Использование правил поиска LDAP для синхронизации данных

Приложение Google Cloud Directory Sync (GCDS) использует правила поиска LDAP для синхронизации данных сервера каталогов LDAP с доменом Google. При этом данные, не соответствующие правилу поиска, удаляются.

Подготовка

Важно! Google не предлагает поддержку по запросам, связанным с LDAP.

Базовый синтаксис запросов LDAP
Оператор Символ Описание
равно = Создает фильтр по полю с указанным значением.
любое значение * Соответствует полю с любым значением, кроме NULL.
скобки ( ) Разделяет фильтры. Этот оператор необходим для работы логических функций.
и & Объединяет фильтры. Все условия должны иметь значение TRUE.
или | Объединяет фильтры. Хотя бы одно условия должно иметь значение TRUE.
не ! Исключает все объекты, соответствующие фильтру.

 

Вы можете создавать любые запросы LDAP, отвечающие стандарту RFC 2254.

Как создать правило поиска LDAP

Приведенные ниже инструкции по поиску пользователей подходят для поисковых правил любого типа.

  1. В Диспетчере конфигураций нажмите User Accounts (Аккаунты пользователей) > Search Rules (Правила поиска).
  2. Выберите Add Search Rule (Добавить правило).
  3. В раскрывающемся меню Scope (Область действия) укажите, к каким объектам будет применяться правило. Для этого в раскрывающемся меню выберите нужный вариант:
    • Sub-tree (Дерево). Правило будет применено ко всем найденным объектам и подобъектам.
    • One-level (Уровень). Правило будет применено ко всем найденным объектам (подобъекты исключаются).
    • Object (Объект). Правило будет применено только к определенным объектам. Этот вариант используется редко, так как он вызывает перегрузку системы.
  4. Укажите правило поиска. Например, чтобы найти все объекты LDAP, введите objectClass=*.
  5. Необязательно: выберите Base DN (Базовое уникальное имя).
  6. Нажмите ОК.
Стандартные запросы LDAP
Возвращает все объекты (в этом случае при загрузке результатов могут возникнуть проблемы):
objectClass=*

Возвращает всех пользователей:
(&(objectClass=user)(objectCategory=person))

Возвращает только списки рассылок:
(objectCategory=group)

Возвращает только общедоступные папки:
(objectCategory=publicfolder)

Возвращает всех пользователей, кроме тех, чей основной адрес электронной почты начинается с test:
(&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))

Возвращает всех пользователей, кроме тех, чей основной адрес электронной почты заканчивается на test:
(&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))

Возвращает всех пользователей, кроме тех, чей основной адрес электронной почты содержит значение test:
(&(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))

Возвращает всех пользователей и все псевдонимы пользователей из группы и списков рассылки:
(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))

Возвращает всех пользователей, все группы и контакты, кроме тех, которые содержат значение, указанное в атрибуте extensionAttribute9:
(&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))

Возвращает всех пользователей, которые являются участниками группы, идентифицируемой по уникальному имени CN=Group,OU=Users,DC=Domain,DC=com:
(&(objectClass=user)(objectCategory=person)(memberof=CN=Group,CN=Users,DC=Domain,DC=com)) 

Возвращает всех пользователей:

  • на сервере LDAP Microsoft® Active Directory® – (&(objectCategory=person)(objectClass=user))
  • на сервере OpenLDAP™ – (objectClass=inetOrgPerson);
  • на сервере LDAP IBM® Notes® Domino – (objectClass=dominoPerson)

Выполняет поиск пользователей и групп на сервере LDAP IBM Notes Domino:
(&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))

Возвращает всех активных пользователей в Active Directory, у которых есть адрес электронной почты:
(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Возвращает всех пользователей, состоящих в группе 1 или группе 2 с определенным уникальным именем:
(&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))

Возвращает всех пользователей, которым присвоен атрибут extensionAttribute1 со значением Engineering (разработка) или Sales (продажи):
(&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))

Правила поиска и исключения LDAP

Чтобы определенные атрибуты игнорировались правилами поиска, настройте исключения. Они позволяют не синхронизировать с доменом Google некоторые данные на сервере каталогов LDAP. Например, с помощью запроса LDAP можно синхронизировать все адреса электронной почты, а в исключениях указать те, которые начинаются со слова test. Подробнее…

Эта информация оказалась полезной?
Как можно улучшить эту статью?