Les administrateurs configurent Active Directory pour héberger les informations de répertoire LDAP (Lightweight Directory Access Protocol) à l’aide de l’une des méthodes d’hébergement suivantes.

• La méthode courante d’hébergement des informations de répertoire LDAP consiste à utiliser LDAP ou LDAPS par défaut (LDAP sécurisé) sur les ports 389 ou 636. Ces ports LDAP standard existent toujours sur un contrôleur de domaine (DC) et sont rarement modifiés. L’accès à cette partition de répertoire permet d’accéder à tous les objets du domaine hébergé sur le contrôleur de domaine. Il n’y a aucun moyen d’accéder à des objets d’autres domaines à l’aide de cette méthode.
• Un contrôleur de domaine peut également se voir accorder le rôle de catalogue global (GC). Le rôle de catalogue global (GC) est un répertoire compatible LDAP consistant en une représentation partielle de chaque objet de chaque domaine de la forêt. Ce répertoire LDAP est accessible sur le port 3268, LDAPS sur le port 3269. Les exigences en matière de certificat LDAPS et des ports LDAP par défaut sont les mêmes.

Catalogue global Dépendances LDAP

• Le rôle Catalogue global doit être activé sur le contrôleur auquel votre instance se connecte.
• Les règles de pare-feu doivent autoriser le trafic entrant vers le contrôleur de domaine sur le port 3268 (LDAP) ou 3269 (LDAPS).

Remarques spéciales

• Tous les attributs ne sont pas répliqués sur la partition GC. Les attributs communs tels que le prénom, le nom, l’adresse e-mail, le numéro de téléphone, la description et l’adresse sont inclus. Des attributs supplémentaires peuvent être ajoutés au GC, mais doivent être limités pour minimiser l’impact sur le trafic de réplication de la forêt.
• Les intégrations LDAP standard utilisent généralement sAMAccountName comme ID d’utilisateur de l’instance et comme clé de fusion dans la carte d’importation LDAP, car celle-ci est garantie unique au sein d’un domaine. Cet attribut n’est plus unique lors de l’affichage d’une forêt entière de domaines. Un nouvel attribut unique doit être identifié en tant que UserID et clé de fusion. Ceux-ci n’ont pas besoin d’être le même attribut et peuvent varier en fonction de la conception de votre forêt. Consultez votre administrateur Active Directory. En règle générale, le userPrinicpalName est un attribut unique dans tous les domaines, mais ce n’est peut-être pas un nom convivial pour se connecter, mais il peut être utilisé pour l’identificateur unique sur les importations. L’adresse e-mail est un attribut commun utilisé pour le UserID. Ces décisions ont un impact sur les propriétés LDAP et le mappage LDAP.
• La valeur utilisée pour la clé de fusion sur la carte d’importation LDAP doit être unique et exister sur chaque objet importé. S’il n’est pas unique ou n’existe pas, les enregistrements incorrects sont mis à jour avec les changements.
• Si vous avez déjà une intégration LDAP et que vous souhaitez la changer en GC, changez la clé de fusion d’importation. Les nouvelles valeurs de clé doivent être importées avant de pouvoir modifier la clé de fusion.
• Si vous apportez des modifications à votre intégration LDAP qui interrompent votre intégration, la première étape consiste à rétablir ces modifications. Après cela, contactez Service et assistance client des informations complètes sur ce que vous essayez.