使用 LDAP 搜索规则同步数据

Google Cloud Directory Sync (GCDS) 可使用 LDAP 搜索规则,将数据从 LDAP 目录服务器同步到 Google 网域。符合搜索规则的数据会同步到您的 Google 网域,而不符合搜索规则的数据将会被移除。

开始之前

重要提示:Google 不会调试 LDAP 查询或为其提供支持。

基本 LDAP 查询语法
运算符 字符 用途
等号 = 创建一个要求某一字段必须拥有给定值的过滤器。
任何 * 代表可以等于除 NULL 以外任何值的字段。
括号 ( ) 分离过滤器,以让其他逻辑运算符发挥作用。
& 结合过滤器。相应系列的所有条件都必须为真。
| 结合过滤器。相应系列中必须至少有一个条件为真。
! 排除符合过滤条件的所有对象。

 

您可以创建任何自定义 LDAP 搜索查询,只要相应查询符合 RFC 2254 即可

如何添加 LDAP 搜索规则

以下示例说明了如何添加用户搜索规则。您也可以按照以下步骤操作,添加任何类型的搜索规则。

  1. 配置管理器中,转到用户帐号 > 搜索规则
  2. 点击添加搜索规则
  3. 选择搜索规则的范围。从下拉菜单中选择以下任一选项:
    • 子树:此规则适用于与搜索条件匹配的所有对象以及这些对象之下的所有内容。
    • 一级:此规则适用于与搜索条件匹配的所有对象以及下一级的所有内容。
    • 对象:此规则仅适用于与搜索条件直接匹配的对象。由于加载问题,此对象范围很少使用。
  4. 输入用户搜索规则。例如,如要匹配所有 LDAP 条目,请输入 objectclass=*
  5. (可选)选择基础 DN
  6. 点击确定
常用 LDAP 查询
返回可能会造成加载问题的所有对象:
objectClass=*

返回被指定为“person”的所有用户对象:
(&(objectClass=user)(objectCategory=person))

仅返回邮寄名单:
(objectCategory=group)

仅返回公开的文件夹:
(objectCategory=publicfolder)

返回所有用户对象,但排除主电子邮件地址已“test”开头的用户对象:
(&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))

返回所有用户对象,但排除主电子邮件地址以“test”结尾的用户对象:
(&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))

返回所有用户对象,但排除主电子邮件地址中包含字词“test”的用户对象:
(&(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))

返回所有被指定为“person”,且属于某个群组或分配列表的所有用户对象和别名对象:
(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))

返回所有被指定为“person”的用户对象、所有群组对象,以及所有联系人,但排除任意值被定义为“extensionAttribute9”的对象:
(&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))

返回所有 DN (CN=GRoup,OU=Users,DC=Domain,DC) 识别为群组成员的用户:
(&(objectClass=user)(objectCategory=person)(memberof=CN=Group,CN=Users,DC=Domain,DC=com))

返回所有用户:

  • Microsoft® Active Directory® LDAP 服务器:(&(objectCategory=person)(objectClass=user))
  • OpenLDAP™ 服务器:(objectClass=inetOrgPerson)
  • IBM® Notes® Domino LDAP 服务器:(objectClass=dominoPerson)

在 IBM Notes Domino LDAP 中搜索邮件地址被定义为“person”或“group”的所有对象:
(&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))

Active Directory:返回所有拥有电子邮件地址的有效(未停用)用户:
(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

返回所有群组 DN 识别为 Group_1 或 Group_2 成员的用户。
(&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))

返回 extensionAttribute1 值为“Engineering”或“Sales”的所有用户
(&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))

LDAP 搜索规则和排除规则

您可以使用排除规则指定搜索规则忽略的特定属性。借助排除规则,您可以排除不希望同步到 Google 网域的 LDAP 目录服务器数据。例如,您可以使用 LDAP 查询指定同步所有电子邮件地址,然后使用排除规则忽略以“test”开头的电子邮件地址。有关详情,请参阅结合使用排除规则和 GADS

该内容对您有帮助吗?
您有什么改进建议?