Utilizar las reglas de búsqueda LDAP para sincronizar los datos

Con las reglas de búsqueda LDAP, puedes sincronizar los datos de tu servidor de directorio LDAP con tu cuenta de Google con Google Cloud Directory Sync (GCDS). Cuando añades una regla de búsqueda, los datos que coinciden con la regla de búsqueda se vinculan durante la siguiente sincronización. Los que no coinciden, se eliminan.

Importante: Google no depura las consultas LDAP ni proporciona asistencia relacionada con ellas.

Sintaxis de consulta LDAP básica

Puedes crear cualquier consulta de búsqueda LDAP personalizada siempre que cumpla las especificaciones de la RFC 2254.

Operador Carácter Uso
Igual a = Crea un filtro que requiere que un campo tenga un determinado valor.
Cualquiera * Representa un campo que puede equivaler a cualquier elemento excepto NULL.
Paréntesis ( ) Separa filtros para permitir que otros operadores lógicos funcionen.
Y & Combina filtros. Todas las condiciones de la serie deben ser verdad.
O | Combina filtros. Al menos una condición de la serie debe ser verdad.
No ! Excluye todos los objetos que coincidan con el filtro.

Añadir una regla de búsqueda LDAP

Puedes seguir estos pasos con cualquier tipo de regla de búsqueda.

  1. En el gestor de configuración ve a User Accounts (Cuentas de usuario) y luego Search Rules (Reglas de búsqueda).
  2. Haz clic en Add Search Rule (Añadir regla de búsqueda).
  3. En el menú, elige una opción para seleccionar el alcance de la regla de búsqueda:
    • Sub-tree (Subárbol): la regla de búsqueda se aplica al objeto DN base y a todos sus objetos secundarios.
    • One-level (Un nivel): la regla de búsqueda se aplica a los elementos secundarios inmediatos del objeto DN base, pero excluye el propio DN base.
    • Object (Objeto): la regla de búsqueda solo se aplica al objeto del DN base.
  4. En Rule (Regla), introduce la regla de búsqueda con la sintaxis de consulta de búsqueda de LDAP.

    Echa un vistazo a estos ejemplos.

  5. En Base DN, elige una opción:
    • Introduce el DN (nombre de dominio) base.
    • Deja el campo en blanco para utilizar el nombre de dominio base que se indica en la página LDAP Connection (Conexión de LDAP).
  6. Haz clic en Test LDAP Query (Probar consulta LDAP) para comprobar los resultados de tu consulta.
    Puedes consultar el número de objetos que se han encontrado y los 5 primeros resultados. Los resultados no incluyen a los usuarios que no tienen dirección de correo.
  7. Haz clic en Aceptar.
  8. (Opcional) Para añadir otra regla de búsqueda, repite los pasos.

Excluir datos de una regla de búsqueda

Reglas de exclusión

Puedes utilizar este tipo de reglas para excluir datos del servidor de directorio LDAP que no quieres que se sincronicen con la cuenta de Google de tu organización. Por ejemplo, puedes usar una regla de búsqueda LDAP para especificar que se deben sincronizar todas las direcciones de correo. A continuación, usa una regla de exclusión para ignorar las direcciones de correo electrónico que comiencen por una cadena determinada.

Consultas de búsqueda de usuarios

Con una consulta de búsqueda de usuarios, GCDS identifica los usuarios de tu cuenta de Google que coinciden con los resultados de la consulta. Si un usuario de Google no coincide con los resultados, GCDS realiza la sincronización como si el usuario no existiera. 

Si utilizas una consulta de búsqueda de usuarios, asegúrate de que las reglas de búsqueda LDAP no devuelvan usuarios que existen en Google pero que no están incluidos en los resultados de la consulta. De lo contrario, GCDS intentará crear usuarios durante cada sincronización.

Por ejemplo, yuri@altostrat.com existe en tu cuenta de Google y también se devuelve en la regla de búsqueda LDAP. Si usas email:m* como consulta de búsqueda de usuarios, GCDS intentará crear yuri@altostrat.com durante cada sincronización, ya que yuri@altostrat.com no empieza por la letra "m".

Para obtener más información, consulta el artículo Omitir datos con reglas de exclusión y consultas.

Ejemplos de reglas de búsqueda y consultas LDAP

Los siguientes ejemplos son generales y es posible que no se apliquen a tu entorno. Los saltos de línea solo sirven para aplicar formato a las páginas.

Abrir sección  |  Ocultar todo y volver al principio

Consultas LDAP básicas
  • Todos los objetos (puede generar problemas de carga)

    objectClass=*

  • Todos los objetos de usuario que se designan como "person"

    (&(objectClass=user)(objectCategory=person))

  • Solo listas de distribución

    (objectCategory=group)

  • Solo carpetas públicas

    (objectCategory=publicfolder)

  • Todos los objetos de usuario excepto los que tienen direcciones de correo electrónico principales que empiezan por "test"

    (&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))

  • Todos los objetos de usuario excepto los que tienen direcciones de correo electrónico principales que terminan en "test"

    (&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))

  • Todos los objetos de usuario excepto los que tienen direcciones de correo electrónico principales que contienen la palabra "test"

    &(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))

Consultas LDAP específicas
  • Todos los objetos de usuario y alias que se designan como "person" y forman parte de un grupo o lista de distribución

    (|(&(objectClass=user)(objectCategory=person))(objectCategory=group))

  • Todos los objetos de usuario que se designan como "person", todos los objetos de grupo y todos los contactos, excepto aquellos con cualquier valor definido como "extensionAttribute9"

    (&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))

  • Todos los usuarios que son miembros del grupo identificado por el DN "CN=Group,OU=Users,DC=Domain,DC=com"

    (&(objectClass=user)(objectCategory=person)(memberof=CN=Group,OU=Users,DC=Domain,DC=com))

  • Devuelve todos los usuarios
    • De Active Directory: (&(objectCategory=person)(objectClass=user))
    • De OpenLDAP: (objectClass=inetOrgPerson)
    • De HCL Domino: (objectClass=dominoPerson)
  • Todos los objetos con la dirección de correo designada como "person" o "group" (en un directorio Domino LDAP)

    (&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))

  • Todos los usuarios activos (no inhabilitados) que tengan direcciones de correo electrónico en Active Directory

    (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

  • Todos los usuarios que son miembros de Group_1 o Group_2 tal como se define en el DN del grupo

    (&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))

  • Todos los usuarios cuyo campo extensionAttribute1 tiene el valor "Engineering" o "Sales"

    (&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))

  • Recuperar de forma recurrente los miembros anidados en el grupo especificado en Active Directory

    (&(objectCategory=person)(objectClass=user)(memberOf:1.2.840.11356.1.4.1941:=CN=MyGroup,CN=Users,DC=domain,DC=com))

  • Consulta de pertenencia a grupo con ObjectGUID en Active Directory. El valor hexadecimal del atributo ObjectGUID de un grupo es 4e542fe785b1bb274e542fe785b1bb27

    (&(objectCategory=person)(objectClass=user)(memberOf=GUID=4e542fe785b1bb274e542fe785b1bb27))

Optimizar las reglas de búsqueda

Puedes optimizar las reglas de búsqueda para mejorar el rendimiento de la sincronización.

Ejemplo 1: Devolver usuarios con una dirección de correo Caso práctico
Regla de búsqueda de usuarios: (&(objectClass=user)(objectCategory=person)) En lugar de usar una regla básica para devolver todos los usuarios, optimiza la regla con la consulta mail=.

La sincronización funciona de forma más eficiente, ya que el servidor LDAP y GCDS no tienen que procesar entradas que de otra forma se descartarían.
Ejemplo 2: Devolver usuarios con una dirección de correo electrónico que coincide con la cadena Caso práctico
Regla de búsqueda de usuarios: (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=sales*))) En lugar de utilizar una regla básica y una regla de exclusión para devolver a todos los usuarios con una dirección de correo electrónico que no dispone de ventas, utiliza una regla optimizada que coincida con una cadena.

El servidor de LDAP y GCDS no tienen que procesar entradas que, de otra forma, se descartarían. No es necesario configurar ninguna regla de exclusión ni tener en cuenta el nivel de prioridad.

Tema relacionado

Preparar tu directorio LDAP


Google, Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
true
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
13816580532484799371
true
Buscar en el Centro de ayuda
true
true
true
false
false