Les administrateurs configurent Active Directory pour héberger les informations d’annuaire LDAP (Lightweight Directory Access Protocol) à l’aide de l’une des méthodes d’hébergement suivantes.

• La méthode courante d’hébergement des informations d’annuaire LDAP consiste à utiliser le LDAP ou LDAPS (LDAP sécurisé) par défaut sur les ports 389 ou 636. Ces ports LDAP standard existent toujours sur un contrôleur de domaine (DC) et sont rarement modifiés. L’accès à cette partition de répertoire permet d’accéder à tous les objets du domaine hébergé sur le contrôleur de domaine. Il n’existe aucun moyen d’accéder aux objets d’autres domaines à l’aide de cette méthode.
• Un contrôleur de domaine peut également se voir accorder le rôle de catalogue global (GC). Le rôle Global Catalog (GC) est un répertoire conforme à LDAP consistant en une représentation partielle de chaque objet de chaque domaine de la forêt. Ce répertoire LDAP est accessible via le port 3268, avec LDAPS sur le port 3269. Les exigences en matière de certificat des ports LDAPS et LDAP par défaut sont identiques.

Dépendances LDAP du catalogue global

• Le rôle Catalogue global doit être activé pour le contrôleur de domaine auquel votre instance se connecte.
• Les règles de pare-feu doivent autoriser le trafic entrant vers le contrôleur de domaine sur le port 3268 (LDAP) ou 3269 (LDAPS).

Remarques spéciales

• Tous les attributs ne sont pas répliqués sur la partition GC. Les attributs communs tels que le prénom, le nom, l’adresse e-mail, le numéro de téléphone, la description et l’adresse sont inclus. Des attributs supplémentaires peuvent être ajoutés au GC, mais doivent être limités pour minimiser l’impact sur le trafic de réplication de forêt.
• Les intégrations LDAP standard utilisent généralement sAMAccountName comme ID d’utilisateur de l’instance et comme clé de coalescence dans le mappage d’importation LDAP, car il est garanti qu’il est unique au sein d’un domaine. Cet attribut n’est plus unique lors de l’affichage d’une forêt entière de domaines. Un nouvel attribut unique doit être identifié, en tant que UserID et clé de coalescence. Ceux-ci n’ont pas besoin d’être le même attribut et peuvent varier en fonction de la conception de votre forêt. Consultez votre administrateur Active Directory. En règle générale, userPrinicpalName est un attribut unique dans tous les domaines, mais ce n’est peut-être pas un nom convivial pour se connecter, mais il peut être utilisé pour l’identificateur unique lors des importations. L’adresse e-mail est un attribut commun utilisé pour l’ID utilisateur. Ces décisions ont un impact sur les propriétés LDAP et le mappage LDAP.
• La valeur utilisée pour la clé de coalescence sur le mappage d’importation LDAP doit être unique et exister sur chaque objet en cours d’importation. S’ils ne sont pas uniques ou s’ils n’existent pas, les enregistrements incorrects sont mis à jour avec les changements.
• Si vous disposez déjà d’une intégration LDAP et que vous souhaitez la remplacer par un GC, modifiez la clé de coalescence d’importation. Les nouvelles valeurs de clé doivent être importées avant de pouvoir modifier la clé de coalescence.
• Si vous apportez des modifications à votre intégration LDAP qui interrompent votre intégration, votre première étape doit être d’annuler ces modifications. Après cela, contactez-nous Service et assistance client avec des informations complètes sur ce que vous tentez.