Les administrateurs configurent Active Directory pour héberger les informations d’annuaire LDAP (Lightweight Directory Access Protocol) à l’aide de l’une des méthodes d’hébergement suivantes.

• La méthode courante d’hébergement des informations de répertoire LDAP consiste à utiliser le LDAP ou LDAPS (LDAP sécurisé) par défaut sur les ports 389 ou 636. Ces ports LDAP standard existent toujours sur un contrôleur de domaine (DC) et sont rarement modifiés. L’accès à cette partition de répertoire permet d’accéder à tous les objets du domaine hébergé sur le contrôleur de domaine. Il n’existe aucun moyen d’accéder aux objets d’autres domaines à l’aide de cette méthode.
• Un contrôleur de domaine peut également se voir attribuer le rôle de catalogue global (GC). Le rôle Global Catalog (GC) est un répertoire conforme aux normes LDAP qui consiste en une représentation partielle de chaque objet de chaque domaine de la forêt. Ce répertoire LDAP est accessible sur le port 3268, avec LDAPS sur le port 3269. Les exigences en matière de certificats des ports LDAPS et LDAP par défaut sont les mêmes.

Catalogue global Dépendances LDAP

• Le rôle Catalogue global doit être activé pour le contrôleur de domaine auquel votre instance se connecte.
• Les règles de pare-feu doivent autoriser le trafic entrant vers le contrôleur de domaine sur le port 3268 (LDAP) ou 3269 (LDAPS).

Remarques spéciales

• Tous les attributs ne sont pas répliqués sur la partition GC. Les attributs communs tels que le prénom, le nom, l’adresse e-mail, le numéro de téléphone, la description et l’adresse sont inclus. Des attributs supplémentaires peuvent être ajoutés au GC, mais doivent être limités afin de minimiser l’impact sur le trafic de réplication forestière.
• Les intégrations LDAP standard utilisent généralement sAMAccountName comme ID d’utilisateur de l’instance et comme clé de fusion dans la carte d’importation LDAP, car il est garanti qu’il s’agit d’une clé unique au sein d’un domaine. Cet attribut n’est plus unique lors de l’affichage d’une forêt entière de domaines. Un nouvel attribut unique doit être identifié, en tant qu’ID utilisateur et clé de fusion. Ceux-ci n’ont pas besoin d’être les mêmes attributs et peuvent varier en fonction de la conception de votre forêt. Consultez votre administrateur Active Directory. En règle générale, userPrinicpalName est un attribut unique dans tous les domaines, mais ce n’est peut-être pas un nom convivial pour se connecter, mais il peut être utilisé pour l’identificateur unique lors des importations. L’adresse e-mail est un attribut couramment utilisé pour l’ID utilisateur. Ces décisions ont un impact sur les propriétés LDAP et le mappage LDAP.
• La valeur utilisée pour la clé de fusion sur la carte d’importation LDAP doit être unique et exister sur chaque objet importé. S’il n’est pas unique ou n’existe pas, les enregistrements incorrects sont mis à jour avec les changements.
• Si vous disposez déjà d’une intégration LDAP et que vous souhaitez la remplacer par un GC, changez la clé de coalescence d’importation. Les nouvelles valeurs de clé doivent être importées avant de pouvoir modifier la clé de fusion.
• Si vous apportez des modifications à votre intégration LDAP qui interrompent votre intégration, votre première étape doit être d’annuler ces changements. Après cela, contactez-nous Service et assistance client avec des informations complètes sur ce que vous tentez.