Эта страница переведена с помощью Cloud Translation API.

Используйте правила поиска LDAP для синхронизации данных

С помощью Google Cloud Directory Sync (GCDS) вы можете использовать правила поиска LDAP для синхронизации данных с вашего LDAP-сервера каталогов с учетной записью Google вашей организации. При добавлении правила поиска данные, соответствующие этому правилу, синхронизируются во время следующей синхронизации. Данные, не соответствующие правилу поиска, удаляются.

Важно : Google не занимается отладкой или поддержкой LDAP-запросов.

Базовый синтаксис LDAP-запросов

Вы можете создать любой пользовательский поисковый запрос LDAP, если он соответствует RFC 2254 .

Оператор	Характер	Использовать
Равен	=	Создает фильтр, который требует, чтобы поле имело заданное значение.
Любой	*	Представляет собой поле, которое может принимать любое значение, кроме NULL.
Скобки	( )	Разделяет фильтры, позволяя функционировать другим логическим операторам.
И	&	Объединяет фильтры. Все условия в серии должны быть истинными.
Или	\|	Объединяет фильтры. По крайней мере одно условие в серии должно быть истинным.
Нет	!	Исключает все объекты, соответствующие фильтру.

Добавьте правило поиска LDAP.

Эти шаги можно использовать для любого типа правил поиска.

В диспетчере конфигураций перейдите в раздел «Учетные записи пользователей» . Правила поиска .
Нажмите «Добавить правило поиска» .
В меню выберите параметр, чтобы задать область действия правила поиска:
- Поддерево — Правило поиска применяется к базовому объекту DN и всем его дочерним объектам.
- Одноуровневый поиск — правило поиска применяется к непосредственным дочерним элементам базового объекта DN, но исключает сам базовый объект DN.
- Объект — Правило поиска применяется только к базовому объекту DN.
В поле «Правило» введите правило поиска, используя синтаксис поискового запроса LDAP. См. примеры ниже.
Для параметра Base DN выберите один из следующих вариантов:
- Введите базовый DN.
- Оставьте поле пустым, чтобы использовать базовый DN, указанный на странице подключения LDAP .
Нажмите «Проверить LDAP-запрос» , чтобы проверить результаты запроса.
Вы можете просмотреть количество найденных объектов и первые 5 результатов. В результатах не отображаются пользователи без адреса электронной почты.
Нажмите ОК .
(Необязательно) Чтобы добавить еще одно правило поиска, повторите шаги.

Исключить данные из правила поиска

Правила исключения

Вы можете использовать правила исключения, чтобы исключить из синхронизации с учетной записью Google вашей организации данные на сервере каталогов LDAP. Например, вы можете использовать правило поиска LDAP, чтобы указать, что все адреса электронной почты должны быть синхронизированы. Затем используйте правило исключения, чтобы игнорировать любые адреса электронной почты, начинающиеся с определенной строки.

Поисковые запросы пользователей

При выполнении поискового запроса GCDS идентифицирует пользователей в вашем аккаунте Google, которые соответствуют результатам запроса. Если пользователь Google не соответствует результатам, GCDS выполняет синхронизацию так, как если бы этот пользователь не существовал.

Если вы используете поисковый запрос по пользователям, убедитесь, что правила поиска LDAP не возвращают пользователей, которые существуют в Google, но не включены в результаты запроса. В противном случае GCDS попытается создать пользователей при каждой синхронизации.

Например, адрес yuri@altostrat.com существует в вашем аккаунте Google и также возвращается в правиле поиска LDAP. Если вы используете email:m * в качестве поискового запроса для пользователей, GCDS пытается создать yuri@altostrat.com при каждой синхронизации, потому что yuri@altostrat.com не начинается с буквы m.

Для получения более подробной информации перейдите к разделу «Исключение данных с помощью правил и запросов исключения» .

Примеры запросов и правил поиска LDAP

Приведенные ниже примеры носят общий характер и могут не подходить для вашей среды. Любые переносы строк используются только для форматирования страницы.

Базовые LDAP-запросы

Все объекты (могут вызвать проблемы с нагрузкой)
objectClass=*
Все пользовательские объекты, обозначенные как «человек».
(&(objectClass=user)(objectCategory=person))
Только списки рассылки
(objectCategory=group)
Только общедоступные папки
(objectCategory=publicfolder)
Все объекты пользователей, за исключением тех, у которых основной адрес электронной почты начинается с "test".
(&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))
Все объекты пользователей, за исключением тех, у которых основной адрес электронной почты заканчивается на «test».
(&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))
Все объекты пользователей, за исключением тех, у которых в основном адресе электронной почты содержится слово «test».
&(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))

Конкретные LDAP-запросы

Все объекты пользователей и псевдонимов, обозначенные как «человек» и входящие в группу или список рассылки.
(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))
Все объекты пользователей, обозначенные как «человек», все объекты групп и все контакты, за исключением тех, у которых какое-либо значение определено как «extensionAttribute9».
(&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))
Все пользователи, являющиеся членами группы, обозначенной DN "CN=Group,OU=Users,DC=Domain,DC=com"
(&(objectClass=user)(objectCategory=person)(memberof=CN=Group,OU=Users,DC=Domain,DC=com))
Возвращает всех пользователей
- Для Active Directory: (&(objectCategory=person)(objectClass=user))
- Для OpenLDAP: (objectClass=inetOrgPerson)
- Для HCL Domino: (objectClass=dominoPerson)
Все объекты с почтовым адресом, обозначенные как «человек» или «группа» (в каталоге Domino LDAP).
(&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))
Все активные (не отключенные) пользователи, имеющие адреса электронной почты в Active Directory.
(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Все пользователи, являющиеся членами Группы_1 или Группы_2, как определено в DN группы.
(&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))
Все пользователи, у которых значение extensionAttribute1 равно "Engineering" или "Sales".
(&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))
Рекурсивно получить список членов группы, вложенных в указанную группу в Active Directory.
(&(objectCategory=person)(objectClass=user)(memberOf:1.2.840.113556.1.4.1941:=CN=MyGroup,CN=Users,DC=domain,DC=com))
Запрос членства в группах с использованием ObjectGUID в Active Directory. Шестнадцатеричное значение атрибута ObjectGUID группы равно 4e542fe785b1bb274e542fe785b1bb27
(&(objectCategory=person)(objectClass=user)(memberOf=GUID=4e542fe785b1bb274e542fe785b1bb27))

Оптимизируйте правила поиска.

Вы можете оптимизировать правила поиска для повышения производительности синхронизации.

Пример 1: Вернуть пользователей с адресом электронной почты.	Вариант использования
Правило поиска пользователя: (&(objectClass=user)(objectCategory=person)(mail=*))	Вместо использования базового правила для возврата всех пользователей, оптимизируйте свое правило, используя запрос mail= . Синхронизация будет работать эффективнее, поскольку LDAP-серверу и GCDS не придется обрабатывать записи, которые в противном случае были бы отброшены.

Пример 1: Вернуть пользователей с адресом электронной почты.

Вариант использования

Правило поиска пользователя: (&(objectClass=user)(objectCategory=person)(mail=*))

Вместо использования базового правила для возврата всех пользователей, оптимизируйте свое правило, используя запрос mail= . Синхронизация будет работать эффективнее, поскольку LDAP-серверу и GCDS не придется обрабатывать записи, которые в противном случае были бы отброшены.

Пример 2: Возвращает пользователей с адресами электронной почты, соответствующими строке.	Вариант использования
Правило поиска пользователя: (&(objectClass=user)(objectCategory=person)(mail=)(!(mail=sales)))	Вместо использования базового правила и правила исключения для возврата всех пользователей с адресом электронной почты, не имеющими данных о продажах , используйте оптимизированное правило с соответствующей строкой. Серверу LDAP и GCDS не нужно будет обрабатывать записи, которые в противном случае были бы отброшены. И вам не нужно будет настраивать правило исключения или учитывать уровень приоритета.

Пример 2: Возвращает пользователей с адресами электронной почты, соответствующими строке.

Вариант использования

Правило поиска пользователя: (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=sales*)))

Вместо использования базового правила и правила исключения для возврата всех пользователей с адресом электронной почты, не имеющими данных о продажах , используйте оптимизированное правило с соответствующей строкой. Серверу LDAP и GCDS не нужно будет обрабатывать записи, которые в противном случае были бы отброшены. И вам не нужно будет настраивать правило исключения или учитывать уровень приоритета.

Связанная тема

Подготовьте свой LDAP-каталог

_{Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.}

Используйте правила поиска LDAP для синхронизации данных Оптимизируйте свои подборки Сохраняйте и классифицируйте контент в соответствии со своими настройками.