Chat now with support
Chat with Support

Identity Manager 9.2 - Administrationshandbuch für die Anbindung einer LDAP-Umgebung

Über dieses Handbuch Verwalten einer LDAP-Umgebung Synchronisieren eines LDAP Verzeichnisses
Einrichten der Initialsynchronisation mit einem LDAP Verzeichnis Anpassen der Synchronisationskonfiguration für LDAP-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von LDAP Benutzerkonten und Identitäten
Kontendefinitionen für LDAP Benutzerkonten Automatische Zuordnung von Identitäten zu LDAP Benutzerkonten Identitäten manuell mit LDAP Benutzerkonten verbinden Unterstützte Typen von Benutzerkonten Löschverzögerung für LDAP Benutzerkonten festlegen
Managen von Mitgliedschaften in LDAP Gruppen Bereitstellen von Anmeldeinformationen für LDAP Benutzerkonten Abbildung von LDAP Objekten im One Identity Manager
LDAP Domänen LDAP Containerstrukturen LDAP Benutzerkonten LDAP Gruppen LDAP Computer Berichte über LDAP Objekte
Behandeln von LDAP Objekten im Web Portal Basisdaten für die Verwaltung einer LDAP-Umgebung Fehlerbehebung Konfigurationsparameter für die Verwaltung einer LDAP-Umgebung Standardprojektvorlagen für LDAP Einstellungen des LDAP Konnektors V2

Fehler beim mehrfachen Anbinden von LDAP Systemen mit dem gleichen definierten Namen

Probleme

Beim Erstellen mehrerer Synchronisationsprojekte für die Anbindung einer LDAP Domäne oder bei der Anbindung von Instanzen mit identischer Bezeichnung tritt eine Fehlermeldung auf.

Die Domäne mit dem definierten Namen '{0}' wird bereits im Synchronisationsprojekt '{1}' verwendet. Je Domäne und Konnektor ist nur ein Synchronisationsprojekt zulässig.

Ursache

Dieses Problem tritt auf, wenn die Synchronisationsprojekte mit einer älteren One Identity Manager Version erstellt wurden.

Zur Suche von LDAP Domänen in der Datenbank wird die Bezeichnung der Domäne (Ident_Domain) verwendet. In Synchronisationsprojekten, die mit einer älteren One Identity Manager Version erstellt wurden, wurde die Bezeichnung der LDAP Domänen in der Form <DN Bestandteil 1> gebildet.

Lösung

  • Mit neu erstellten Synchronisationsprojekten wird die Bezeichnung der LDAP Domänen in der Form <DN Bestandteil 1> (<Server aus Verbindungsparametern>) gebildet.

  • Für bestehende Synchronisationsprojekte, die mit dem generischen LDAP Konnektor erstellt wurden, wenden Sie den Patch VPR#33513 an. Damit wird eine Variable samt Wert für $IdentDomain$ in allen Variablensets erzeugt und der Scope auf DistinguishedName = '$CP_RootEntry$' and Ident_Domain='$IdentDomain$' geändert.

    Ausführliche Informationen zum Anwenden von Patches finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

  • Bereits in der Datenbank vorhandene LDAP Domänen werden nicht umbenannt. Passen Sie die Bezeichnung der LDAP Domänen (Ident_Domain) gegebenenfalls manuell an. Weitere Informationen finden Sie unter LDAP Domänen.

HINWEIS: Bei Objekten, die aus verschiedenen Verzeichnisdiensten importiert werden, und in der One Identity Manager-Datenbank den identischen kanonischen Namen und definierten Namen besitzen, kann es zu doppelten Anzeigewerten in laufenden Attestierungen, beispielsweise bei Systemberechtigungen, und in Berichten über Zielsystemobjekten und Zielsystemberechtigungen kommen. Gegebenenfalls müssen kundenspezifische Anpassungen an den Attestierungsverfahren und Berichten vorgenommen werden.

Konfigurationsparameter für die Verwaltung einer LDAP-Umgebung

Mit der Installation des Moduls sind zusätzlich folgende Konfigurationsparameter im One Identity Manager verfügbar.

Tabelle 39: Konfigurationsparameter für die Synchronisation mit einem LDAP-Verzeichnis
Konfigurationsparameter Beschreibung

TargetSystem | LDAP

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Verwaltung des Zielsystems LDAP. Ist der Parameter aktiviert, sind die Bestandteile des Zielsystems verfügbar. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.

Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

TargetSystem | LDAP | Accounts

Erlaubt die Konfiguration der Angaben zu Benutzerkonten.

TargetSystem | LDAP | Accounts
| InitialRandomPassword

Gibt an, ob bei Neuanlage von Benutzerkonten ein zufällig generiertes Kennwort vergeben wird. Das Kennwort muss mindestens die Zeichenklassen enthalten, die in der zugewiesenen Kennwortrichtlinie definiert sind.

TargetSystem | LDAP | Accounts |
InitialRandomPassword | SendTo

Identität, die eine E-Mail mit dem zufällig generierten Kennwort erhalten soll (Verantwortlicher der Kostenstelle/Abteilung/Standort/Geschäftsrolle, Verantwortlicher der Identität oder XUserInserted). Ist kein Empfänger ermittelbar, dann wird an die im Konfigurationsparameter TargetSystem | LDAP | DefaultAddress hinterlegte Adresse versandt.

TargetSystem | LDAP | Accounts |
InitialRandomPassword | SendTo |
MailTemplateAccountName

Name der Mailvorlage, welche versendet wird, um Benutzer mit den Anmeldeinformationen zum Benutzerkonto zu versorgen. Es wird die Mailvorlage Identität - Erstellung neues Benutzerkonto verwendet.

TargetSystem | LDAP | Accounts |
InitialRandomPassword | SendTo |
MailTemplatePassword

Name der Mailvorlage, welche versendet wird, um Benutzer mit den Informationen zum initialen Kennwort zu versorgen. Es wird die Mailvorlage Identität - Initiales Kennwort für neues Benutzerkonto verwendet.

TargetSystem | LDAP | Accounts |
MailTemplateDefaultValues

Mailvorlage, die zum Senden von Benachrichtigungen genutzt wird, wenn bei der automatischen Erstellung eines Benutzerkontos Standardwerte der IT Betriebsdatenabbildung verwendet werden. Es wird die Mailvorlage Identität - Erstellung neues Benutzerkonto mit Standardwerten verwendet.

TargetSystem | LDAP | Accounts |
PrivilegedAccount

Erlaubt die Konfiguration der Einstellungen für privilegierte LDAP Benutzerkonten.

TargetSystem | LDAP | Accounts |
PrivilegedAccount | UserID_Postfix

Postfix zur Bildung des Anmeldenamens für privilegierte Benutzerkonten.

TargetSystem | LDAP | Accounts |
PrivilegedAccount | UserID_Prefix

Präfix zur Bildung des Anmeldenamens für privilegierte Benutzerkonten.

TargetSystem | LDAP | Authentication

Erlaubt die Konfiguration der LDAP Authentifizierungsmodule.

Ausführliche Informationen zu den One Identity Manager Authentifizierungsmodulen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

TargetSystem | LDAP | Authentication | Authentication

Authentifizierungsmechanismus. Gültige Werte sind Secure, Encryption, SecureSocketsLayer, ReadonlyServer, Anonymous, FastBind, Signing, Sealing, Delegation und ServerBind. Die Werte können mit Komma (,) kombiniert werden. Ausführliche Informationen zu den Authentifizierungsarten finden Sie in der MSDN Library.

Standard: ServerBind

TargetSystem | LDAP | Authentication | Port

Kommunikationsport auf dem Server.

Standard: 389

TargetSystem | LDAP | Authentication | RootDN

Pipe (|) getrennte Liste von Root-Domänen, in denen das Benutzerkonto zur Authentifizierung gesucht werden soll.

Syntax:

DC=<MyDomain>|DC=<MyOtherDomain>

Beispiel:

DC=Root1,DC=com|DC=Root2,DC=de

TargetSystem | LDAP | Authentication | Server

Name des LDAP Servers.

TargetSystem | LDAP | AuthenticationV2

Erlaubt die Konfiguration der LDAP Authentifizierungsmodule.

Ausführliche Informationen zu den One Identity Manager Authentifizierungsmodulen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

TargetSystem | LDAP | AuthenticationV2 | AcceptSelfSigned

Gibt an, ob selbstsignierte Zertifikate akzeptiert werden.

TargetSystem | LDAP | AuthenticationV2 | Authentication

Authentifizierungsmethode zur Anmeldung am LDAP System. Zulässig sind:

  • Basic: Die Standardauthentifizierung wird verwendet.

  • Negotiate: Die Negotiate-Authentifizierung von Microsoft wird verwendet.

  • Kerberos: Die Kerberos-Authentifizierung wird verwendet.

  • NTLM: Die Windows NT-Abfrage/Rückmeldung-Authentifizierung wird verwendet.

Standard: Basic

Weitere Informationen zu den Authentifizierungsarten finden Sie in der MSDN Library.

TargetSystem | LDAP | AuthenticationV2 | ClientTimeout

Client-Timeout in Sekunden.

TargetSystem | LDAP | AuthenticationV2 | Port

Kommunikationsport auf dem Server.

Standard: 389

TargetSystem | LDAP | AuthenticationV2 | ProtocolVersion

Version des LDAP Protokolls. Zulässig sind die Werte 2 und 3.

Standard: 3

TargetSystem | LDAP | AuthenticationV2 | RootDN

Pipe (|) getrennte Liste von Root-Domänen, in denen das Benutzerkonto zur Authentifizierung gesucht werden soll.

Syntax:

DC=<MyDomain>|DC=<MyOtherDomain>

Beispiel:

DC=Root1,DC=com|DC=Root2,DC=de

TargetSystem | LDAP | AuthenticationV2 | Security

Sicherheit der Verbindung. Zulässige Werte sind None, SSL und STARTTLS.

TargetSystem | LDAP | AuthenticationV2 | Server

Name des LDAP Servers.

TargetSystem | LDAP | AuthenticationV2 | UseSealing

Gibt an, ob die Nachrichtenvertraulichkeit aktiviert ist.

TargetSystem | LDAP | AuthenticationV2 | UseSigning

Gibt an, ob Nachrichtenintegrität aktiviert ist.

TargetSystem | LDAP | AuthenticationV2 | VerifyServerCertificate

Gibt an, ob bei Verschlüsselung mit SSL das Serverzertifikat geprüft werden soll.

TargetSystem | LDAP | DefaultAddress

Standard-E-Mail-Adresse des Empfängers von Benachrichtigungen über Aktionen im Zielsystem.

TargetSystem | LDAP |
HardwareInGroupFromOrg

Gibt an, ob Computer aufgrund von Gruppenzuordnung zu Rollen in Gruppen aufgenommen werden.

TargetSystem | LDAP |
MaxFullsyncDuration

Maximale Laufzeit in Minuten für eine Synchronisation. Während dieser Zeit erfolgt keine Neuberechnung der Gruppenmitgliedschaften durch den DBQueue Prozessor. Bei Überschreitung der festgelegten maximalen Laufzeit werden die Berechnungen von Gruppenmitgliedschaften wieder ausgeführt.

TargetSystem | LDAP |
PersonAutoDefault

Modus für die automatische Identitätenzuordnung für Benutzerkonten, die außerhalb der Synchronisation in der Datenbank angelegt werden.

TargetSystem | LDAP |
PersonAutoDisabledAccounts

Gibt an, ob an deaktivierte Benutzerkonten automatisch Identitäten zugewiesen werden. Die Benutzerkonten erhalten keine Kontendefinition.

TargetSystem | LDAP |
PersonAutoFullSync

Modus für die automatische Identitätenzuordnung für Benutzerkonten, die durch die Synchronisation in der Datenbank angelegt oder aktualisiert werden.

 

Standardprojektvorlagen für LDAP

Eine Standardprojektvorlage sorgt dafür, dass alle benötigten Informationen im One Identity Manager angelegt werden. Dazu gehören beispielsweise die Mappings, Workflows und das Basisobjekt der Synchronisation. Wenn Sie keine Standardprojektvorlage verwenden, müssen Sie das Basisobjekt der Synchronisation selbst im One Identity Manager bekannt geben.

Verwenden Sie eine Standardprojektvorlage für die initiale Einrichtung des Synchronisationsprojektes. Für kundenspezifische Implementierungen können Sie das Synchronisationsprojekt mit dem Synchronization Editor erweitern.

Detaillierte Informationen zum Thema

OpenDJ Projektvorlage für den LDAP Konnektor V2

Diese Projektvorlage basiert auf OpenDJ. Die Projektvorlage verwendet Mappings für die folgenden Schematypen.

Tabelle 40: Abbildung der Schematypen auf Tabellen im One Identity Manager Schema
Schematyp im LDAP Tabelle im One Identity Manager Schema
container LDAPContainer

country

LDAPContainer

domain LDPDomain

GroupOfEntries

LDAPGroup

groupOfNames LDAPGroup
groupOfUniqueNames LDAPGroup
groupOfURLs LDAPGroup
inetOrgPerson LDAPAccount
locality LDAPContainer
organization LDAPContainer
organizationalUnit LDAPContainer
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating