Administrador > Infraestrutura > LDAP

Licença: Silver

Configurar um servidor LDAP e um Connector permite que você importe usuários e grupos do seu diretório corporativo. Após instalar pelo menos um Connector, adicione um ou mais servidores LDAP.

Adicionar um servidor LDAP significa a configuração:

  • a conexão ao servidor LDAP
  • os termos de pesquisa necessários para visualizar os dados do diretório de destino
  • a parte do diretório para importar
  • se ou não convidar usuários automaticamente na parte selecionada do diretório

Depois de adicionar um servidor LDAP, você pode retornar a essa página para editar as informações do servidor LDAP ou alterar os usuários LDAP selecionados.

 

Os usuários LDAP devem ser importados após a configuração de um usuário LDAP. Veja Importação de usuários LDAP.
Nomes de usuário LDAP, como os nomes de usuário locais, devem ser globalmente exclusivos. Verifique se os usuários já não possuem uma conta local com o mesmo nome de usuário ou, para organizações com mais de um locatário, se os nomes de usuários já não foram associados a outro locatário.

Como adicionar um servidor LDAP

Procedimento

  1. Clique em +Adicionar servidor.
  2. Forneça as seguintes informações:

    3. Configuração

    O que fazer

    Nome

    Insira um nome que identifique esse servidor.

    Descrição

    Insira uma descrição que esclareça o propósito desse servidor.

    URL do diretório

    Insira a URL para o diretório. Use um dos seguintes formatos:

    ldap://endereço IP ou

    ldaps://endereço IP ou

    Por exemplo: ldap://meuservidor1.minhaempresa.com:389

    ID do usuário

    Insira a ID do usuário para uma conta com as seguintes características:

    • gerenciada pelo servidor LDAP

    • pode ser vinculada ao servidor LDAP e pesquisar subárvores para usuário, grupo e unidade organizacional

    Normalmente, esta é uma conta com Credenciais do Administrador do Diretório (DN ou nome distinto e senha).

    Senha

    Insira a senha para a conta.

    Confirmar senha

    Insira novamente a senha para a conta.

    Tipo de diretório

    Selecione o tipo de diretório da lista de diretórios suportados.

    • Microsoft Active Directory

    • Abrir LDAP

    • Outros (compatível com LDAP aberta)
  3. Clique em Testar conexão e continuar.

    4. Essa etapa valida as informações já fornecidas.

    • Se as informações forem válidas, o serviço recupera o contexto do nome LDAP, utilizado para preencher alguns dos campos da próxima página.

    • Se a URL do LDAP não conseguir se conectar, siga as etapas a seguir. Entretanto, elas podem resultar em uma funcionalidade limitada até que o problema de conexão seja resolvido.

  4. Conclua as configurações restantes:

    5. Configuração

    O que fazer

    URL de failover do diretório

    Insira a URL para o diretório secundário. Use o seguinte formato:

    ldap://endereço IP ou

    Por exemplo: ldap://meuservidor2.minhaempresa.com:389

    Intervalo de sincronização

    Insira o tempo entre cada tentativa de sincronização dos dados do LDAP do servidor LDAP. O tempo padrão é 15 minutos. Considere aumentar o intervalo depois de ter sincronizado com sucesso todos os dados do LDAP de destino e confirmado que sua configuração LDAP atende às suas necessidades.

    Habilitar Descarte da sincronização

    Selecione para descartar automaticamente os dados da sincronização do LDAP se o conjunto de dados recarregados cair significantemente. Essa opção garante que comportamentos anormais do sistema LDAP não resultem em atualizações inoportunas e desnecessárias no serviço e na remoção de configurações dos dispositivos registrados. Verifique se essa opção não está selecionada se você planeja fazer grandes mudanças na configuração LDAP ou no servidor LDAP.

    Habilitar este servidor LDAP

    Selecione para usar esse servidor LDAP com seu serviço. Exclua essa configuração caso deseje desativar esse servidor LDAP ou retirá-lo do serviço. Embora um failover configurado para um segundo servidor LDAP substitua automaticamente esse servidor, usar essa opção permite o planejamento com antecedência e evita uma breve falta de conectividade durante o failover.

    Convide os usuários automaticamente sempre que forem importados

    Selecione para enviar convites automaticamente aos usuários quando eles forem importados de um servidor LDAP.
    Fazer upload do Certificado da CA Clique em Escolher arquivo para carregar o certificado TLS emitido pela CA instalada neste servidor LDAP. Você pode carregar vários certificados CA.

    Buscar indicações

    Aplica-se somente se você estiver usando um domínio com várias florestas. Essa opção indica se você deseja usar controladores de domínio alternados quando o controlador de domínio de destino não tiver uma cópia do objeto solicitado.

    • Selecione Seguir se quiser usar indicações.
    • Selecione Ignorar se não quiser usar controladores de domínio alternativos.
    • Lançar possui o mesmo efeito que Ignorar.

    Selecionar Seguir atrasa a autenticação LDAP.

    Tempo limite dos resultados da pesquisa

    Aumente esse tempo limite se você perceber problemas de desempenho ou resultados incompletos ao pesquisar os dados sincronizados do servidor LDAP.

    Contagem dos resultados da pesquisa

    Configure para o número máximo de registros que devem ser retornados do servidor LDAP por vez. Cenários que podem exigir alterações nessa configuração para aprimorar o desempenho incluem:

    • O servidor LDAP está longe ou protegido por um link de latência alta. Nesse caso, resultados grandes de pesquisas demorarão mais para serem recuperados do que os resultados pequenos. Por isso, uma configuração menor permite que você veja subconjuntos de dados atualizados mais rapidamente.

    • O LDAP é muito grande, e cada pesquisa retorna um conjunto de resultados enorme. Nesse caso, se o desempenho não for um problema, uma configuração de resultados maior possibilitaria o retorno de todos os dados com uma quantidade menor de pesquisas.

  5. Clique em Avançar.
  6. Use as diretrizes a seguir para configurar a integração com o servidor LDAP:

    7. Configuração

    O que fazer

    Formato do membro do grupo

    Selecione DN ou UID para indicar se você deseja ou não utilizar o nome distinto ou a ID do usuário na pesquisa.

    Atributos de pesquisa de OU

    Especifique os critérios para pesquisar no nível da unidade organizacional.

    DN de base

    Insira o nome distinto para o nível inicial que você deseja que sua pesquisa seja iniciada. Suas seleções determinam os padrões para vários outros campos, que, se você quiser, podem ser alterados.

    GUID do objeto

    Se necessário, altere o valor padrão para corresponder com seu ambiente LDAP. Este é o atributo que identifica uma unidade organizacional de forma exclusiva em mudanças de nome de OU e horário.

    Nome do atributo

    Se necessário, altere o valor padrão para corresponder com seu ambiente LDAP.

    Descrição

    Se necessário, altere o valor padrão para corresponder com seu ambiente LDAP.

    DN do atributo

    Se necessário, altere o valor padrão para corresponder com seu ambiente LDAP.

    Filtro de pesquisa

    Se necessário, altere o valor padrão para corresponder com seu ambiente LDAP.

    Escopo da pesquisa

    Selecione a parte da hierarquia LDAP para direcionar:

    • Base (somente o nível da entrada base da pesquisa)

    • Um nível (o nível abaixo da base da pesquisa)

    • Subárvore (a subárvore na árvore de informações do diretório abaixo da base de pesquisa DN)

    Atributos da pesquisa de usuário

    Especifique os critérios para pesquisar usuários em um nível de diretório especificado.

    DN de base

    Insira o nome distinto para o nível inicial que você deseja pesquisar.

    UID do atributo

    Se necessário, altere o valor padrão para corresponder com seu ambiente LDAP.

    GUID do objeto

    Se necessário, altere o valor padrão para corresponder com seu ambiente LDAP. Este é o atributo que identifica um usuário de forma exclusiva em mudanças de nome de usuário e horário.

    DN do atributo

    Se necessário, altere o valor padrão para corresponder com seu ambiente LDAP.

    Nome

    Se necessário, altere o valor padrão para corresponder com seu ambiente LDAP.

    Sobrenome

    Se necessário, altere o valor padrão para corresponder com seu ambiente LDAP.

    Nome de exibição

    Se necessário, altere o valor padrão para corresponder com seu ambiente LDAP.

    Endereço de e-mail

    Se necessário, altere o valor padrão para corresponder com seu ambiente LDAP.

    Nome principal

    Se necessário, altere o valor padrão para corresponder com seu ambiente LDAP.

    Local

    Se necessário, altere o valor padrão para corresponder com seu ambiente LDAP.

    Membro de

    Se necessário, altere o valor padrão para corresponder com seu ambiente LDAP.

    Filtro de pesquisa

    Se necessário, altere o valor padrão para corresponder com seu ambiente LDAP.

    Escopo da pesquisa

    Selecione a parte da hierarquia LDAP para direcionar:

    • Base (somente o nível da entrada base da pesquisa)

    • Um nível (o nível abaixo da base da pesquisa)

    • Subárvore (a subárvore na árvore de informações do diretório abaixo da base de pesquisa DN)
    ID Apple gerenciado

    Escolha sincronizar o Apple ID gerenciado para os usuários LDAP.

    • Nenhum
    • Padrão: endereço de e-mail do usuário. Opcionalmente, selecione a opção Incluir subdomínio "appleid" para evitar conflitos com os Apple IDs existentes.

    +Adicionar atributo personalizado

    (Opcional) Especifique até 7 atributos personalizados de usuário do serviço de diretório aos quais você gostaria de aplicar o gerenciamento de dispositivos. Cada atributo poderá então ser referenciado por ${attributeName} nos campos de configuração que suportam variáveis.

    Importante: o uso desta opção requer a implementação consistente de atributos personalizados nos servidores LDAP. Se um servidor LDAP incluído em sua implementação não utilizar esse atributo, os recursos que dependem desse atributo podem não funcionar conforme esperado.

    Atributos da pesquisa de grupo

     

    DN de base

    Insira o nome distinto para o nível inicial que você deseja pesquisar.

    GUID do objeto

    Se necessário, altere o valor padrão para corresponder com seu ambiente LDAP. Este é o atributo que identifica um grupo de forma exclusiva em mudanças de nome de grupo e horário.

    DN do atributo

    Se necessário, altere o valor padrão para corresponder com seu ambiente LDAP.

    Nome do atributo

    Se necessário, altere o valor padrão para corresponder com seu ambiente LDAP.

    Descrição

    Se necessário, altere o valor padrão para corresponder com seu ambiente LDAP.

    Membro

    Se necessário, altere o valor padrão para corresponder com seu ambiente LDAP.

    Filtro de pesquisa

    Se necessário, altere o valor padrão para corresponder com seu ambiente LDAP.

    Escopo da pesquisa

    Selecione a parte da hierarquia LDAP para direcionar:

    • Base (somente o nível da entrada base da pesquisa)

    • Um nível (o nível abaixo da base da pesquisa)

    • Subárvore (a subárvore na árvore de informações do diretório abaixo da base de pesquisa DN)
  7. Clique em Navegar ou em Pesquisar.
  8. Confirme que a sua configuração retorna os dados esperados.

    9. Você pode fazer isso navegando ou pesquisando um item conhecido no diretório.

  9. Clique em Avançar.

Excluir um atributo LDAP personalizado

Você pode excluir um atributo LDAP personalizado e remover seus valores dos usuários ou dispositivos associados.

Procedimento

  1. Vá para Administrador > Atributos.
  2. Na seção Atributos personalizados clique no link Excluir ao lado do atributo LDAP que deve ser excluído. Uma janela de confirmação é exibida.
  3. Clique em Excluir para confirmar a exclusão.

    que o botão Excluir está desabilitado por padrão. Você deve selecionar a caixa de seleção na opção Eu entendo que a exclusão de um atributo personalizado não poderá ser revertida para habilitar o botão Excluir.

Editar as informações do servidor LDAP

Procedimento

  1. Acesse Administrador > LDAP.
  2. Na entrada do servidor LDAP, selecione o ícone Editar da coluna Ações para visualizar a página Conectar servidor LDAP.
  3. Faça as alterações necessárias.
  4. Clique em Testar conexão e continuar.
    Se o URL do LDAP não conseguir se conectar, siga as etapas a seguir. Entretanto, elas podem resultar em uma funcionalidade limitada até que o problema de conexão seja resolvido.
  5. Clique em Navegar ou em Pesquisar.
  6. Confirme que a sua configuração retorna os dados esperados.
    Você pode fazer isso navegando ou pesquisando um item conhecido no diretório.
  7. Clique em Concluído.

Importar usuários LDAP

Procedimento

  1. Acesse Usuários.
  2. Clique em +Adicionar > Convidar usuários do LDAP.
  3. Clique em Selecionar usuários na entrada do servidor LDAP.
  4. Na página Adicionar usuários LDAP, insira o nome do usuário, grupo ou OU no campo de busca.
  5. Para adicionar novos usuários ou grupos, clique em +Adicionar ao lado da entrada que deseja adicionar.
  6. Clique em Avançar.
  7. Escolha se deseja ou não enviar o convite:
    • Não convidar nenhum
      Para enviar os convites mais tarde, acesse Usuários > Usuários e selecione Ações > Enviar convite para enviar os convites.
    • Convidar todos
  8. Clique em Concluído.

Atualizar usuários, grupos ou unidades organizacionais selecionadas

Procedimento

  1. Acesse Administrador > LDAP.
  2. Na entrada do servidor LDAP, selecione o ícone Gerenciar usuários da coluna Ações para visualizar a página Adicionar usuários LDAP.
  3. Para adicionar novos usuários ou grupos, insira o nome do usuário ou grupo no campo de busca.
  4. Clique em Adicionar ao lado da entrada que deseja adicionar.
  5. Para remover um usuário, grupo ou OU, clique no ícone Remover ao lado da entrada que deseja excluir.
  6. Clique em Concluído.

Habilitar a Notificação de descarte de sincronização do LDAP

Descartar a notificação de descarte de sincronização LDAP ajuda a evitar interrupções causadas por alterações acidentais em grande escala no ambiente LDAP.

Procedimento

  1. Acesse Administrador > LDAP.
  2. Na entrada do servidor LDAP, selecione o ícone Editar da coluna Ações para visualizar a página Conectar servidor LDAP.
  3. Marque a caixa de seleção Habilitar descarte da sincronização.
  4. Insira um valor para a porcentagem dos dados do LDAP recarregados para acionar o descarte da sincronização.
  5. Clique em Testar conexão e continuar.
    Se a URL do LDAP não conseguir se conectar, siga as etapas a seguir. Entretanto, isso pode resultar em uma funcionalidade limitada até que o problema de conexão seja resolvido.
  6. Clique em Concluído.
  7. Clique no ícone Sincronizar agora na entrada do servidor LDAP.
    Quando a diferença de mudança a ser sincronizada do LDAP com o Ivanti Neurons for MDM superar a porcentagem de descarte estabelecida, uma notificação de ALERTA será gerada. Quando as alterações são revertidas para um valor abaixo da porcentagem estabelecida, a notificação é EXCLUÍDA.
Indicador Severidade Tipo de notificação Tipo de componente Componente
Descarte da sincronização LDAP Aviso Sincronização de dados LDAP Nome do servidor LDAP
Sincronização LDAP restaurada Informações Sincronização de dados LDAP Nome do servidor LDAP

A Notificação de descarte de sincronização parcial é gerada quando um ou mais registros de usuário não são sincronizados do LDAP. Neste caso, um arquivo CSV é incluso como anexo com uma lista de usuários que não fizeram a sincronização. Se um usuário foi descartado devido a atributos ausentes, a lista de atributos ausente também é inclusa no arquivo CSV exportado.

Sincronizar alterações do servidor LDAP

Na página do LDAP, clique no ícone Sincronizar agora na entrada do servidor LDAP.

Resolução de problemas de conectividade com o servidor LDAPS

Se estiver tendo dificuldades para se conectar ao servidor LDAPS (LDAP sobre SSL), você pode estar com problemas no seu certificado.

Para resolver o problema:

  • Verifique se você não está usando um certificado autoassinado no Servidor LDAPS.
  • Verifique se o certificado LDAPS ainda não expirou ou foi revogado. Também verifique se há problemas de correspondência com o nome do host.

Após a verificação, aguarde a sincronização automática do LDAP ou sincronize manualmente usando o ícone Administrador > LDAP > Sincronizar agora na entrada do servidor LDAP.

Se você não conseguir visualizar a página LDAP, pode ser que você não tenha as permissões necessárias. Você precisará de uma das seguintes funções:

  • Gerenciamento do sistema

  • Somente leitura do sistema