Der LDAP-Anbieter wird zur Synchronisierung von Kennwörtern mit fernen LDAP-Systemen, wie OpenLdap oder Microsoft Active Directory Lightweight Services (AD LDS), verwendet. Wenn der Zielserver ein vollständiges Microsoft Active Directory ist, sollte der Active Directory-Anbieter verwendet werden.
Dies ist empfehlenswert, weil der vollständige Active Directory-Anbieter mehrere Domain-Controller und auch die Entsperrung von Konten unterstützt, wenn diese in der Fern-Domain gesperrt sind. Außerdem läuft dann alles vollständig verschlüsselt ab.
Voraussetzungen
- Admin-Konto auf dem Fernsystem.
- Öffnen Sie die Netzwerkkommunikation zwischen dem Sync- und dem Fern-Server. Dies bedeutet in der Regel, dass einer der beiden folgenden Ports offen sein muss:
- tcp/389 (nicht-SSL-verschlüsseltes LDAP)
- tcp/636 (SSL-verschlüsseltes LDAP)
Parameter
Parameter |
Beschreibung |
Servername |
Der Name des Fern-LDAP-Servers. |
Port-Nummer |
Die Nummer des Ports, der bei der Kontaktaufnahme mit dem Fern-LDAP-Server verwendet werden soll. Standard-Port: 636
|
Art der Authentifizierung |
Kann auf einen der folgenden Werte eingestellt werden:
- Grundlegend: Verwendet eine grundlegende Authentifizierung mit Benutzername/Kennwort. Sollte nur zu Testzwecken verwendet werden.
- BasicSsl: Verwendet die Basisauthentifizierung mit Benutzername/Kennwort über SSL. Dies kann in der Produktion gegen einen OpenLDAP-Server verwendet werden. Für diesen Authentifizierungstyp müssen Sie das verwendete Zertifikat des Servers konfigurieren, damit der Sync-Punkt weiß, dass es sich um einen vertrauenswürdigen Server handelt.
- Verhandeln: Verwendet den besten Algorithmus zur Verschlüsselung und Überprüfung der Integrität von Kennwortänderungen auf dem LDAP-Server. Wird verwendet, wenn der LDAP-Server mit dem verwendeten Sync-Server das Vertrauen von Kerberos hat.
|
Gültiger Zertifikat-Fingerabdruck |
Der Fingerabdruck des Server-Zertifikats. Wenn Sie dieses Feld leer lassen, wird jedes beliebige Zertifikat akzeptiert (nicht empfohlen). Um den Fingerabdruck des Serverzertifikats zu ermitteln, geben Sie "xyz" als "Gültiger Fingerabdruck des Serverzertifikats" ein und versuchen Sie einen Reset. Die Fehlermeldung im Testtool (oder im Ereignisprotokoll der Anwendung) enthält dann den Fingerabdruck. Der Der Fingerabdruck ist eine Hex-Zeichenkette, die Trennzeichen ":" enthalten kann, aber nicht muss. Hinweis: Diese Einstellung gilt nur für die Basic SSL-Authentifizierung.
|
Attributname |
Der Name des Benutzerattributs im LDAP-System, in dem das Kennwort gespeichert ist. Dieser Parameter wird in Verbindung mit "In Unicode umwandeln" verwendet Standardwert: unicodePwd.
|
|
|
Kennwort-Format |
Legt fest, wie das an das Zielsystem gesendete Kennwort kodiert werden soll. Mögliche Werte:
- QuotedUnicode (Fügt dem Kennwort Anführungszeichen hinzu und sendet dann Unicode-Bytes an das Zielsystem. Sollte bei der Synchronisierung mit einem anderen Microsoft Active Directory verwendet werden).
- Unicode (Sendet Unicode-Bytes an das Zielsystem).
- Utf8 (Sendet Utf8-Bytes an das Zielsystem).
|
Admin-Benutzername |
Benutzername des Admin-Kontos im LDAP-System. Der Benutzername sollte im Distinguished Name-Format (CN=admin, DC=example, DC=com) sein. |
Anbieter-Kennwort |
Das Kennwort für das Administratorkonto. |
Zielsuchidentifikator-Attribut |
Standardmäßig wird ein absoluter LDAP-Pfad gestellt, um das Zielkonto zu identifizieren. Wenn dem Quellsystem Informationen zum LDAP-Pfad fehlen, kann auch nach dem Zielkonto gesucht werden, indem stattdessen ein Attribut abgeglichen wird. Diese Einstellung spezifiziert den Namen des Attributs, das bei einer solchen Suche als Vergleichswert dient.
Name des Attributs, das im Zielsystem abgeglichen werden soll. Dieses Attribut für Benutzer im Zielsystem muss eine eindeutige Kennung in diesem Verzeichnis enthalten, z. B. eine Sozialversicherungs- oder Mitarbeiternummer. Dieses Attribut im Zielsystem wird mit dem in der Namenszuordnung konfigurierten Attribut verglichen.
WARNUNG
Es ist von entscheidender Bedeutung, dass die Attribute, die in den "Einstellungen für die Namenszuordnung" für das Quellsystem und das "Attribut für den Zielsuchidentifikator" für das Zielsystem konfiguriert sind, nicht von Benutzern bearbeitet werden können. Dies würde die Sicherheit gefährden und eventuell die Zurücksetzung des Kennworts eines anderen Benutzers und den Zugang zu dessen Konto ermöglichen.
Wird in Verbindung mit Zielsuchwurzeln (Target Search Roots) verwendet. Bitte beachten Sie: Wenn der Identifikator im Quellsystem ein Distinguished Name im Zielsystem ist, ist es nicht notwendig, das Zielsuchidentifikator-Attribut oder die Zielsuchwurzeln zu konfigurieren, da das Konto dann im Zielsystem direkt durch diesen Distinguished Name identifizierbar ist.
|
Gehen Sie davon aus, dass das Zielverzeichnis das Active Directory ist |
HINWEIS
Dies kommt nur zum Einsatz, wenn das Zielsuchidentifikator-Attribut konfiguriert worden ist.
Wählen Sie die Einstellung wahr, wenn es sich beim Ziel um das Microsoft Active Directory handelt, oder wählen Sie andernfalls falsch. Eine Einstellung auf wahr zwingt die LDAP-Anfrage, folgendes aufzunehmen: "(objectCategory=user)(objectCategory=person)(sAMAccountName=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(userAccountControl:1.2.840.113556.1.4.803:=512)"
|
Zusatzbedingungen bei einer LDAP-Suche |
HINWEIS
Dies kommt nur zum Einsatz, wenn das Zielsuchidentifikator-Attribut konfiguriert worden ist.
Ist die Einstellung so gegeben, wird der Wert dieses Strings bei einer Suche nach dem Zielkonto als LDAP-Bedingung mit dem Zielsuchattribut AND-kombiniert. Das Schema ist vom LDAP-Zielsystem abhängig, kann aber beispielsweise deaktivierte Konten aus der Suche ausnehmen oder nur eine spezielle Abteilung durchsuchen, wie etwa "(&(enabled=true)(department=finance))".
|
Zielsuchwurzeln (Target Search Roots) |
Liste der Distinguished Names, die bei der Suche nach Benutzern im Zielsystem anhand des als "Target Search Identifier" angegebenen Attributs als Suchstamm verwendet werden sollen.
Diese Wurzeln müssen als gültige LDAP-Pfade angegeben werden, zum Beispiel LDAP://CN=users,DC=acme,DC=org. Wenn mehr als eine Wurzel benötigt wird, müssen diese durch ein Semikolon (;) getrennt werden.
Wird in Verbindung mit Zielsuchwurzeln (Target Search Attribut) verwendet.
|
HINWEIS
Specops empfiehlt die Verwendung des Active Directory-Anbieters, um Kennwörter mit fernen Active Directories zu synchronisieren. Wenn Sie den LDAP-Anbieter für Active Directory verwenden müssen, sollte der Admin-Benutzername im SAM-Kontonamen-Format anstelle des DN des Admin-Kontos angegeben werden.
Beispiel-Konfigurationen
Open Ldap Non-SSL (nicht für die Produktion geeignet)
Wenn das Ziel ein OpenLdap-Server ist, der so konfiguriert ist, dass er einfache Authentifizierung (Klartext) verwendet, konfigurieren Sie wie folgt:
- Name des Servers: DNS-Name des LDAP-Servers
- Port-Nummer: Typischerweise 389
- Art der Authentifizierung: Basic
- Attributname: userPassword
- Kennwort-Format: Utf8
- Zielsystem ist das Active Directory: falsch
Der Zielbenutzer sollte DN-formatiert sein (eine korrekte Namenszuordnung verwenden).
OpenLdap SSL
Wenn das Ziel ein OpenLdap-Server ist, der für die Verwendung von SSL konfiguriert ist, konfigurieren Sie wie folgt:
- Name des Servers: DNS-Name des LDAP-Servers
- Port-Nummer: Typischerweise 636
- Art der Authentifizierung: BasicSsl
- Gültiger Zertifikat-Fingerabdruck: Hexadezimalzeichenfolge des Fingerabdrucks des Serverzertifikats (40 Hexadezimalstellen)
Hinweis: Es reicht nicht aus, ein vertrauenswürdiges Zertifikat zu verwenden. Der Fingerabdruck des Serverzertifikats muss im Sync-Punkt konfiguriert werden.
- AttributName: UserPassword
- Kennwort-Format: Utf8
Active Directory Lightweight Directory-Dienste
Wenn der Zielserver ein Active Directory Lightweight-Dienstserver ist, konfigurieren Sie ihn wie folgt:
- Server: Name eines DC
- Port-Nummer: Typischerweise 389
- Art der Authentifizierung: Verhandeln
- Attributname: UnicodePWD
- Kennwort-Format: QuotedUnicode
- Admin-Benutzername: Administrator (Pauschalname ohne Domäne)
HINWEIS
Der Zielbenutzer sollte DN-formatiert sein.