Использование правил поиска LDAP для синхронизации данных

Вы можете использовать правила поиска LDAP, чтобы синхронизировать данные сервера каталогов LDAP с аккаунтом Google при помощи Google Cloud Directory Sync (GCDS). Данные, соответствующие правилу поиска, синхронизируются с аккаунтом Google, а остальные удаляются.

Важно! Google не предлагает поддержку по запросам, связанным с LDAP.

Базовый синтаксис запросов LDAP

Оператор Символ Описание
равно = Создает фильтр по полю с указанным значением.
любое значение * Соответствует полю с любым значением, кроме NULL.
скобки ( ) Разделяет фильтры. Этот оператор необходим для работы логических функций.
и & Объединяет фильтры. Все условия должны иметь значение TRUE.
или | Объединяет фильтры. Хотя бы одно условие из числа указанных должно иметь значение TRUE.
не ! Исключает все объекты, соответствующие фильтру.

Вы можете создавать любые поисковые запросы LDAP, отвечающие стандарту RFC 2254.

Как создать правило поиска LDAP

Приведенные ниже инструкции подходят для поисковых правил любого типа.

  1. В Диспетчере конфигураций нажмите User Accounts (Аккаунты пользователей)а затемSearch Rules (Правила поиска).
  2. Выберите Add Search Rule (Добавить правило).
  3. Выберите в меню область действия правила поиска:
    • Sub-tree (Дерево). Правило будет применено ко всем найденным объектам и к их подчиненным объектам.
    • One-level (Уровень). Правило будет применено ко всем найденным объектам и к их подчиненным объектам, находящимся на один уровень ниже.
    • Object (Объект). Правило будет применено только к найденным объектам. Этот вариант используется редко, так как он вызывает перегрузку системы.
  4. В поле Rule (Правило) введите правило поиска, соблюдая синтаксис поискового запроса LDAP.

    Ниже приведено несколько примеров.

  5. При заполнении поля Base DN (Базовое уникальное имя) выберите один из следующих вариантов:
    • Введите базовое уникальное имя.
    • Оставьте это поле пустым, чтобы использовать базовое уникальное имя, указанное на странице LDAP Connection (Подключение к LDAP).
  6. Нажмите ОК.
  7. Чтобы добавить ещё одно правило поиска, повторите указанные выше действия.

Правила поиска и исключения LDAP

Правила исключения позволяют игнорировать некоторые атрибуты правил поиска, чтобы не синхронизировать с аккаунтом Google определенные данные на сервере каталогов LDAP. Например, с помощью запроса LDAP можно задать синхронизацию всех адресов электронной почты, а затем применить правило исключения для тех адресов, которые начинаются с определенной строки. Подробнее о правилах исключения в GCDS

Примеры

Ниже приведены общие примеры, которые могут не подходить для вашей среды.

Стандартные запросы LDAP
Объекты, возвращаемые запросом  Поисковый запрос LDAP

Все объекты

Примечание. Может перегрузить систему.

objectClass=*
Все пользователи из категории person (&(objectClass=user)(objectCategory=person))
Только списки рассылки (objectCategory=group)
Только общие папки (objectCategory=publicfolder)
Все пользователи, кроме тех, чей основной адрес электронной почты начинается с "test" (&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))
Все пользователи, кроме тех, чей основной адрес электронной почты заканчивается на "test" (&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))
Все пользователи, кроме тех, чей основной адрес электронной почты содержит значение "test" (&(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))
Все пользователи и все псевдонимы пользователей категории person, входящие в группу или список рассылки (|(&(objectClass=user)(objectCategory=person))(objectCategory=group))
Все пользователи, принадлежащие к категории person, все группы и контакты, кроме тех, которые содержат значение, указанное в атрибуте extensionAttribute9 (&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))
Все пользователи, которые являются участниками группы, идентифицируемой по уникальному имени CN=Group,OU=Users,DC=Domain,DC=com (&(objectClass=user)(objectCategory=person)(memberof=CN=Group,CN=Users,DC=Domain,DC=com)) 
Все пользователи

Для Active Directory: (&(objectCategory=person)(objectClass=user))

Для OpenLDAP: (objectClass=inetOrgPerson)

Для HCL Domino (ранее IBM Domino): (objectClass=dominoPerson)

Все пользователи и группы с адресом электронной почты (в каталоге LDAP Domino) (&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))
Активные (не отключенные) пользователи с адресом электронной почты в Active Directory (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Пользователи, состоящие в группе 1 или группе 2 с определенным уникальным именем (&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))
Пользователи, которым присвоен атрибут extensionAttribute1 со значением "Engineering" (разработка) или "Sales" (продажи) (&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))
Как оптимизировать правила поиска

Вы можете оптимизировать правила поиска, чтобы увеличить скорость синхронизации.

Пример 1. Поиск пользователей Сценарий использования

Базовое правило: поиск всех пользователей

Атрибут электронной почты пользователя: mail

Правила поиска пользователей: (&(objectClass=user)(objectCategory=person))
Возвращает всех пользователей, в том числе тех, у кого нет адреса электронной почты. Однако GCDS синхронизирует только пользователей с адресом электронной почты, а остальные пользователи удаляются.

Оптимизированное правило: поиск всех пользователей с адресом электронной почты

Правило поиска пользователей: (&(objectClass=user)(objectCategory=person)(mail=*))

Возвращает только тех пользователей, у которых есть адрес электронной почты. Эффективность синхронизации возрастает, поскольку серверу LDAP и GCDS не нужно обрабатывать записи, которые будут удалены.

 

Пример 2: поиск пользователей по адресу электронной почты Сценарий использования

Базовое правило: поиск всех пользователей с адресом электронной почты 

Правило поиска пользователей: (&(objectClass=user)(objectCategory=person)(mail=*))

Сведения о правиле исключения пользователей:

  • Exclusion Type (Тип исключения): User Email Address (Адрес электронной почты пользователя)
  • Match Type (Тип соответствия): Regular Expression (Регулярное выражение)
  • Exclusion Rule (Правило исключения): ^test
Возвращает всех пользователей, у которых есть адрес электронной почты. Затем GCDS использует правило исключения, чтобы исключить пользователей, чьи адреса электронной почты начинаются с test.

Оптимизированное правило: поиск всех пользователей с адресом электронной почты, который соответствует строке

Правило поиска пользователей: (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=test*)))

Возвращает пользователей, чей адрес электронной почты не начинается с test. Серверу LDAP и GCDS не нужно обрабатывать записи, которые будут удалены.

Статьи по теме

Подготовка каталога LDAP

Google, G Suite и другие связанные товарные знаки и логотипы принадлежат компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.
Эта информация оказалась полезной?
Как можно улучшить эту статью?