Active Directory Lightweight Directory Services erforderlich sind.

Treiber

Treiber, der zum Zugriff auf das LDAP System verwendet werden soll.

Standard: LDAP via Windows API (SdspLdapDriver)

LDAP Domäne

Eindeutige Bezeichnung der Domäne in der Form:

<DN Bestandteil 1> (<Server aus Verbindungsparametern>)

Variable: $IdentDomain$

관련 문서

The document was helpful.

평가 결과 선택

I easily found the information I needed.

평가 결과 선택