Вы можете использовать правила поиска LDAP, чтобы синхронизировать данные сервера каталогов LDAP с аккаунтом Google вашей организации при помощи Google Cloud Directory Sync (GCDS). Когда вы добавляете правило поиска, данные, соответствующие этому правилу, синхронизируются при следующей синхронизации, а остальные данные удаляются.
Важно! Google не предлагает поддержку по запросам, связанным с LDAP.
Синтаксис простых запросов LDAP
Вы можете создавать любые поисковые запросы LDAP, отвечающие стандарту RFC 2254.
| Оператор | Символ | Описание |
|---|---|---|
| Равно | = | Создает фильтр по полю с указанным значением. |
| любое значение | * | Соответствует полю с любым значением, кроме NULL. |
| скобки | ( ) | Разделяет фильтры. Этот оператор необходим для работы логических функций. |
| и | & | Объединяет фильтры. Все условия должны иметь значение TRUE. |
| или | | | Объединяет фильтры. Хотя бы одно условие должно иметь значение TRUE. |
| не | ! | Исключает все объекты, соответствующие фильтру. |
Как добавить правило поиска LDAP
С помощью приведенных ниже шагов можно добавить любое правило поиска.
- В Диспетчере конфигураций нажмите Аккаунты пользователей
Search Rules (Правила поиска).
- Выберите Add Search Rule (Добавить правило).
- Выберите в меню область действия правила поиска:
- Поддерево. Правило будет применено к базовому объекту и всем его дочерним объектам.
- Один уровень. Правило поиска будет применено к непосредственным дочерним объектам базового объекта, но он сам будет исключен.
- Объект. Правило поиска будет применено только к базовому объекту.
- В поле Правило введите правило поиска, соблюдая синтаксис поискового запроса LDAP.
Ниже приведено несколько примеров.
- В поле Базовое уникальное имя выберите один из вариантов:
- Введите базовое уникальное имя.
- Оставьте это поле пустым, чтобы использовать базовое уникальное имя, указанное на странице LDAP Connection (Подключение к LDAP).
- Нажмите Test LDAP Query (Проверить запрос LDAP), чтобы проверить результаты запроса.
Обратите внимание на количество найденных объектов и первые 5 результатов. Пользователи без адреса электронной почты не указываются в результатах. - Нажмите ОК.
- Чтобы добавить ещё одно правило поиска, повторите указанные выше действия.
Как исключить данные из правила поиска
Правила исключения
Правила исключения позволяют не синхронизировать с аккаунтом Google организации некоторые данные на сервере каталогов LDAP. Например, с помощью правила поиска LDAP можно настроить синхронизацию всех адресов электронной почты, а затем применить правило исключения для тех адресов, которые начинаются с определенной строки.
Поисковые запросы пользователей
С помощью поискового запроса пользователей инструмент GCDS определяет, какие пользователи в вашем аккаунте Google соответствуют результатам запроса. Если пользователь не соответствует результатам, GCDS выполняет синхронизацию, как будто этого пользователя не существует.
Если вы используете такие поисковые запросы, убедитесь, что правила поиска LDAP не возвращают пользователей, которые есть в аккаунте Google, но отсутствуют в результатах запроса. В противном случае GCDS будет пытаться создать этих пользователей при каждой синхронизации.
Например, пользователь yuri@altostrat.com есть в вашем аккаунте Google и возвращается правилом поиска LDAP. Если в поисковом запросе пользователей указать email:m*, инструмент GCDS будет пытаться создать пользователя yuri@altostrat.com при каждой синхронизации, так как его имя начинается не с буквы "m".
Подробнее о том, как использовать правила исключения и запросы, чтобы не синхронизировать определенные данные…
Примеры запросов и правил поиска LDAP
Ниже приведены общие примеры, которые могут не подходить для вашей среды. Разрывы строки используются исключительно для форматирования страницы.
Развернуть раздел | Свернуть все и перейти к началу
Простые запросы LDAP- Возвращает все объекты (возможны проблемы с перегрузкой системы)
objectClass=*
- Все пользователи из категории person
(&(objectClass=user)(objectCategory=person))
- Только списки рассылки
(objectCategory=group)
- Только общие папки
(objectCategory=publicfolder)
- Все пользователи, кроме тех, чей основной адрес электронной почты начинается с "test"
(&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))
- Все пользователи, кроме тех, чей основной адрес электронной почты заканчивается на "test"
(&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))
- Все пользователи, кроме тех, чей основной адрес электронной почты содержит "test"
&(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))
- Все пользователи и все псевдонимы пользователей категории person, входящие в группу или список рассылки
(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))
- Все пользователи, принадлежащие к категории person, все группы и контакты, кроме тех, которые содержат значение, указанное в атрибуте extensionAttribute9
(&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))
- Все пользователи, которые являются участниками группы, идентифицируемой по уникальному имени CN=Group,OU=Users,DC=Domain,DC=com
(&(objectClass=user)(objectCategory=person)(memberof=CN=Group,OU=Users,DC=Domain,DC=com))
- Возвращает всех пользователей.
- Для Active Directory: (&(objectCategory=person)(objectClass=user))
- Для OpenLDAP: (objectClass=inetOrgPerson)
- Для HCL Domino: (objectClass=dominoPerson)
- Все пользователи и группы с адресом электронной почты (в каталоге LDAP Domino)
(&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))
- Активные (не отключенные) пользователи с адресом электронной почты в Active Directory
(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
- Все пользователи, состоящие в группе 1 или группе 2 с определенным уникальным именем
(&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))
- Пользователи, которым присвоен атрибут extensionAttribute1 со значением "Engineering" (разработка) или "Sales" (продажи)
(&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))
- Повторно возвращает участников группы, вложенных в указанную группу в Active Directory
(&(objectCategory=person)(objectClass=user)(memberOf:1.2.840.11356.1.4.1941:=CN=MyGroup,CN=Users,DC=domain,DC=com))
- Запрос для включения в группу с помощью ObjectGUID в Active Directory. Шестнадцатеричное значение атрибута ObjectGUID группы равно 4e542fe785b1bb274e542fe785b1bb27
(&(objectCategory=person)(objectClass=user)(memberOf=GUID=4e542fe785b1bb274e542fe785b1bb27))
Как оптимизировать правила поиска
Вы можете оптимизировать правила поиска, чтобы увеличить скорость синхронизации.
| Пример 1. Поиск пользователей по адресу электронной почты | Примеры |
|---|---|
| Правило поиска пользователей: (&(objectClass=user)(objectCategory=person)(mail=*)) | Вместо того чтобы использовать базовое правило для поиска всех пользователей, оптимизируйте его с помощью запроса mail=. Эффективность синхронизации возрастает, поскольку серверу LDAP и GCDS не нужно обрабатывать записи, которые будут удалены. |
| Пример 2. Поиск пользователей с адресами электронной почты, содержащими указанную строку | Примеры |
|---|---|
| Правило поиска пользователей: (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=sales*))) | Вместо того чтобы использовать базовое правило и правило исключения для поиска всех пользователей, электронный адрес которых не содержит строку sales, используйте оптимизированное правило со строкой, которая должна содержаться в адресе. Серверу LDAP и GCDS не нужно обрабатывать записи, которые будут удалены. Кроме того, вам не нужно создавать правило исключения или учитывать приоритет. |
Статьи по теме
Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.