Les administrateurs configurent Active Directory pour héberger les informations de répertoire LDAP (Lightweight Directory Access Protocol) à l’aide de l’une des méthodes d’hébergement suivantes.

• La méthode courante d’hébergement des informations de l’annuaire LDAP consiste à utiliser le LDAP ou LDAPS (LDAP sécurisé) par défaut sur les ports 389 ou 636. Ces ports LDAP standard existent toujours sur un contrôleur de domaine (DC) et sont rarement modifiés. L’accès à cette partition de répertoire permet d’accéder à tous les objets du domaine hébergé sur le contrôleur de domaine. Il n’y a aucun moyen d’accéder aux objets d’autres domaines à l’aide de cette méthode.
• Un contrôleur de domaine peut également se voir attribuer le rôle de catalogue global (GC). Le rôle Catalogue global (GC) est un répertoire compatible LDAP consistant en une représentation partielle de chaque objet de chaque domaine de la forêt. Ce répertoire LDAP est accessible sur le port 3268, LDAPS sur le port 3269. Les exigences en matière de certificat LDAPS et des ports LDAP par défaut sont les mêmes.

Dépendances LDAP du catalogue global

• Le contrôleur de domaine auquel votre instance se connecte doit avoir le rôle Catalogue global activé.
• Les règles de pare-feu doivent autoriser le trafic entrant vers le contrôleur de domaine sur le port 3268 (LDAP) ou 3269 (LDAPS).

Notes spéciales

• Tous les attributs ne sont pas répliqués sur la partition GC. Les attributs communs tels que le prénom, le nom, l’adresse e-mail, le numéro de téléphone, la description et l’adresse sont inclus. Des attributs supplémentaires peuvent être ajoutés au GC, mais doivent être limités pour minimiser l’impact sur le trafic de réplication de la forêt.
• Les intégrations LDAP standard utilisent généralement sAMAccountName comme ID d’utilisateur de l’instance et comme clé de fusion dans la carte d’importation LDAP, car celui-ci est garanti comme unique au sein d’un domaine. Cet attribut n’est plus unique lors de l’affichage d’une forêt entière de domaines. Un nouvel attribut unique doit être identifié en tant que UserID et clé de fusion. Ceux-ci n’ont pas besoin d’être le même attribut et peuvent varier en fonction de la conception de votre forêt. Consultez votre administrateur Active Directory. En règle générale, le userPrinicpalName est un attribut unique dans tous les domaines, mais ce n’est peut-être pas un nom convivial pour se connecter, mais il peut être utilisé pour l’identificateur unique sur les importations. L’adresse e-mail est un attribut commun utilisé pour le UserID. Ces décisions ont un impact sur les propriétés LDAP et le mappage LDAP.
• La valeur utilisée pour la clé de fusion sur la carte d’importation LDAP doit être unique et exister sur chaque objet importé. S’il n’est pas unique ou n’existe pas, les enregistrements incorrects sont mis à jour avec les changements.
• Si vous avez déjà une intégration LDAP et que vous souhaitez la changer en GC, changez la clé de fusion d’importation. Les nouvelles valeurs de clé doivent être importées avant de pouvoir modifier la clé de fusion.
• Si vous apportez des modifications à votre intégration LDAP qui interrompent votre intégration, votre première étape consiste à rétablir ces modifications. Après cela, contactez Service et assistance client des informations complètes sur ce que vous essayez.