Referenz zur Konfiguration des Sync-Anbieters

Der Sync-Anbieter ist das System, mit dem Sie Kennwörter synchronisieren möchten. Specops Password Sync kommt mit einer Reihe schon integrierter Anbieter. Wenn Sie Ihre eigenen Sync-Anbieter für die in Ihrem Unternehmen verwendeten Systeme entwickeln möchten, wenden Sie sich bitte an den Specops-Support.

Nachfolgend finden Sie die Konfigurationsangaben für die enthaltenen Anbieter.

Active Directory-Anbieter


Der Active Directory-Anbieter wird verwendet, um Kennwortänderungen mit einer anderen Active Directory-Domain zu synchronisieren. Die andere Active Directory-Domain kann entweder vertrauenswürdig oder nicht vertrauenswürdig sein.

Voraussetzungen

  • Admin-Konto in der Fern-Domain.
  • Offene Netzwerkkommunikation zwischen dem Sync-Server und dem Ziel-Domain-Controller. Dies bedeutet in der Regel, dass folgende zwei Ports offen sein müssen:
    • tcp/389 (LDAP)
    • tcp/445 (SMB)

Parameter

Parameter Beschreibung
Name der Domain oder des Domain-Controllers Der FQDN der fernen Active Directory-Domain oder eines Domain-Controllers in dieser Domain.
Benutzer entsperren, wenn er gesperrt ist Entsperrt gesperrte Benutzerkonten automatisch, wenn das Kennwort synchronisiert wird.
1: Gesperrte Konten entsperren (Standardwert).
0: Gesperrte Konten nicht entsperren.
Admin-Benutzername Der Name des Administratorkontos, das zum Zurücksetzen von Kennwörtern in der Fern-Domain verwendet wird.
Beispiel: Beispiel\Administrator
Anbieter-Kennwort Das Kennwort für das Administratorkonto.

Azure AD-Anbieter


Der Azure AD-Anbieter wird verwendet, um Kennwörter mit Azure AD zu synchronisieren.

Parameter

Parameter Beschreibung Optional
Graph-API-Version Version der Microsoft Graph-API Ja
Client-ID Anwendungs-ID (Client) Nein
Tenant-ID Directory-ID (Tenant) Nein
Anbieter-Kennwort Client-Geheimniswert Nein

Konfigurieren einer Anwendung in Azure

  1. Melden Sie sich unter https://aad.portal.azure.com/ an
  2. Klicken Sie auf Azure Active Directory. Nun sollten Sie in das Verzeichnis Ihres Unternehmens gelangen.
  3. Klicken Sie auf Anwendungsregistrierungen.
  4. Klicken Sie auf Neue Registrierungen.
  5. Geben Sie einen Namen für die Anwendung in das Feld Name ein.
  6. Wählen Sie mit den Optionsschaltflächen den unterstützten Kontentyp aus (Single Tenant oder Multitenant)
  7. Klicken Sie auf Registrieren. Legen Sie im folgenden Anwendungsübersichtsfenster im Abschnitt Grundlagen eine Notiz (Kopie) der Anwendungs-ID (Client) und der Directory-ID (Tenant) ab. Sie kommen bei der Konfiguration des Sync-Punktes zum Einsatz
  8. Klicken Sie in der linken Navigationsleiste des Anwendungsübersichtsfensters auf Zertifikate und Geheimnisse.
  9. Klicken Sie auf Neues Client-Geheimnis. Geben Sie eine Beschreibung ein und legen Sie über das Dropdown-Menü Ablauf eine Gültigkeitsperiode fest, bevor Sie auf Hinzufügen klicken.
  10. Kopieren und speichern Sie das Geheimnis für das Kennwort in der Spalte Wert. Dies kommt ebenfalls bei der Konfiguration des Sync-Punktes zum Einsatz
    HINWEIS
    Denken Sie daran, dass dieser Wert bei der Sync-Punkt-Konfiguration in das Feld Anbieter-Kennwort eingefügt werden muss.
  11. Klicken Sie in der linken (äußeren) Navigationsleiste des Azure Active Directory Admin-Centers auf Azure Active Directory und dann auf Rollen und Administratoren.
  12. Klicken Sie in der Liste auf eine Rolle, die für das Zurücksetzen von Kennwörtern ausreichend ist.
    HINWEIS
    Einen Überblick über die Rollen und ihre Berechtigungen finden Sie unter Arbeiten mit Benutzern in Microsoft Graph. Beachten Sie, dass im Mindestfall die Rolle des Kennwort-Administrators erforderlich ist, um Kennwörter zurückzusetzen.
  13. Klicken Sie oben auf Zuweisungen hinzufügen. Auf der rechten Seite öffnet sich die Randleiste Zuweisungen hinzufügen.
  14. Geben Sie in das Suchfeld den Namen der registrierten Anwendung ein, klicken Sie in der Anwendung auf die Liste mit den Suchergebnissen und gehen Sie unten auf Hinzufügen.

Nächste Schritte

Nachdem Sie die Anwendungs-ID (Client), die Directory-ID (Tenant) und den Wert für das Geheimnis vermerkt und gespeichert haben, erstellen Sie einen neuen Sync-Punkt mit dem Azure AD-Anbieter. Weitere Informationen zur Erstellung von Sync-Punkten finden Sie auf der Verwaltungsseite.

Domino-Anbieter (Notes-Client)


Der Domino-Anbieter wird verwendet, um Kennwörter mit Domain Internet Password zu synchronisieren.

Voraussetzungen

  • Notes Client-Version 5.0.2b oder höher auf dem Sync-Server installiert.
  • Admin-Anmeldeinformationen, die im Notes Client vorhanden sind.
  • Öffnen Sie die Netzwerkkommunikation zwischen dem Specops Password Sync- und dem Fern-Server.

Parameter

Parameter Beschreibung
Adresse zum Domino-Server FQDN des Domino-Servers.
Benutzerdatenbank Die Datenbank, die die Benutzer enthält.
Standardwert: names.nsf
Datenbank-Ansicht Die Ansicht in der Datenbank, die die Benutzer enthält.
Standardwert: ($VIMPeople)
Spalte Name Der Name der Spalte in der Ansicht, die die Benutzer enthält.
Standardwert: Name

Hinweis: Informationen zur Konfiguration des Domino Web-Service finden Sie unter Domino für Specops Password Sync.

Anbieter von E-Mail-Benachrichtigungen


Der E-Mail-Benachrichtigungsanbieter wird verwendet, um eine benutzerdefinierte E-Mail zu versenden, wenn das Kennwort eines Benutzers geändert wird. Dies kann für eine Vielzahl von Zwecken genutzt werden, z. B. zum Senden einer SMS an das mobile Gerät des Benutzers, die ihn daran erinnert, dass er sein Active Sync-Kennwort auf dem Gerät ändern sollte, damit es mit dem neuen Active Directory-Kennwort übereinstimmt.

Voraussetzungen

  • Es muss ein E-Mail-Server verfügbar sein, um E-Mails von dem auf dem Sync-Server verwendeten Dienstkonto zu senden.

Parameter

Parameter Beschreibung
SMTP-Server-Name FQDN des SMTP-Servers, der zum Senden von E-Mails verwendet werden soll.
Port Die Port-Nummer des SMTP-Servers.
Standardwert: 25
Von Die E-Mail-Adresse, von der die E-Mail gesendet werden soll.
Unterstützt Platzhalter.
An Die E-Mail-Adresse, an die die E-Mail gesendet werden soll.
Unterstützt Platzhalter.
Betreff Der Betreff der E-Mail.
Unterstützt Platzhalter.
Textkörper Der Text der E-Mail.
Unterstützt Platzhalter.

Platzhalter

Die E-Mail-Felder im E-Mail-Benachrichtigungsanbieter unterstützen auch die Verwendung von Platzhaltern zur Anpassung des E-Mail-Inhalts. Die Platzhalter können bei Bedarf mehrfach in demselben Feld verwendet werden.

Platzhalter Beschreibung
%User.% Ruft Werte aus Attributen des Benutzerobjekts des Benutzers ab, der die Kennwortänderung ausgelöst hat.
%Password% Dient zur Aufnahme des neuen Kennworts in die vom Anbieter gesendete E-Mail.
Hinweis: Sie sollten diesen Platzhalter nur verwenden, wenn Sie sich vergewissert haben, dass die daraus resultierende Aktion mit den Informationssicherheitsrichtlinien Ihrer Organisation vereinbar ist.

Google-Apps-Anbieter


Der Google-Apps-Anbieter wird verwendet, um Kennwörter mit Google Apps zu synchronisieren.

Voraussetzungen

  • Zugriff auf Google Workspace
  • Internetzugang auf dem Specops Password Sync-Server.

Als Teil der Voraussetzungen ist Folgendes zu tun:

Erstellen Sie ein Google-Apps-Dienstkonto.

  1. Gehen Sie auf console.cloud.google.com
  2. Wählen Sie Ihr Unternehmen aus (oberes Menü) und erstellen Sie in Ihrem Unternehmen ein neues Projekt.
  3. Geben Sie dem Projekt einen Namen, kontrollieren Sie, ob das Unternehmen korrekt angegeben ist, und klicken Sie auf Erstellen
  4. Gehen Sie auf das eben von Ihnen erstellte Projekt, indem Sie auf den Link Sie arbeiten an klicken und das eben erstellte Projekt auswählen
  5. Gehen Sie im Hamburger-Menü auf der linken Seite auf API und Dienste und dann in der linken Navigationsleiste auf Anmeldedaten
  6. Klicken Sie auf Anmeldedaten erstellen und wählen Sie Dienstkonten aus
  7. Legen Sie einen Namen und eine Beschreibung für das Dienstkonto fest und klicken Sie auf Erstellen und Fortfahren
  8. Klicken Sie auf Fertig
  9. Wählen Sie im Abschnitt Dienstkonto das Dienstkonto aus
  10. Notieren oder speichern Sie die Eindeutige ID für das Dienstkonto
  11. Klicken Sie auf Erweiterte Einstellungen.
  12. Klicken Sie im unteren Teil der Seite auf OAuth-Einwilligungsfenster konfigurieren
  13. Wählen Sie unter Benutzertyp die Optionsschaltfläche Intern aus
  14. Klicken Sie auf Erstellen.
  15. Geben Sie eine Benutzersupport-E-Mail-Adresse und eine Entwickler-E-Mail-Adresse ein
  16. Klicken Sie auf Speichern und Fortfahren
  17. Klicken Sie unter Geltungsbereiche auf Geltungsbereiche hinzufügen oder entfernen
  18. Fügen Sie im Textfeld Geltungsbereiche manuell hinzufügen die folgenden Geltungsbereiche hinzu:
    • https://www.googleapis.com/auth/admin.directory.user
    • https://www.googleapis.com/auth/admin.directory.user.readonly
  19. Klicken Sie auf Zur Tabelle hinzufügen und dann auf Aktualisieren
  20. Klicken Sie auf Speichern und Fortfahren, bevor Sie zu den Anmeldedaten zurückkehren und das Dienstkonto auswählen
  21. Wählen Sie Schlüssel, klicken Sie auf die Dropdown-Liste Schlüssel hinzufügen und wählen Sie Neuen Schlüssel erstellen
  22. Wählen Sie die Optionsschaltfläche P12 aus und klicken Sie auf Erstellen
  23. Legen Sie im Bestätigungsfenster eine Notiz zum privaten Schlüsselkennwort an. Ihr Zertifikat sollte automatisch heruntergeladen werden.
  24. Klicken Sie auf Schließen
  25. Gehen Sie in der linken Navigationsleiste auf API und Dienste.
  26. Wählen Sie Aktivierte API und Dienste aus
  27. Suchen Sie im Suchfeld nach Admin SDK API
  28. Klicken Sie in den Suchergebnissen auf Admin SDK API und dann auf Aktivieren
  29. Gehen Sie in der linken Navigationsleiste auf Zugangsdaten und greifen Sie auf die Registerkarte Berechtigungen zu. Achten Sie darauf, dass die Schaltfläche Zugriff gestatten verfügbar ist

Delegieren des Dienstkontos

  1. Gehen Sie auf admin.google.com
  2. Wählen Sie in der linken Navigationsleiste Sicherheit, dann Zugriffs- und Datenkontrolle und dann API-Kontrollen aus
  3. Stellen Sie sicher, dass das Kästchen Internen domaineigenen Apps vertrauen markiert ist
  4. Klicken Sie auf Zugriff auf externe Apps verwalten
  5. Klicken Sie das Dropdown-Menü App hinzufügen an und wählen Sie Oath-App oder Client-ID aus
  6. Geben Sie im Suchfeld die Eindeutige ID für Ihr Dienstkonto ein (wie in Schritt 10 weiter oben gespeichert) und klicken Sie auf Suchen
  7. Klicken Sie für Ihr Dienstkonto auf Auswählen
  8. Aktivieren Sie die Kontrollkästchen für die Client-ID
  9. Klicken Sie auf Auswählen
  10. Wählen Sie unter App-Zugriff Vertrauenswürdig kann auf alle Google-Dienste zugreifen aus
  11. Klicken Sie auf Konfigurieren
  12. Gehen Sie in der linken Navigationsleiste auf API-Kontrollen
  13. Klicken Sie auf Domainweite Delegation verwalten
  14. Klicken Sie auf Neu hinzufügen.
  15. Geben Sie in das Feld Client-ID die eindeutige ID für Ihr Dienstkonto ein
  16. Fügen Sie im Feld OAuth die folgenden Einträge hinzu, jeweils getrennt durch Kommazeichen:
    • https://www.googleapis.com/auth/admin.directory.user
    • https://www.googleapis.com/auth/admin.directory.user.readonly
  17. Klicken Sie auf Autorisieren

Importieren des Zertifikats auf alle Sync-Server, auf denen der Sync-Punkt mit der Google-App läuft

  1. Führen Sie MMC.exe aus.
  2. Wählen Sie Datei und klicken Sie auf Snap-In hinzufügen/entfernen.
  3. Wählen Sie Zertifikate aus den verfügbaren Snap-Ins aus und klicken Sie auf Hinzufügen.
  4. Wählen Sie im Snap-In-Dialogfeld Zertifikate die Option Computerkonto und klicken Sie auf
  5. Vergewissern Sie sich, dass die Option Lokaler Computer ausgewählt ist, und klicken Sie auf Fertig stellen.
  6. Erweitern Sie im linken Fensterbereich des Konsolenstammfensters die Option Zertifikate.
  7. Klicken Sie mit der rechten Maustaste auf Persönlich, wählen Sie Alle Aufgaben und klicken Sie auf Importieren.
  8. Befolgen Sie die Anweisungen des Assistenten für den Zertifikatsimport auf dem Bildschirm und klicken Sie auf Fertig stellen, wenn Sie fertig sind.
    Hinweis: Vergewissern Sie sich in den Importoptionen, dass die Option "Diesen Schlüssel als exportierbar markieren" aktiviert ist.
  9. Erweitern Sie im linken Fensterbereich des Konsolenstammfensters den Eintrag Zertifikate.
  10. Erweitern Sie Persönlich und klicken Sie auf Zertifikate.
  11. Suchen Sie in der Liste das neu erstellte Zertifikat aus und doppelklicken Sie darauf.
  12. Klicken Sie im Dialogfeld Zertifikat auf die Schaltfläche Details,
  13. Blättern Sie durch die Liste der Felder und klicken Sie auf Fingerabdruck.
  14. Kopieren Sie die hexadezimalen Zeichen aus dem Feld.
    Alt-Text für dieses Bild

Konfigurieren des Sync-Punkts

  1. Öffnen Sie das Specops Password Sync-Verwaltungstool.
  2. Klicken Sie auf Sync-Punkte.
  3. Wählen Sie den Google-App-Anbieter aus und klicken Sie auf Bearbeiten.
    HINWEIS
    Der Google-App-Anbieter wird nur angezeigt, wenn der Synchronisierungspunkt bereits existiert.
  4. Klicken Sie auf Anbieter auswählen und konfigurieren.
  5. Konfigurieren Sie die folgenden Parameter und klicken Sie auf OK.
Parameter Beschreibung
Administratorkonto-E-Mail Das Login-Konto, mit dem die Kennwortänderung in Ihrer Google-Apps-Domain durchgeführt werden soll.
Zertifikatsfingerabdruck Zertifikats-Thumbprint für das von Google generierte Zertifikat.
Servicekonto-E-Mail-Adresse Die E-Mail-Adresse des Google-Apps-Servicekontos, die auf @developer.gservice.com endet

IBM Connections


Der IBM Connections-Anbieter wird verwendet, um Kennwörter mit IBM Connections zu synchronisieren.

Voraussetzungen

  • IBM Connections-Konto mit Administrator- oder Admin-Assistent-Rolle.

Parameter

Parameter Beschreibung
Verwaltungskonto Die mit dem IBM Connections-Konto verknüpfte E-Mail-Adresse.
URL Die URL zur IBM Connections-API.
Zum Beispiel: https://apps.na.collabserv.com/api/bss
Anbieter-Kennwort Das Kennwort für das Administrationskonto
Kennwort wiederholen Das Kennwort für das Administrationskonto

Kerberos-Anbieter


Der Kerberos-Anbieter wird zur Synchronisierung von Kennwörtern mit Kerberos-basierten Systemen verwendet.

Voraussetzungen

  • Admin-Konto mit der Berechtigung, Kennwörter im Kerberos-Bereich der Zielbenutzer zurückzusetzen.
  • Öffnen Sie die Netzwerkkommunikation zwischen dem Specops Password Sync- und dem Kerberos-Server.

Parameter

Parameter Beschreibung
Zielbereich Der Kerberos-Bereich, in dem das Zielkonto existiert.
KDC-Adresse Die Adresse des zu kontaktierenden Kerberos-KDC.
Dieses Feld ist optional.
Admin-Bereich Der Kerberos-Bereich, in dem das Administratorkonto existiert.
Admin-Benutzername Der Benutzername des Administratorkontos.
Anbieter-Kennwort Das Kennwort für das Administratorkonto.

LDAP-Anbieter


Der LDAP-Anbieter wird zur Synchronisierung von Kennwörtern mit fernen LDAP-Systemen, wie OpenLdap oder Microsoft Active Directory Lightweight Services (AD LDS), verwendet. Wenn der Zielserver ein vollständiges Microsoft Active Directory ist, sollte der Active Directory-Anbieter verwendet werden.

Dies ist empfehlenswert, weil der vollständige Active Directory-Anbieter mehrere Domain-Controller und auch die Entsperrung von Konten unterstützt, wenn diese in der Fern-Domain gesperrt sind. Außerdem läuft dann alles vollständig verschlüsselt ab.

Voraussetzungen

  • Admin-Konto auf dem Fernsystem.
  • Öffnen Sie die Netzwerkkommunikation zwischen dem Sync- und dem Fern-Server. Dies bedeutet in der Regel, dass einer der beiden folgenden Ports offen sein muss:
    • tcp/389 (nicht-SSL-verschlüsseltes LDAP)
    • tcp/636 (SSL-verschlüsseltes LDAP)

Parameter

Parameter Beschreibung
Servername Der Name des Fern-LDAP-Servers.
Port-Nummer Die Nummer des Ports, der bei der Kontaktaufnahme mit dem Fern-LDAP-Server verwendet werden soll.
Standard-Port: 636
Art der Authentifizierung Kann auf einen der folgenden Werte eingestellt werden:
  • Grundlegend: Verwendet eine grundlegende Authentifizierung mit Benutzername/Kennwort. Sollte nur zu Testzwecken verwendet werden.
  • BasicSsl: Verwendet die Basisauthentifizierung mit Benutzername/Kennwort über SSL. Dies kann in der Produktion gegen einen OpenLDAP-Server verwendet werden. Für diesen Authentifizierungstyp müssen Sie das verwendete Zertifikat des Servers konfigurieren, damit der Sync-Punkt weiß, dass es sich um einen vertrauenswürdigen Server handelt.
  • Verhandeln: Verwendet den besten Algorithmus zur Verschlüsselung und Überprüfung der Integrität von Kennwortänderungen auf dem LDAP-Server. Wird verwendet, wenn der LDAP-Server mit dem verwendeten Sync-Server das Vertrauen von Kerberos hat.
Gültiger Zertifikat-Fingerabdruck Der Fingerabdruck des Server-Zertifikats. Wenn Sie dieses Feld leer lassen, wird jedes beliebige Zertifikat akzeptiert (nicht empfohlen).
Um den Fingerabdruck des Serverzertifikats zu ermitteln, geben Sie "xyz" als "Gültiger Fingerabdruck des Serverzertifikats" ein und versuchen Sie einen Reset. Die Fehlermeldung im Testtool (oder im Ereignisprotokoll der Anwendung) enthält dann den Fingerabdruck. Der
Der Fingerabdruck ist eine Hex-Zeichenkette, die Trennzeichen ":" enthalten kann, aber nicht muss.
Hinweis: Diese Einstellung gilt nur für die Basic SSL-Authentifizierung.
Attributname Der Name des Benutzerattributs im LDAP-System, in dem das Kennwort gespeichert ist. Dieser Parameter wird in Verbindung mit "In Unicode umwandeln" verwendet
Standardwert: unicodePwd.
Kennwort-Format Legt fest, wie das an das Zielsystem gesendete Kennwort kodiert werden soll.
Mögliche Werte:
  • QuotedUnicode (Fügt dem Kennwort Anführungszeichen hinzu und sendet dann Unicode-Bytes an das Zielsystem. Sollte bei der Synchronisierung mit einem anderen Microsoft Active Directory verwendet werden).
  • Unicode (Sendet Unicode-Bytes an das Zielsystem).
  • Utf8 (Sendet Utf8-Bytes an das Zielsystem).
Admin-Benutzername Benutzername des Admin-Kontos im LDAP-System. Der Benutzername sollte im Distinguished Name-Format (CN=admin, DC=example, DC=com) sein.
Anbieter-Kennwort Das Kennwort für das Administratorkonto.
Zielsuchidentifikator-Attribut

Standardmäßig wird ein absoluter LDAP-Pfad gestellt, um das Zielkonto zu identifizieren. Wenn dem Quellsystem Informationen zum LDAP-Pfad fehlen, kann auch nach dem Zielkonto gesucht werden, indem stattdessen ein Attribut abgeglichen wird. Diese Einstellung spezifiziert den Namen des Attributs, das bei einer solchen Suche als Vergleichswert dient.

Name des Attributs, das im Zielsystem abgeglichen werden soll. Dieses Attribut für Benutzer im Zielsystem muss eine eindeutige Kennung in diesem Verzeichnis enthalten, z. B. eine Sozialversicherungs- oder Mitarbeiternummer. Dieses Attribut im Zielsystem wird mit dem in der Namenszuordnung konfigurierten Attribut verglichen.

WARNUNG
Es ist von entscheidender Bedeutung, dass die Attribute, die in den "Einstellungen für die Namenszuordnung" für das Quellsystem und das "Attribut für den Zielsuchidentifikator" für das Zielsystem konfiguriert sind, nicht von Benutzern bearbeitet werden können. Dies würde die Sicherheit gefährden und eventuell die Zurücksetzung des Kennworts eines anderen Benutzers und den Zugang zu dessen Konto ermöglichen.

Wird in Verbindung mit Zielsuchwurzeln (Target Search Roots) verwendet. Bitte beachten Sie: Wenn der Identifikator im Quellsystem ein Distinguished Name im Zielsystem ist, ist es nicht notwendig, das Zielsuchidentifikator-Attribut oder die Zielsuchwurzeln zu konfigurieren, da das Konto dann im Zielsystem direkt durch diesen Distinguished Name identifizierbar ist.

Gehen Sie davon aus, dass das Zielverzeichnis das Active Directory ist
HINWEIS
Dies kommt nur zum Einsatz, wenn das Zielsuchidentifikator-Attribut konfiguriert worden ist.

Wählen Sie die Einstellung wahr, wenn es sich beim Ziel um das Microsoft Active Directory handelt, oder wählen Sie andernfalls falsch. Eine Einstellung auf wahr zwingt die LDAP-Anfrage, folgendes aufzunehmen: "(objectCategory=user)(objectCategory=person)(sAMAccountName=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(userAccountControl:1.2.840.113556.1.4.803:=512)"

Zusatzbedingungen bei einer LDAP-Suche
HINWEIS
Dies kommt nur zum Einsatz, wenn das Zielsuchidentifikator-Attribut konfiguriert worden ist.

Ist die Einstellung so gegeben, wird der Wert dieses Strings bei einer Suche nach dem Zielkonto als LDAP-Bedingung mit dem Zielsuchattribut AND-kombiniert. Das Schema ist vom LDAP-Zielsystem abhängig, kann aber beispielsweise deaktivierte Konten aus der Suche ausnehmen oder nur eine spezielle Abteilung durchsuchen, wie etwa "(&(enabled=true)(department=finance))".

Zielsuchwurzeln (Target Search Roots) Liste der Distinguished Names, die bei der Suche nach Benutzern im Zielsystem anhand des als "Target Search Identifier" angegebenen Attributs als Suchstamm verwendet werden sollen.

Diese Wurzeln müssen als gültige LDAP-Pfade angegeben werden, zum Beispiel LDAP://CN=users,DC=acme,DC=org. Wenn mehr als eine Wurzel benötigt wird, müssen diese durch ein Semikolon (;) getrennt werden.

Wird in Verbindung mit Zielsuchwurzeln (Target Search Attribut) verwendet.
HINWEIS
Specops empfiehlt die Verwendung des Active Directory-Anbieters, um Kennwörter mit fernen Active Directories zu synchronisieren. Wenn Sie den LDAP-Anbieter für Active Directory verwenden müssen, sollte der Admin-Benutzername im SAM-Kontonamen-Format anstelle des DN des Admin-Kontos angegeben werden.

Beispiel-Konfigurationen

Open Ldap Non-SSL (nicht für die Produktion geeignet)

Wenn das Ziel ein OpenLdap-Server ist, der so konfiguriert ist, dass er einfache Authentifizierung (Klartext) verwendet, konfigurieren Sie wie folgt:

  • Name des Servers: DNS-Name des LDAP-Servers
  • Port-Nummer: Typischerweise 389
  • Art der Authentifizierung: Basic
  • Attributname: userPassword
  • Kennwort-Format: Utf8
  • Zielsystem ist das Active Directory: falsch

Der Zielbenutzer sollte DN-formatiert sein (eine korrekte Namenszuordnung verwenden).

OpenLdap SSL

Wenn das Ziel ein OpenLdap-Server ist, der für die Verwendung von SSL konfiguriert ist, konfigurieren Sie wie folgt:

  • Name des Servers: DNS-Name des LDAP-Servers
  • Port-Nummer: Typischerweise 636
  • Art der Authentifizierung: BasicSsl
  • Gültiger Zertifikat-Fingerabdruck: Hexadezimalzeichenfolge des Fingerabdrucks des Serverzertifikats (40 Hexadezimalstellen)

Hinweis: Es reicht nicht aus, ein vertrauenswürdiges Zertifikat zu verwenden. Der Fingerabdruck des Serverzertifikats muss im Sync-Punkt konfiguriert werden.

  • AttributName: UserPassword
  • Kennwort-Format: Utf8
Active Directory Lightweight Directory-Dienste

Wenn der Zielserver ein Active Directory Lightweight-Dienstserver ist, konfigurieren Sie ihn wie folgt:

  • Server: Name eines DC
  • Port-Nummer: Typischerweise 389
  • Art der Authentifizierung: Verhandeln
  • Attributname: UnicodePWD
  • Kennwort-Format: QuotedUnicode
  • Admin-Benutzername: Administrator (Pauschalname ohne Domäne)
HINWEIS
Der Zielbenutzer sollte DN-formatiert sein.

Anbieter lokaler Konten


Ein Anbieter lokaler Konten wird verwendet, um Kennwörter für lokale Benutzerkonten auf einem bestimmten Computer zurückzusetzen.

Voraussetzungen

  • Admin-Konto für den Zielcomputer.
  • Öffnen Sie die Netzwerkkommunikation zwischen dem Specops Password Sync- und dem Kerberos-Server.

Parameter

Parameter Beschreibung
Administrator-Konto Der Benutzername des Administratorkontos.
Computername Der Name des Zielcomputers
Anbieter-Kennwort Das Kennwort für das Administratorkonto.

Anbieter von Microsoft Online Services [obsolet]


HINWEIS
Der Anbieter von Microsoft Online Services ist obsolet. Für Abwärtskompatibilität verwenden Sie bitte den Azure AD-Anbieter.

Ein Microsoft Online Services-Anbieter wird verwendet, um Kennwörter mit Microsoft Online Services wie Office 365 zu synchronisieren.

Voraussetzungen

Parameter

Parameter Beschreibung
Administrator-Konto Der Benutzername des Administratorkontos.
Anbieter-Kennwort Das Kennwort für das Administratorkonto.

Microsoft SQL Server-Anbieter


Ein Microsoft SQL Server-Anbieter wird verwendet, um Kennwörter mit MS SQL Server-Benutzern zu synchronisieren.

Voraussetzungen

  • SQL Server-authentifiziertes Administratorkonto (Windows-Authentifizierung wird nicht unterstützt).
  • SQL Server-Benutzerkonten (in benutzerdefinierten Datenbanken gespeicherte Konten werden nicht unterstützt).
  • Offene Netzwerkkommunikation zwischen dem Specops Password Sync-Server und dem Ziel-Domain-Controller.
  • SQL Server Management Studio-Tools, auf dem Sync-Server installiert.

Parameter

Parameter Beschreibung
SQL-Server Der Name des Ziel-MSQL-Servers.
Admin-Benutzername Der Benutzername des Administratorkontos.
Anbieter-Kennwort Das Kennwort für das Administratorkonto.

Oracle-Datenbankanbieter


Ein Oracle-Datenbankanbieter wird verwendet, um Kennwörter mit Oracle-Datenbankbenutzern zu synchronisieren.

Voraussetzungen

  • Der Anbieter ist für Oracle 11g konzipiert, kann aber auch mit anderen Versionen funktionieren.
  • Oracle-Admin-Konten.
  • Von Oracle-authentifizierte Benutzer
HINWEIS
In benutzerdefinierten Datenbanken gespeicherte Konten werden nicht unterstützt.
Parameter Beschreibung
Datenbank-Server Hier das Format der Datenquelle:
(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=MyHost)(PORT=MyPort))(CONNECT_DATA=(SERVICE_NAME=MyOracleSID) Sie müssen die Werte der oben hervorgehobenen Elemente in die Werte der Datei thetnsnames.ora übernehmen. Sie finden diese Datei im Verzeichnis ORACLE HOME\NETWORK\ADMIN.
Siehe folgendes Beispiel für die Datei tnsnames.ora: ORACLR_CONNECTION_DATA =(DESCRIPTION =(ADDRESS_LIST =(ADDRESS = (PROTOCOL = IPC)(KEY = EXTPROC1521)))(CONNECT_DATA =(SID = CLRExtProc)

(PRESENTATION = RO)

)

)

ORCL =

(DESCRIPTION =

(ADDRESS = (PROTOCOL = TCP)(HOST = SRV04.shrek.qa)(PORT = 1521))

(CONNECT_DATA =

(SERVER = DEDICATED)

(SERVICE_NAME = orcl.shrek.qa)

)

)

Die Datenquelle sollte wie folgt aussehen, nachdem Sie die entsprechenden Werte aus der Datei tnsnames.ora hinzugefügt haben.

(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=

SRV04.shrek.qa)(PORT=1521))(CONNECT_DATA=(SERVICE_NAME=

orcl.shrek.qa)))

Parameter Beschreibung
Admin-Benutzername Der Benutzername des Administratorkontos.
Parameter Beschreibung
Anbieter-Kennwort Das Kennwort für das Administratorkonto.

Salesforce-Anbieter


Ein Salesforce-Provider wird verwendet, um Kennwörter mit Salesforce.zu synchronisieren.

Voraussetzungen

  • Admin-Konto im Salesforce-Ziel.
  • Gültiges Salesforce-Sicherheitstoken für das Admin-Konto. Das Sicherheits-Token für das Admin-Konto sollte Ihnen bei der Einrichtung Ihres Salesforce-Kontos oder beim letzten Zurücksetzen Ihres Kennworts per E-Mail zugeschickt worden sein. Wenn Sie diese E-Mail nicht finden können, müssen Sie das Token zurücksetzen.

Zum Erhalt oder Zurücksetzen Ihres Sicherheits-Tokens:

  1. Klicken Sie oben auf einer beliebigen Salesforce-Seite auf den Abwärtspfeil neben Ihrem Namen. Wählen Sie im Menü unter Ihrem Namen die Option Einrichtung oder Meine Einstellungen, je nachdem, welche Option angezeigt wird.
  2. Wählen Sie im linken Bereich eine der folgenden Optionen aus:
    • Wenn Sie auf Einrichtung geklickt haben, wählen Sie Meine persönlichen Daten| Mein Sicherheitstoken zurücksetzen.
    • Wenn Sie auf Meine Einstellungen geklickt haben, wählen Sie Persönlich| Mein Sicherheitstoken zurücksetzen.
  3. Klicken Sie auf Sicherheitstoken zurücksetzen. Das neue Sicherheitstoken wird per E-Mail an die E-Mail-Adresse in Ihrem Salesforce-Benutzerdatensatz gesendet. Bewahren Sie diese E-Mail auf. Ihr Sicherheits-Token wird nicht in Ihren Einstellungen oder Ihrem Profil angezeigt.
HINWEIS
Dieses Token wird bei jeder Änderung des Administratorkonto-Kennworts geändert.

Parameter

Parameter Beschreibung
URL Die URL zur Salesforce.com-API.
Standardwert: https://login.salesforce.com/services/Soap/c/23.0
Admin-Benutzername Der Benutzername des Administratorkontos.
Anbieter-Kennwort Das Kennwort und das Sicherheits-Token.
Bsp. Wenn Ihr Kennwort beispielsweise "myPassword" und Ihr Sicherheits-Token "XXXX" lautet, geben Sie "myPasswordXXXX" ein.

SAP-Anbieter


Ein SAP-Provider wird verwendet, um Kennwörter mit Benutzerkonten in SAP-Systemen zu synchronisieren.

Voraussetzungen

  • Admin-Konto in der SAP-Zielumgebung.
  • Der SAP .Net Connector 3.0 für .Net 4.0 muss auf dem Specops Password Sync-Server installiert sein.
HINWEIS
Wenn SAP beim Einrichten des Geltungsbereichs nicht in der Liste der verfügbaren Sync-Anbieter angezeigt wird, kopieren Sie die folgenden .dll-Dateien aus dem SAP.NetConnector-Programmverzeichnis (z. B. C:\Program Files\SAP\SAP_DotNetConnector3_Net40_x64) in C:\Program Files\Specopssoft\Specops Password Sync\Server\Providers\SAP auf dem Sync-Server und starten Sie dann den Service neu. Zu kopierende Dateien:
  • libicudecnumber.dll
  • rscp4n.dll
  • sapnco.dll
  • sapnco_utils.dll

Hinweis:

  • Der SAP.Net Connector hat eine Abhängigkeit von Visual C++ 2010 Redistributable, die das SAP-Installationsprogramm nicht berücksichtigt. Wenn diese Komponente nicht als Teil eines anderen Pakets installiert wurde, schlägt der Anbieter mit der folgenden Fehlermeldung fehl: "Die Datei oder Assembly 'sapnco_utils.dll' oder eine ihrer Abhängigkeiten konnte nicht geladen werden. Das angegebene Modul konnte nicht gefunden werden.”
  • Durch die Installation von KB2365063 - Microsoft Visual C++ 2010 Service-Pack 1 Redistributable Package MFC-Sicherheitsaktualisierung wird dieses Problem behoben.

Parameter

Parameter Beschreibung
Adresse des SAP-Servers FQDN des SAP-Servers, auf dem das Kennwort geändert werden soll.
System-ID Die System-ID in SAP (z.B. 00)
Client-ID Die Client-ID in SAP (z.B. 100)
Admin-Benutzername Den Benutzernamen des Administratorkontos
Anbieter-Kennwort Das Kennwort für das Administratorkonto

Windows-Dienstanbieter


Ein Windows-Dienstanbieter wird verwendet, um das in einem Windows-Dienst verwendete Kennwort zu aktualisieren, wenn das Kennwort des Domain-Dienstkontos geändert wird. Der Anbieter findet alle Dienste, die unter dem Domain-Konto auf dem Zielserver laufen und setzt das neue Kennwort für sie.

Voraussetzungen

  • Admin-Konto auf dem Zielserver.
  • Offene Netzwerkkommunikation zwischen dem Specops Password Sync-Server und dem Ziel-Server.

Parameter

Parameter Beschreibung
Administrator-Konto Der Benutzername des Administratorkontos, das zum Ändern des Kennworts auf dem Fern-Server verwendet wird.
Servername Der Name des Zielservers, auf dem der Dienst ausgeführt wird.
Anbieter-Kennwort Das Kennwort für das Administratorkonto.