ใช้ LDAP ค้นหากฎในการซิงค์ข้อมูล

Google Cloud Directory Sync (GCDS) ใช้ LDAP กฎการค้นหาในการซิงค์ข้อมูลจากเซิร์ฟเวอร์ไดเรกทอรี LDAP กับโดเมน Google ของคุณ ข้อมูลที่ตรงกับกฎการค้นหาจะซิงค์กับโดเมน Google ส่วนข้อมูลที่ไม่ตรงกับกฎนี้จะลบออกไป

ก่อนเริ่มต้น

สำคัญ: Google จะไม่แก้ไขข้อบกพร่องหรือให้การสนับสนุนคำค้นหา LDAP

ไวยากรณ์การค้นหา LDAP พื้นฐาน
โอเปอเรเตอร์ อักขระ การใช้งาน
เท่ากับ = สร้างตัวกรองที่กำหนดให้ช่องหนึ่งมีค่าที่กำหนด
ไม่จำกัด * หมายถึงช่องที่เท่ากับอะไรก็ได้ยกเว้น NULL
เครื่องหมายวงเล็บ ( ) แยกตัวกรองเพื่อให้โอเปอเรเตอร์ทางตรรกะอื่นสามารถทำงานได้
และ & รวมตัวกรองเข้าด้วยกัน เงื่อนไขทั้งหมดในชุดจะต้องเป็นจริง
หรือ | รวมตัวกรองเข้าด้วยกัน เงื่อนไขในชุดจะต้องเป็นจริงอย่างน้อย 1 เงื่อนไข
ไม่ใช่ ! ยกเว้นอบเจ็กต์ทั้งหมดที่ตรงกับตัวกรอง

 

คุณสามารถสร้างการค้นหา LDAP ที่กำหนดเองได้ตามต้องการ โดยต้องสอดคล้องกับข้อกำหนด RFC 2254

วิธีเพิ่มกฎการค้นหา LDAP

ตัวอย่างนี้แสดงวิธีเพิ่มกฎการค้นหาของผู้ใช้ ซึ่งคุณสามารถใช้ขั้นตอนเหล่านี้กับกฎการค้นหาประเภทใดก็ได้

  1. ในเครื่องมือจัดการการกำหนดค่า ไปที่บัญชีผู้ใช้ > กฎการค้นหา
  2. คลิกเพิ่มกฎการค้นหา
  3. เลือกขอบเขตของกฎการ จากเมนูแบบเลื่อนลง ให้เลือกตัวเลือกอย่างใดอย่างหนึ่งต่อไปนี้
    • โครงสร้างย่อย: กฎนี้จะมีผลกับวัตถุทั้งหมดที่ตรงกับการค้นหา พร้อมกับรายการทั้งหมดที่อยู่ภายใต้วัตถุเหล่านั้น
    • 1 ระดับ: กฎนี้จะใช้กับวัตถุทั้งหมดที่ตรงกับการค้นหา พร้อมกับรายการที่อยู่ภายใต้วัตถุเหล่านั้น 1 ระดับ
    • วัตถุ: กฎนี้จะใช้กับวัตถุที่ตรงกับการค้นหาโดยตรงเท่านั้น ขอบเขตวัตถุนี้มักไม่ค่อยใช้งาน เนื่องจากปัญหาด้านภาระการทำงาน
  4. ป้อนกฎการค้นหาผู้ใช้ ตัวอย่างเช่น ในการจับคู่เอนทิตี LDAP ทั้งหมด ให้ป้อน objectClass=*
  5. (ไม่บังคับ) เลือก DN หลัก
  6. คลิกตกลง
การค้นหา LDAP โดยทั่วไป
แสดงออบเจ็กต์ทั้งหมด ซึ่งอาจทำให้เกิดปัญหาการโหลด:
objectClass=*

แสดงออบเจ็กต์ผู้ใช้ทั้งหมดที่กำหนดว่าเป็น "บุคคล":
(&(objectClass=user)(objectCategory=person))

แสดงเฉพาะรายชื่ออีเมล:
(objectCategory=group)

แสดงเฉพาะโฟลเดอร์สาธารณะ:
(objectCategory=publicfolder)

แสดงออบเจ็กต์ผู้ใช้ทั้งหมด ยกเว้นรายการที่มีที่อยู่อีเมลหลักขึ้นต้นด้วย "test":
(&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))

แสดงออบเจ็กต์ผู้ใช้ทั้งหมด ยกเว้นรายการที่มีที่อยู่อีเมลหลักลงท้ายด้วย "test":
(&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))

แสดงออบเจ็กต์ผู้ใช้ทั้งหมด ยกเว้นรายการที่มีที่อยู่อีเมลหลักประกอบด้วยคำว่า "test":
(&(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))

แสดงออบเจ็กต์ผู้ใช้และชื่อแทนทั้งหมดที่กำหนดว่าเป็น "บุคคล" และเป็นส่วนหนึ่งของกลุ่มหรือรายการแจกจ่าย:
(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))

แสดงออบเจ็กต์ผู้ใช้ทั้งหมดที่กำหนดว่าเป็น "บุคคล" ออบเจ็กต์กลุ่มทั้งหมด และรายชื่อติดต่อทั้งหมด แต่ยกเว้นรายการที่มีค่าซึ่งกำหนดเป็น "extensionAttribute9":
(&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))

ส่งคืนผู้ใช้ทั้งหมดที่เป็นสมาชิกของกลุ่มที่มี DN "CN=GRoup,OU=Users,DC=Domain,DC=com":
(&(objectClass=user)(objectCategory=person)(memberof=CN=Group,CN=Users,DC=Domain,DC=com)) 

แสดงผู้ใช้ทั้งหมด:

  • สำหรับเซิร์ฟเวอร์ LDAP ของ Microsoft® Active Directory®: (&(objectCategory=person)(objectClass=user))
  • สำหรับเซิร์ฟเวอร์ OpenLDAP™: (objectClass=inetOrgPerson)
  • สำหรับเซิร์ฟเวอร์ LDAP ของ IBM® Notes® Domino: (objectClass=dominoPerson)

ค้นหาออบเจ็กต์ทั้งหมดใน LDAP ของ Lotus Notes Domino ที่มีที่อยู่อีเมลกำหนดเป็น "บุคคล" หรือ "กลุ่ม":
(&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))

Active Directory: แสดงผู้ใช้ที่มีสถานะใช้งาน (ไม่ได้ปิดอยู่) ที่มีที่อยู่อีเมล:
(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

แสดงผู้ใช้ทั้งหมดที่เป็นสมาชิกของ Group_1 หรือ Group_2 ที่กำหนดด้วย Group DN
(&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))

แสดงผู้ใช้ทั้งหมดที่มีค่า extensionAttribute1 เป็น "Engineering" หรือ "Sales"
(&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))

กฎการค้นหาและกฎการยกเว้นของ LDAP

คุณสามารถระบุให้กฎการค้นหาไม่สนใจแอตทริบิวต์บางอย่างได้โดยใช้กฎการยกเว้น โดยกฎนี้จะช่วยให้คุณยกเว้นข้อมููลในเซิร์ฟเวอร์ไดเรกทอรี LDAP ที่ไม่ต้องการให้ซิงค์กับโดเมน Google เช่น ใช้การค้นหา LDAP เพื่อระบุว่าควรซิงค์ที่อยู่อีเมลทั้งหมด และใช้กฎการยกเว้นเพื่อไม่สนใจที่อยู่อีเมลที่ขึ้นต้นด้วย "test" โปรดดูรายละเอียดในใช้กฎการยกเว้นกับ GCDS

ข้อมูลนี้มีประโยชน์ไหม
เราจะปรับปรุงได้อย่างไร