Definieren von LDAP-Organisationseinheiten

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Eine Definition der Organisationseinheit (OE) gibt die LDAP-Quellverzeichnisse an, die für die Integration verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle: admin.

    Warum und wann dieser Vorgang ausgeführt wird

    OE-Definitionen können Standorte, Personen oder Benutzergruppen enthalten. Jede LDAP-Serverdefinition enthält zwei Beispiel-OU-Definitionen: eine für den Import von Gruppen in das System und eine für Benutzer.

    Prozedur

    1. Navigieren zu Alle > System-LDAP > LDAP-Server.
    2. Wählen Sie den zu konfigurierenden LDAP-Server aus.
    3. Wählen Sie in der zugehörigen Liste „LDAP-OE-Definitionen “ entweder die Beispiel-OE-Definition Gruppen oder Benutzer aus.
    4. Füllen Sie das Formular „LDAP-OU-Definition“ aus (siehe Tabelle).
    5. Klicken Sie auf Aktualisieren.
      Das System testet automatisch die Verbindung zum LDAP-Server.
    6. Klicken Sie unter Zugehörige Linksauf Durchsuchen, um die von der OE-Definition zurückgegebenen LDAP-Verzeichnisdatensätze anzuzeigen.
      Formular „LDAP-OU-Definition“.
      Tabelle : 1. Formular „OE-Definition“
      Feld Beschreibung
      Name Geben Sie den Namen an, den die Integration beim Verweisen auf diese OE verwendet. Der hier eingegebene Name wird zu einem LDAP-Ziel im Datenquellen-Datensatz.
      RDN Geben Sie den relativen eindeutigen Namen des Unterverzeichnisses an, das Sie durchsuchen möchten. Dieser RDN wird mit dem Startsuchverzeichnis aus der LDAP-Serverdefinition kombiniert, um das Unterverzeichnis zu identifizieren, das Informationen für diese Organisationseinheit enthält. Die Beispiel-OE-Definition verwendet beispielsweise den RDN-Wert CN=Users, um das LDAP-Verzeichnis CN=Users,DC=service-now,DC=com und ein beliebiges Verzeichnis darunter zu durchsuchen. Dieses Feld muss mit einem Unterverzeichnis in Ihrem LDAP-System übereinstimmen.
      Abfragefeld Geben Sie den Namen des Attributs auf dem LDAP-Server an, um Datensätze abzufragen. Das Abfragefeld muss sowohl in einzelnen als auch in mehreren Domäneninstanzen eindeutig sein. Um die besten Ergebnisse zu erzielen, verwenden Sie E-Mail-Adressen oder andere Anmeldeinformationen, die den Benutzer in einer Instanz mit mehreren Domänen eindeutig identifizieren. Active Directory verwendet das Attribut sAMAccountName. Andere LDAP-Server verwenden in der Regel das cn- Attribut.
      Hinweis:
      Das Feld Abfrage muss dem Feld Benutzer- ID in der Benutzertabelle [sys_user] zugeordnet werden. Beispiel: Wenn sich ein Active Directory-Benutzer als joe.example anmeldet, müssen ein Benutzerdatensatz mit dem Benutzer- ID -Wert von joe.example und ein LDAP-Datensatz mit dem sAMAccountName -Wert von joe.example vorhanden sein.
      Aktiv Aktivieren Sie dieses Kontrollkästchen, um die OE-Definition zu aktivieren und Administratoren das Testen des Datenimports zu ermöglichen. Die Integration kann jedoch nur Daten aus aktiven OU-Definitionen in das System übernehmen.
      Tabelle Geben Sie die Tabelle an, die die zugeordneten Daten von Ihrem LDAP-Server empfängt. Wählen Sie für Benutzer Benutzer (sys_user)und für Gruppen Gruppe (sys_group) aus.
      Filter Geben Sie eine LDAP-Filterzeichenfolge ein, um bestimmte Datensätze auszuwählen, die aus der OE importiert werden sollen. Je spezifischer die LDAP-Filterabfrage ist, desto effizienter ist die Abfrage.

      Beispielsweise verwendet die LDAP-OU-Definition Benutzer den folgenden Filter, um Datensätze auszuwählen, die als Person klassifiziert sind, einen sn -Attributwert haben, keine Computer sind und nicht als inaktiv gekennzeichnet sind:

      (&(objectClass=person)(sn=*)(!(objectClass=computer)) (!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Eine Beschreibung der LDAP-Filtersyntax finden Sie, indem Sie im Internet nach LDAP-Filter RFCsuchen.

    Beispiel für Definitionen von Organisationseinheiten

    Angenommen, Sie haben einen LDAP-Server mit der folgenden Verzeichnisstruktur:

    dc=meine-Domäne,dc=com

    • ou = Gruppen
      • cn = Entwicklung
      • cn = HR
      • cn = Vertrieb
    • ou = Benutzer
      • ou = Entwicklung
      • OU = HR
      • ou = Vertrieb

    Angenommen, Sie möchten die HR-Gruppe und die HR-Benutzer aus der Anwendung ausschließen. Führen Sie die folgenden Schritte aus:

    1. Erstellen Sie einen LDAP-Serverdatensatz mit dem Startsuchverzeichnis dc=my-domain,dc=com.
    2. Erstellen Sie einen OE-Definitionsdatensatz für ou=Groups mit einem Filter, um cn=HR auszuschließen.
    3. Erstellen Sie einen OE-Definitionsdatensatz für ou=Users mit einem Filter, um ou=HR auszuschließen.

    Wenn Sie keine zusätzlichen Attribute oder Filter mit einer OU-Definition angeben, gibt die LDAP-Abfrage die gesamte Unterstruktur aus dem Startverzeichnis und dem RDN zurück.

    In diesen Beispielen hätte eine OU-Definition mit dem RDN-Wert ou=Groups und ohne Filter alle Gruppen zurückgegeben. Ebenso hätte eine OU-Definition mit dem RDN-Wert ou=Users und ohne Filter alle Benutzer und untergeordneten Organisationseinheiten zurückgegeben.