Genel LDAP Bağlayıcısı teknik başvurusu
Bu makalede Genel LDAP Bağlayıcısı açıklanmaktadır. Makale aşağıdaki ürünler için geçerlidir:
- Microsoft Identity Manager 2016 (MIM2016)
- Microsoft Entra Kimlik
MIM2016 için Bağlayıcı, Microsoft İndirme Merkezi'nden indirilebilir.
IETF RFC'lerine başvururken, bu belge biçimi (RFC [RFC numarası]/[RFC belgesinde bölüm]) kullanıyor, örneğin (RFC 4512/4.3). Daha fazla bilgiyi adresinde https://tools.ietf.org/bulabilirsiniz. Sol panelde , Belge getir iletişim kutusuna bir RFC numarası girin ve geçerli olduğundan emin olmak için bunu test edin.
Not
Microsoft Entra ID artık MIM eşitleme dağıtımına gerek kalmadan kullanıcıları LDAPv3 sunucusuna sağlamak için basit bir aracı tabanlı çözüm sağlar. Giden kullanıcı sağlama için kullanmanızı öneririz. Daha fazla bilgi edinin.
Genel LDAP Bağlayıcısı'na genel bakış
Genel LDAP Bağlayıcısı, eşitleme hizmetini bir LDAP v3 sunucusuyla tümleştirmenizi sağlar.
Delta içeri aktarma gerçekleştirmek için gerekenler gibi bazı işlemler ve şema öğeleri IETF RFC'lerinde belirtilmez. Bu işlemler için yalnızca açıkça belirtilen LDAP dizinleri desteklenir.
Dizinlere bağlanmak için kök/yönetici hesabını kullanarak test ederiz. Daha ayrıntılı izinler uygulamak için farklı bir hesap kullanmak için LDAP dizin ekibinizle gözden geçirmeniz gerekebilir.
Bağlayıcının geçerli sürümü şu özellikleri destekler:
| Özellik | Destek |
|---|---|
| Bağlı veri kaynağı | Bağlayıcı, desteklenmeyen olarak çağrılan durumlar dışında tüm LDAP v3 sunucularıyla (RFC 4510 uyumlu) desteklenir. Bu dizin sunucularıyla test edilmiştir:
|
| Senaryolar | |
| Operations | Aşağıdaki işlemler tüm LDAP dizinlerinde desteklenir: |
| Şema |
Delta içeri aktarma ve parola yönetimi desteği
Delta içeri aktarma ve Parola yönetimi için desteklenen Dizinler:
- Microsoft Active Directory Basit Dizin Hizmetleri (AD LDS)
- Delta içeri aktarma için tüm işlemleri destekler
- Parola Ayarlamayı destekler
- Microsoft Active Directory Genel Kataloğu (AD GC)
- Delta içeri aktarma için tüm işlemleri destekler
- Parola Ayarlamayı destekler
- 389 Dizin Sunucusu
- Delta içeri aktarma için tüm işlemleri destekler
- Parola Ayarlama ve Parola Değiştirme desteği
- Apache Directory Sunucusu
- Bu dizin kalıcı bir değişiklik günlüğüne sahip olmadığından delta içeri aktarmayı desteklemez
- Parola Ayarlamayı destekler
- IBM Tivoli DS
- Delta içeri aktarma için tüm işlemleri destekler
- Parola Ayarlama ve Parola Değiştirme desteği
- Isode Dizini
- Delta içeri aktarma için tüm işlemleri destekler
- Parola Ayarlama ve Parola Değiştirme desteği
- Novell eDirectory ve NetIQ eDirectory
- Delta içeri aktarma için Ekleme, Güncelleştirme ve Yeniden Adlandırma işlemlerini destekler
- Delta içeri aktarma için Silme işlemlerini desteklemez
- Parola Ayarlama ve Parola Değiştirme desteği
- DJ'i açın
- Delta içeri aktarma için tüm işlemleri destekler
- Parola Ayarlama ve Parola Değiştirme desteği
- DS'i açma
- Delta içeri aktarma için tüm işlemleri destekler
- Parola Ayarlama ve Parola Değiştirme desteği
- LDAP'i açma (openldap.org)
- Delta içeri aktarma için tüm işlemleri destekler
- Parola Ayarlamayı destekler
- Parola değiştirmeyi desteklemez
- Oracle (eski adıyla Sun) Dizin Sunucusu Enterprise Sürümü
- Delta içeri aktarma için tüm işlemleri destekler
- Parola Ayarlamayı ve ParolaYı Değiştirmeyi Destekler
- RadiantOne Sanal Dizin Sunucusu (VDS)
- Sürüm 7.1.1 veya üzerini kullanıyor olmalıdır
- Delta içeri aktarma için tüm işlemleri destekler
- Parola Ayarlamayı ve ParolaYı Değiştirmeyi Destekler
- Sun One Dizin Sunucusu
- Delta içeri aktarma için tüm işlemleri destekler
- Parola Ayarlamayı ve ParolaYı Değiştirmeyi Destekler
Önkoşullar
Bağlayıcıyı kullanmadan önce eşitleme sunucusunda aşağıdakilere sahip olduğunuzdan emin olun:
- Microsoft .NET 4.6.2 Framework veya üzeri
Bu bağlayıcının dağıtılması hem dizin sunucusunun yapılandırmasında hem de MIM'de yapılandırma değişikliklerini gerektirebilir. MIM'i bir üretim ortamında üçüncü taraf dizin sunucusuyla tümleştirmeyi kapsayan dağıtımlar için, müşterilerin bu tümleştirme için yardım, rehberlik ve destek için dizin sunucusu satıcılarıyla veya dağıtım iş ortağıyla çalışmalarını öneririz.
LDAP sunucusunu algılama
Bağlayıcı, LDAP sunucusunu algılamak ve tanımlamak için çeşitli tekniklere dayanır. Bağlayıcı Kök DSE, satıcı adı/sürümü kullanır ve şemayı inceleyip belirli LDAP sunucularında var olduğu bilinen benzersiz nesneleri ve öznitelikleri bulur. Bu veriler bulunursa Bağlayıcıdaki yapılandırma seçeneklerini önceden doldurmak için kullanılır.
Bağlı Veri Kaynağı izinleri
Bağlı dizindeki nesnelerde içeri ve dışarı aktarma işlemleri gerçekleştirmek için bağlayıcı hesabının yeterli izinlere sahip olması gerekir. Bağlayıcının dışarı aktarabilmesi için yazma izinlerine ve içeri aktarabilmek için okuma izinlerine sahip olması gerekir. İzin yapılandırması, hedef dizinin yönetim deneyimleri içinde gerçekleştirilir.
Bağlantı noktaları ve protokoller
Bağlayıcı, varsayılan olarak LDAP için 389 ve LDAPS için 636 olan yapılandırmada belirtilen bağlantı noktası numarasını kullanır.
LDAPS için SSL 3.0 veya TLS kullanmanız gerekir. SSL 2.0 desteklenmez ve etkinleştirilemez.
Gerekli denetimler ve özellikler
Bağlayıcının düzgün çalışması için LDAP sunucusunda aşağıdaki LDAP denetimleri/özellikleri bulunmalıdır:
1.3.6.1.4.1.4203.1.5.3 Doğru/Yanlış filtreleri
Doğru/Yanlış filtresi genellikle LDAP dizinleri tarafından desteklendiği bildirilmiyor ve Genel SayfadaZorunlu Özellikler Bulunamadı altında gösteriliyor olabilir. LDAP sorgularında, örneğin birden çok nesne türünü içeri aktarırken OR filtreleri oluşturmak için kullanılır. Birden fazla nesne türünü içeri aktarabiliyorsanız LDAP sunucunuz bu özelliği destekler.
Benzersiz tanımlayıcının tutturucu olduğu bir dizin kullanıyorsanız aşağıdaki özelliğin de kullanılabilir olması gerekir (Daha fazla bilgi için Bağlayıcıları Yapılandırma bölümüne bakın):
1.3.6.1.4.1.4203.1.5.1 Tüm işletimsel öznitelikler
Dizinde, dizine yapılan bir çağrıya sığabilecek nesneden daha fazla nesne varsa, sayfalama kullanılması önerilir. Disk belleğinin çalışması için aşağıdaki seçeneklerden birine ihtiyacınız vardır:
1. Seçenek:
1.2.840.113556.1.4.319 pagedResultsControl
2. Seçenek:
2.16.840.1.113730.3.4.9 VLVControl
1.2.840.113556.1.4.473 SortControl
Bağlayıcı yapılandırmasında her iki seçenek de etkinleştirilirse pagedResultsControl kullanılır.
1.2.840.113556.1.4.417 Showdeletedcontrol
ShowDeletedControl, silinen nesneleri görebilmek için yalnızca USNChanged delta içeri aktarma yöntemiyle kullanılır.
Bağlayıcı, sunucuda bulunan seçenekleri algılamaya çalışır. Seçenekler algılanamazsa bağlayıcı özelliklerindeki Genel sayfasında bir uyarı bulunur. Tüm LDAP sunucuları, destekledikleri tüm denetimleri/özellikleri sunmaz ve bu uyarı mevcut olsa bile bağlayıcı sorunsuz çalışabilir.
Değişikliği içeri aktarma
Delta içeri aktarma yalnızca onu destekleyen bir dizin algılandığında kullanılabilir. Şu anda aşağıdaki yöntemler kullanılmaktadır:
- LDAP Erişim Günlüğü. Bkz.http://www.openldap.org/doc/admin24/overlays.html#Access Günlüğe Kaydetme
- LDAP Değişiklik Günlüğü. Bkz. http://tools.ietf.org/html/draft-good-ldap-changelog-04
- Zaman damgası. Novell/NetIQ eDirectory için Bağlayıcı, oluşturulan ve güncelleştirilen nesneleri almak için son tarihi/saati kullanır. Novell/NetIQ eDirectory, silinen nesneleri almak için eşdeğer bir araç sağlamaz. LDAP sunucusunda başka bir delta içeri aktarma yöntemi etkin değilse bu seçenek de kullanılabilir. Bu seçenek silinen nesneleri içeri aktaramaz.
- USNChanged. Bkz. https://msdn.microsoft.com/library/ms677627.aspx
Desteklenmez
Aşağıdaki LDAP özellikleri desteklenmez:
- Sunucular arasındaki LDAP başvuruları (RFC 4511/4.1.10)
Yeni bağlayıcı oluşturma
Genel LDAP bağlayıcısı oluşturmak için Eşitleme Hizmeti'ndeYönetim Aracısı ve Oluştur'u seçin. Genel LDAP (Microsoft) Bağlayıcısı'nı seçin.
Bağlantı
Bağlantı sayfasında Konak, Bağlantı Noktası ve Bağlama bilgilerini belirtmeniz gerekir. Hangi Bağlamanın seçildiğine bağlı olarak, aşağıdaki bölümlerde ek bilgiler sağlanabilir.
- Bağlantı Zaman Aşımı ayarı yalnızca şema algılanırken sunucuya yapılan ilk bağlantı için kullanılır.
- Bağlama Anonim ise, kullanıcı adı / parola veya sertifika kullanılmaz.
- Diğer bağlamalar için bilgileri kullanıcı adı / parola olarak girin veya bir sertifika seçin.
- Kimlik doğrulaması için Kerberos kullanıyorsanız, kullanıcının Bölge/Etki Alanını da sağlayın.
Öznitelik diğer adları metin kutusu, şemada RFC4522 söz dizimi ile tanımlanan öznitelikler için kullanılır. Bu öznitelikler şema algılama sırasında algılanamaz ve Bağlayıcının bu özniteliklerin ayrı olarak yapılandırılması gerekir. Örneğin userCertificate özniteliğini ikili öznitelik olarak doğru tanımlamak için öznitelik diğer adları kutusuna aşağıdaki dize girilmelidir:
userCertificate;binary
Aşağıdaki tabloda, bu yapılandırmanın nasıl görünebileceğine ilişkin bir örnek verilmiştir:
Sunucu tarafından oluşturulan öznitelikleri de eklemek için şemaya işlemsel öznitelikleri dahil et onay kutusunu seçin. Bunlar, nesnenin ne zaman oluşturulduğu ve son güncelleştirme zamanı gibi öznitelikleri içerir.
Genişletilebilir nesneler (RFC4512/4.3) kullanılıyorsa genişletilebilir öznitelikleri şemaya ekle'yi seçin ve bu seçeneğin etkinleştirilmesi tüm özniteliklerin tüm nesnelerde kullanılmasına izin verir. Bu seçeneğin seçilmesi şemayı çok büyük hale getirir, bu nedenle bağlı dizin bu özelliği kullanmıyorsa seçeneğin seçili kalmaması önerisinde bulunur.
Global Parametreler
Genel Parametreler sayfasında DN'yi değişiklik günlüğü ve ek LDAP özelliklerine yapılandırabilirsiniz. Sayfa, LDAP sunucusu tarafından sağlanan bilgilerle önceden doldurulur.
Üstteki bölümde sunucunun kendisi tarafından sağlanan, sunucunun adı gibi bilgiler gösterilir. Bağlayıcı ayrıca zorunlu denetimlerin Kök DSE'de mevcut olduğunu doğrular. Bu denetimler listelenmiyorsa bir uyarı gösterilir. Bazı LDAP dizinleri Kök DSE'deki tüm özellikleri listelemez ve bağlayıcının bir uyarı olsa bile sorunsuz çalışması mümkündür.
Desteklenen denetimler onay kutuları belirli işlemlerin davranışını denetler:
- Ağaç silme seçiliyken, bir LDAP çağrısıyla bir hiyerarşi silinir. Ağaç silme seçili olmadığında, gerekirse bağlayıcı özyinelemeli silme işlemi yapar.
- Disk belleğine alınan sonuçlar seçili durumdayken Bağlayıcı, çalışma adımlarında belirtilen boyuta sahip bir sayfalanmış içeri aktarma işlemi yapar.
- VLVControl ve SortControl, LDAP dizininden veri okumak için pagedResultsControl'e bir alternatiftir.
- Üç seçeneğin de (pagedResultsControl, VLVControl ve SortControl) seçimi kaldırılırsa Bağlayıcı tüm nesneyi tek bir işlemde içeri aktarır ve bu işlem büyük bir dizin olduğunda başarısız olabilir.
- ShowDeletedControl yalnızca Delta içeri aktarma yöntemi USNChanged olduğunda kullanılır.
Değişiklik günlüğü DN'si, değişiklik günlüğü tarafından kullanılan adlandırma bağlamıdır, örneğin cn=changelog. Delta içeri aktarma yapabilmek için bu değerin belirtilmesi gerekir.
Aşağıdaki tablo, varsayılan değişiklik günlüğü DN'lerinin listesidir:
| Directory | Delta değişiklik günlüğü |
|---|---|
| Microsoft AD LDS ve AD GC | Otomatik olarak algılandı. USNChanged. |
| Apache Directory Sunucusu | Kullanılamıyor. |
| Dizin 389 | Değişiklik günlüğü. Kullanılacak varsayılan değer: cn=changelog |
| IBM Tivoli DS | Değişiklik günlüğü. Kullanılacak varsayılan değer: cn=changelog |
| Isode Dizini | Değişiklik günlüğü. Kullanılacak varsayılan değer: cn=changelog |
| Novell/NetIQ eDirectory | Kullanılamıyor. Zaman damgası. Bağlayıcı, kayıtların eklenmesi ve güncelleştirilmiş olması için son güncelleştirme tarihini/saatini kullanır. |
| DJ/DS'yi açın | Değişiklik günlüğü. Kullanılacak varsayılan değer: cn=changelog |
| LDAP'i açma | Erişim günlüğü. Kullanılacak varsayılan değer: cn=accesslog |
| Oracle DSEE | Değişiklik günlüğü. Kullanılacak varsayılan değer: cn=changelog |
| RadiantOne VDS | Sanal dizin. VDS'ye bağlı dizine bağlıdır. |
| Sun One Dizin Sunucusu | Değişiklik günlüğü. Kullanılacak varsayılan değer: cn=changelog |
Parola özniteliği, Bağlayıcı'nın parola değiştirme ve parola ayarlama işlemlerinde parolayı ayarlamak için kullanması gereken özniteliğin adıdır. Bu değer varsayılan olarak userPassword olarak ayarlanır, ancak belirli bir LDAP sistemi için gerektiğinde değiştirilebilir.
Ek bölümler listesinde, otomatik olarak algılanmayan ek ad alanları eklemek mümkündür. Örneğin, birden çok sunucu aynı anda içeri aktarılacak bir mantıksal küme oluşturursa bu ayar kullanılabilir. Active Directory'nin bir ormanda birden çok etki alanı olabileceği ancak tüm etki alanlarının tek bir şema paylaştığı gibi, bu kutuya ek ad alanları girilerek aynı benzetim yapılabilir. Her ad alanı farklı sunuculardan içeri aktarılabilir ve Bölümleri ve Hiyerarşileri Yapılandır sayfasında daha fazla yapılandırılır. Yeni bir satır almak için Ctrl+Enter tuşlarını kullanın.
Sağlama Hiyerarşisini Yapılandırma
Bu sayfa, örneğin OU gibi DN bileşenini sağlanması gereken nesne türüyle (örneğin, organizationalUnit) eşlemek için kullanılır.
Sağlama hiyerarşisini yapılandırarak Bağlayıcı'yı gerektiğinde otomatik olarak bir yapı oluşturacak şekilde yapılandırabilirsiniz. Örneğin, dc=contoso,dc=com ad alanı ve cn=Joe, ou=Seattle, c=US, dc=contoso, dc=com adlı yeni bir nesne sağlanmışsa Bağlayıcı ABD için ülke türünde bir nesne ve dizinde henüz yoksa Seattle için bir kuruluş Birimi oluşturabilir.
Bölümleri ve Hiyerarşileri Yapılandır
Bölümler ve hiyerarşiler sayfasında içeri ve dışarı aktarmayı planladığınız nesneleri içeren tüm ad alanlarını seçin.
Her ad alanı için, Bağlantı ekranında belirtilen değerleri geçersiz kılabilir bağlantı ayarlarını yapılandırmak da mümkündür. Bu değerler varsayılan boş değerlerinde bırakılırsa Bağlantı ekranındaki bilgiler kullanılır.
Bağlayıcının hangi kapsayıcılardan ve OU'lardan içeri ve dışarı aktarılacağını seçmek de mümkündür.
Arama yapılırken, bu işlem bölümdeki tüm kapsayıcılarda yapılır. Çok sayıda kapsayıcının olduğu durumlarda bu davranış performans düşüşlerine yol açar.
Not
Mart 2017'de Genel LDAP bağlayıcısı aramalarına yönelik güncelleştirmeden itibaren kapsam olarak yalnızca seçili kapsayıcılar ile sınırlandırılabilir. Bu, aşağıdaki resimde gösterildiği gibi 'yalnızca seçili kapsayıcılarda Arama' onay kutusu seçilerek yapılabilir.
Yer İşaretlerini Yapılandır
Bu sayfanın her zaman önceden yapılandırılmış bir değeri vardır ve değiştirilemez. Sunucu satıcısı tanımlanmışsa, tutturucu sabit bir öznitelikle (örneğin, bir nesnenin GUID'i) doldurulabilir. Algılanmamışsa veya sabit bir özniteliği olmadığı biliniyorsa, bağlayıcı yer işareti olarak dn (ayırt edici ad) kullanır.
Aşağıdaki tabloda LDAP sunucularının ve kullanılan tutturucunun listesi yer alır:
| Directory | Anchor özniteliği |
|---|---|
| Microsoft AD LDS ve AD GC | Objectguıd |
| 389 Dizin Sunucusu | dn |
| Apache Directory | dn |
| IBM Tivoli DS | dn |
| Isode Dizini | dn |
| Novell/NetIQ eDirectory | GUID |
| DJ/DS'yi açın | dn |
| LDAP'i açma | dn |
| Oracle ODSEE | dn |
| RadiantOne VDS | dn |
| Sun One Dizin Sunucusu | dn |
Diğer notlar
Bu bölüm, bu Bağlayıcı'ya özgü olan veya diğer nedenlerle bilinmesi gereken bazı yönlerin bilgilerini sağlar.
Değişikliği içeri aktarma
Açık LDAP'deki delta filigranı UTC tarih/saatidir. Bu nedenle, FIM Eşitleme Hizmeti ile Open LDAP arasındaki saatler eşitlenmelidir. Aksi takdirde, değişiklik günlüğündeki bazı girdiler atlanabilir.
Novell eDirectory için delta içeri aktarma işlemi hiçbir nesne silme işlemini algılamıyor. Bu nedenle, silinen tüm nesneleri bulmak için düzenli aralıklarla tam içeri aktarma çalıştırmak gerekir.
Tarih/saati temel alan bir değişiklik günlüğü olan dizinler için, düzenli aralıklarla tam içeri aktarmanın çalıştırılması kesinlikle önerilir. Bu işlem, eşitleme altyapısının LDAP sunucusu ile bağlayıcı alanında bulunan sunucu arasındaki benzerlikleri bulmasını ve benzer olmadığını sağlar.
Sorun giderme
- Bağlayıcı sorunlarını gidermek için günlüğe kaydetmeyi etkinleştirme hakkında bilgi için bkz. Bağlayıcılar için ETW İzlemeyi Etkinleştirme.