Definieren von LDAP-Organisationseinheiten

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Eine Definition der Organisationseinheit (OU) gibt die LDAP-Quellverzeichnisse an, die für die Integration verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle: admin.

    Warum und wann dieser Vorgang ausgeführt wird

    OE-Definitionen können Standorte, Personen oder Anwendergruppen enthalten. Jede LDAP-Serverdefinition enthält zwei Beispiel-OU-Definitionen: Eine zum Importieren von Gruppen in das System und die andere für Anwender.

    Prozedur

    1. Navigieren zu Alle > System-LDAP > LDAP-Serveran.
    2. Wählen Sie den zu konfigurierenden LDAP-Server aus.
    3. In LDAP-OU-Definitionen Zugehörige Liste wählen Sie entweder aus Gruppen Oder Anwender Beispiel-OU-Definition.
    4. Füllen Sie das Formular „LDAP-OU-Definition“ aus (siehe Tabelle).
    5. Klicken Sie auf Aktualisieren.
      Das System testet die Verbindung zum LDAP-Server automatisch.
    6. Unter Zugehörige Links , Klicken Sie auf Durchsuchen Zum Anzeigen der LDAP-Verzeichnisdatensätze, die die OU-Definition zurückgibt.
      Formular „LDAP-OU-Definition“
      Tabelle : 1. Formular „OE-Definition“
      Feld Beschreibung
      Name Geben Sie den Namen an, den die Integration beim Verweis auf diese OE verwendet. Der hier eingegebene Name wird zu einem LDAP-Ziel im Datenquellendatensatz.
      RDN Geben Sie den relativen eindeutigen Namen des Unterverzeichnisses an, das Sie durchsuchen möchten. Dieser RDN wird mit dem Suchverzeichnis aus der LDAP-Serverdefinition kombiniert, um das Unterverzeichnis zu identifizieren, das Informationen für diese Organisationseinheit enthält. Beispielsweise verwendet die Beispiel-OU-Definition den RDN-Wert von CN=Anwender Zum Durchsuchen des LDAP-Verzeichnisses CN=Anwender,DC=Service-now,DC=com Und ein beliebiges Verzeichnis unterhalb dieses Punkts. Dieses Feld muss mit einem Unterverzeichnis in Ihrem LDAP-System übereinstimmen.
      Abfragefeld Geben Sie den Namen des Attributs auf dem LDAP-Server an, das nach Datensätzen abgefragt werden soll. Das Abfragefeld muss sowohl in einzelnen als auch in mehreren Domäneninstanzen eindeutig sein. Verwenden Sie für beste Ergebnisse E-Mail-Adressen oder andere Anmeldeinformationen, die den Anwender in einer Instanz mit mehreren Domänen eindeutig identifizieren. Active Directory verwendet SAMAccountName Attribut. Andere LDAP-Server verwenden tendenziell cn Attribut.
      Hinweis:
      Die Abfragefeld Muss dem zugeordnet werden Anwender-ID Feld in der Anwendertabelle [sys_user]. Beispiel: Wenn sich ein Active Directory-Anwender als anmeldet joe.Beispiel , Es muss ein Anwenderdatensatz mit vorhanden sein Anwender-ID Wert von joe.Beispiel Und ein LDAP-Datensatz mit SAMAccountName Wert von joe.Beispiel .
      Aktiv Aktivieren Sie dieses Kontrollkästchen, um die OU-Definition zu aktivieren und Administratoren das Testen des Datenimports zu ermöglichen. Die Integration kann jedoch nur Daten aus aktiven OU-Definitionen in das System übernehmen.
      Tabelle Geben Sie die Tabelle an, die die zugeordneten Daten von Ihrem LDAP-Server empfängt. Wählen Sie für Anwender aus Anwender (sys_user) , Und wählen Sie für Gruppen aus Gruppe (sys_Group) .
      Filter Geben Sie eine LDAP-Filterzeichenfolge ein, um bestimmte Datensätze auszuwählen, die aus der OU importiert werden sollen. Je spezifischer die LDAP-Filterabfrage ist, desto effizienter ist die Abfrage.

      Beispielsweise verwendet die OU-Definition „Anwender LDAP“ den folgenden Filter, um Datensätze auszuwählen, die als Person klassifiziert sind, eine haben sn Attributwert, sind keine Computer und sind nicht als inaktiv gekennzeichnet:

      (&(objectClass=Person)(sn=*)(!(objectClass=Computer)) (!(userAccountControl:1,2.840.113556.1,4.803:=2)))

      Sie können eine Beschreibung der LDAP-Filtersyntax finden, indem Sie im Internet nach suchen LDAP-Filter-RFC .

    Beispiel für Definitionen von Organisationseinheiten

    Angenommen, Sie haben einen LDAP-Server mit der folgenden Verzeichnisstruktur:

    dc=meine-Domäne,dc=com

    • Ou=Gruppen
      • cn=Entwicklung
      • cn=HR
      • cn=Vertrieb
    • Ou=Anwender
      • Ou = Entwicklung
      • Ou=HR
      • Ou=Vertrieb

    Angenommen, Sie möchten die HR-Gruppe und HR-Anwender aus der Anwendung ausschließen. Gehen Sie wie folgt vor:

    1. Erstellen Sie einen LDAP-Serverdatensatz mit einem Startsuchverzeichnis von dc=my-Domain,dc=com.
    2. Erstellen Sie einen OU-Definitionsdatensatz für ou=Gruppen mit einem Filter zum Ausschließen von cn=HR.
    3. Erstellen Sie einen OU-Definitionsdatensatz für ou=Anwender mit einem Filter zum Ausschließen von ou=HR.

    Wenn Sie keine zusätzlichen Attribute oder Filter mit einer OU-Definition angeben, gibt die LDAP-Abfrage die gesamte Unterstruktur aus dem Startverzeichnis und dem RDN zurück.

    In diesen Beispielen hätte eine OU-Definition mit dem RDN-Wert ou=Groups und keinem Filter alle Gruppen zurückgegeben. Ebenso hätte eine OU-Definition mit dem RDN-Wert ou=Users und keinem Filter alle Anwender und untergeordneten Organisationseinheiten zurückgegeben.