שימוש בכללי חיפוש של LDAP כדי לסנכרן נתונים

אתם יכולים להשתמש בכללי חיפוש של LDAP כדי לסנכרן נתונים משרת ספריית LDAP לחשבון Google של הארגון באמצעות Google Cloud Directory Sync‏ (GCDS). כשמוסיפים כלל חיפוש, הנתונים שתואמים לכלל החיפוש מסונכרנים במהלך הסנכרון הבא. נתונים שלא תואמים לכלל החיפוש מוסרים.

חשוב: Google לא מנפה באגים או מספקת תמיכה בשאילתות LDAP.

תחביר בסיסי של שאילתות LDAP

אתם יכולים ליצור כל שאילתת חיפוש LDAP מותאמת אישית, כל עוד היא עומדת בדרישות של RFC 2254.

מפעיל תו שימוש
שווה ל- = יוצרת מסנן שדורש שערך מסוים יופיע בשדה.
הכול * מייצג שדה שיכול להיות שווה לכל דבר חוץ מ-NULL.
סוגריים ( ) מפריד בין מסננים כדי לאפשר לאופרטורים לוגיים אחרים לפעול.
וגם ו- משלב בין מסננים. כל התנאים בסדרה חייבים להיות True.
או | משלב בין מסננים. לפחות תנאי אחד בסדרה חייב להיות נכון.
לא ! החרגה של כל האובייקטים שתואמים למסנן.

הוספת כלל חיפוש LDAP

אפשר להשתמש בשלבים האלה לכל סוג של כלל חיפוש.

  1. באשף ההגדרות, עוברים אל חשבונות משתמשים כללי חיפוש.
  2. לוחצים על הוספת כלל חיפוש.
  3. בתפריט, בוחרים אפשרות כדי להגדיר את היקף כלל החיפוש:
    • תת-עץ – כלל החיפוש חל על אובייקט ה-Base DN ועל כל אובייקטי הצאצא שלו.
    • רמה אחת – כלל החיפוש חל על הצאצאים המיידיים של אובייקט ה-DN הבסיסי, אבל לא כולל את ה-DN הבסיסי עצמו.
    • אובייקט – כלל החיפוש חל רק על אובייקט ה-DN הבסיסי.
  4. בשדה כלל, מזינים את כלל החיפוש באמצעות תחביר של שאילתת חיפוש ב-LDAP. בהמשך מפורטות דוגמאות.
  5. בוחרים אפשרות בשדה Base DN:
    • מזינים את שם הדומיין הבסיסי.
    • כדי להשתמש ב-DN הבסיסי שצוין בדף חיבור LDAP, משאירים את השדה ריק.

  6. לוחצים על בדיקת שאילתת LDAP כדי לבדוק את תוצאות השאילתה.

    אפשר לבדוק את מספר האובייקטים שנמצאו ואת 5 התוצאות הראשונות. התוצאות לא כוללות משתמשים ללא כתובת אימייל.

  7. לוחצים על אישור.

  8. (אופציונלי) כדי להוסיף עוד כלל חיפוש, חוזרים על השלבים.

החרגת נתונים מכלל חיפוש

כללי החרגה

אתם יכולים להשתמש בכללי החרגה כדי להחריג נתונים בשרת ספריית LDAP שלא תרצו לסנכרן עם חשבון Google של הארגון. לדוגמה, אפשר להשתמש בכלל חיפוש LDAP כדי לציין שכל כתובות האימייל צריכות להסתנכרן. לאחר מכן, משתמשים בכלל החרגה כדי להתעלם מכתובות אימייל שמתחילות במחרוזת מסוימת.

שאילתות חיפוש של משתמשים

בעזרת שאילתת חיפוש של משתמש, GCDS מזהה בחשבון Google שלכם את המשתמשים שתואמים לתוצאות השאילתה. אם משתמש Google לא תואם לתוצאות, GCDS מבצע סנכרון כאילו המשתמש לא קיים.

אם אתם משתמשים בשאילתת חיפוש משתמשים, ודאו שכללי החיפוש ב-LDAP לא מחזירים משתמשים שקיימים ב-Google אבל לא נכללים בתוצאות השאילתה. אחרת, GCDS מנסה ליצור את המשתמשים במהלך כל סנכרון.

לדוגמה, הכתובת yuri@altostrat.com קיימת בחשבון Google שלכם ומוחזרת גם בכלל החיפוש של LDAP. אם משתמשים ב-email:m* כשאילתת החיפוש של המשתמשים, מערכת GCDS מנסה ליצור את yuri@altostrat.com בכל סנכרון כי yuri@altostrat.com לא מתחיל באות m.

פרטים נוספים זמינים במאמר בנושא השמטת נתונים באמצעות כללי החרגה ושאילתות.

דוגמאות לשאילתות LDAP ולכללי חיפוש

הדוגמאות הבאות הן כלליות ועשויות לא להיות רלוונטיות לסביבה שלכם. כל מעברי השורה הם לצורך עיצוב הדף בלבד.

שאילתות LDAP בסיסיות

  • כל האובייקטים (יכול לגרום לבעיות בטעינה)

    objectClass=*‎

  • כל אובייקטי המשתמשים שמוגדרים כ'אדם'

    (&(objectClass=user)(objectCategory=person))

  • רק רשימות תפוצה

    (objectCategory=group)

  • רק תיקיות ציבוריות

    (objectCategory=publicfolder)

  • כל אובייקטי המשתמשים, למעט אלה עם כתובות אימייל ראשיות שמתחילות ב-test

    (&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))

  • כל אובייקטי המשתמשים, חוץ מאלה שכתובות האימייל הראשיות שלהם מסתיימות ב-test

    (&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))

  • כל אובייקטי המשתמשים, חוץ מאלה שכתובות האימייל הראשיות שלהם מכילות את המילה test

    &(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))

שאילתות LDAP ספציפיות

  • כל האובייקטים של משתמשים וכתובות אימייל חלופיות שמוגדרים כ'אדם' ושייכים לקבוצה או לרשימת תפוצה

    (|(&(objectClass=user)(objectCategory=person))(objectCategory=group))

  • כל אובייקטי המשתמשים שמסומנים כ'אדם', כל אובייקטי הקבוצות וכל אנשי הקשר, למעט אלה שמוגדר להם ערך כלשהו כ-extensionAttribute9

    (&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))

  • כל המשתמשים שחברים בקבוצה שמזוהה על ידי ה-DN ‏ "CN=Group,OU=Users,DC=Domain,DC=com"

    (&(objectClass=user)(objectCategory=person)(memberof=CN=Group,OU=Users,DC=Domain,DC=com))

  • מחזירה את כל המשתמשים
    • ב-Active Directory: ‏ (&(objectCategory=person)(objectClass=user))
    • ל-OpenLDAP: ‏ (objectClass=inetOrgPerson)
    • ב-HCL Domino: ‏ (objectClass=dominoPerson)
  • כל האובייקטים עם כתובת אימייל שמסומנת כ'אדם' או כ'קבוצה' (בספריית LDAP של Domino)

    (&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))

  • כל המשתמשים הפעילים (לא מושבתים) שיש להם כתובות אימייל ב-Active Directory

    (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

  • כל המשתמשים שחברים בקבוצה 1 או בקבוצה 2, כפי שמוגדר על ידי ה-DN של הקבוצה

    (&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))

  • כל המשתמשים שהערך של extensionAttribute1 שלהם הוא 'Engineering' או 'Sales'

    (&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))

  • שליפה רקורסיבית של חברי הקבוצה שמוטמעים מתחת לקבוצה שצוינה ב-Active Directory

    (&(objectCategory=person)(objectClass=user)(memberOf:1.2.840.113556.1.4.1941:=CN=MyGroup,CN=Users,DC=domain,DC=com))

  • שאילתת חברות בקבוצה עם ObjectGUID ב-Active Directory. הערך ההקסדצימלי של מאפיין ObjectGUID של קבוצה הוא 4e542fe785b1bb274e542fe785b1bb27

    (&(objectCategory=person)(objectClass=user)(memberOf=GUID=4e542fe785b1bb274e542fe785b1bb27))

אופטימיזציה של כללי החיפוש

אפשר לבצע אופטימיזציה של כללי החיפוש כדי לשפר את ביצועי הסנכרון.

דוגמה 1: החזרת משתמשים עם כתובת אימייל תרחיש לדוגמה
כלל חיפוש משתמשים: (&(objectClass=user)(objectCategory=person)(mail=*)) במקום להשתמש בכלל בסיסי כדי להחזיר את כל המשתמשים, כדאי לבצע אופטימיזציה של הכלל באמצעות השאילתה mail=. הסנכרון מתבצע בצורה יעילה יותר כי שרת ה-LDAP ומערכת GCDS לא צריכים לעבד רשומות שיושלכו אחרת.
דוגמה 2: החזרת משתמשים עם כתובת אימייל שתואמת למחרוזת תרחיש לדוגמה
כלל חיפוש משתמשים: (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=sales*))) במקום להשתמש בכלל בסיסי וכלל החרגה כדי להחזיר את כל המשתמשים עם כתובת אימייל שלא כוללת את המחרוזת sales, אפשר להשתמש בכלל מותאם אישית עם מחרוזת תואמת. שרת ה-LDAP ומערכת GCDS לא צריכים לעבד רשומות שאחרת היו נפסלות. בנוסף, לא צריך להגדיר כלל החרגה או להתייחס לרמת העדיפות.

הכנת ספריית LDAP


‫Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.