Используйте правила поиска LDAP для синхронизации данных

Вы можете использовать правила поиска LDAP для синхронизации данных из вашего сервера каталогов LDAP с учётной записью Google вашей организации с помощью Google Cloud Directory Sync (GCDS). При добавлении правила поиска данные, соответствующие правилу поиска, будут синхронизированы при следующей синхронизации. Данные, не соответствующие правилу поиска, будут удалены.

Важно : Google не отлаживает и не поддерживает запросы LDAP.

Базовый синтаксис запроса LDAP

Вы можете создать любой собственный поисковый запрос LDAP, если он соответствует RFC 2254 .

Оператор Характер Использовать
Равные = Создает фильтр, требующий, чтобы поле имело заданное значение.
Любой * Представляет поле, которое может быть равно любому значению, кроме NULL.
Скобки ( ) Разделяет фильтры, позволяя работать другим логическим операторам.
И & Объединяет фильтры. Все условия в серии должны быть истинными.
Или | Объединяет фильтры. Хотя бы одно условие в серии должно быть истинным.
Нет ! Исключает все объекты, соответствующие фильтру.

Добавить правило поиска LDAP

Эти шаги можно использовать для любого типа правила поиска.

  1. В диспетчере конфигураций перейдите в раздел «Учетные записи пользователей» . Правила поиска .
  2. Нажмите Добавить правило поиска .
  3. В меню выберите опцию, чтобы выбрать область действия правила поиска:
    • Поддерево — правило поиска применяется к базовому объекту DN и всем его дочерним объектам.
    • Одноуровневый — правило поиска применяется к непосредственным дочерним элементам базового объекта DN, но исключает сам базовый DN.
    • Объект — правило поиска применяется только к базовому объекту DN.
  4. В поле «Правило» введите правило поиска, используя синтаксис поискового запроса LDAP. См. примеры ниже.
  5. Для Base DN выберите один из вариантов:
    • Введите базовый DN.
    • Оставьте поле пустым, чтобы использовать базовое DN, указанное на странице подключения LDAP .

  6. Нажмите кнопку Проверить запрос LDAP , чтобы проверить результаты запроса.

    Вы можете просмотреть количество найденных объектов и первые 5 результатов. Результаты не включают пользователей без адреса электронной почты.

  7. Нажмите ОК .

  8. (Необязательно) Чтобы добавить еще одно правило поиска, повторите шаги.

Исключить данные из правила поиска

Правила исключения

Вы можете использовать правила исключения, чтобы исключить данные на сервере каталогов LDAP, которые вы не хотите синхронизировать с учётной записью Google вашей организации. Например, можно использовать правило поиска LDAP, чтобы указать, что все адреса электронной почты должны быть синхронизированы. Затем используйте правило исключения, чтобы игнорировать все адреса электронной почты, начинающиеся с определённой строки.

Поисковые запросы пользователей

При поиске пользователей GCDS идентифицирует пользователей в вашем аккаунте Google, соответствующих результатам поиска. Если пользователь Google не соответствует результатам, GCDS выполняет синхронизацию так, как будто его не существует.

Если вы используете поиск пользователей, убедитесь, что правила поиска LDAP не возвращают пользователей, которые существуют в Google, но не включены в результаты запроса. В противном случае GCDS будет пытаться создавать пользователей при каждой синхронизации.

Например, yuri@altostrat.com существует в вашем аккаунте Google и также возвращается в правиле поиска LDAP. Если вы используете email:m * в качестве поискового запроса пользователя, GCDS попытается создать yuri@altostrat.com при каждой синхронизации, поскольку yuri@altostrat.com не начинается с буквы m.

Более подробную информацию см. в статье Исключение данных с помощью правил исключения и запросов .

Примеры запросов и правил поиска LDAP

Приведённые ниже примеры носят общий характер и могут быть неприменимы к вашей среде. Разрывы строк используются только для форматирования страницы.

Базовые запросы LDAP

  • Все объекты (могут вызвать проблемы с загрузкой)

    objectClass=*

  • Все объекты пользователя, обозначенные как «человек»

    (&(objectClass=пользователь)(objectCategory=человек))

  • Только списки рассылки

    (objectCategory=group)

  • Только публичные папки

    (objectCategory=publicfolder)

  • Все объекты пользователей, за исключением тех, чьи основные адреса электронной почты начинаются с «test»

    (&(&(objectClass=пользователь)(objectCategory=человек))(!(mail=тест*)))

  • Все объекты пользователей, за исключением тех, чьи основные адреса электронной почты заканчиваются на «test»

    (&(&(objectClass=пользователь)(objectCategory=человек))(!(mail=*тест)))

  • Все объекты пользователей, за исключением тех, чьи основные адреса электронной почты содержат слово «тест»

    &(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))

Конкретные запросы LDAP

  • Все объекты пользователей и псевдонимов, обозначенные как «лицо» и входящие в группу или список рассылки

    (|(&(objectClass=пользователь)(objectCategory=человек))(objectCategory=группа))

  • Все объекты пользователя, обозначенные как «человек», все объекты группы и все контакты, за исключением тех, у которых есть любое значение, определенное как «extensionAttribute9».

    (&(|(|(&(objectClass=пользователь)(objectCategory=человек))(objectCategory=группа))(objectClass=контакт))(!(extensionAttribute9=*)))

  • Все пользователи, являющиеся членами группы, идентифицируемой по отличительному имени «CN=Group,OU=Users,DC=Domain,DC=com».

    (&(objectClass=пользователь)(objectCategory=человек)(memberof=CN=Группа,OU=Пользователи,DC=Домен,DC=com))

  • Возвращает всех пользователей
    • Для Active Directory: (&(objectCategory=person)(objectClass=user))
    • Для OpenLDAP: (objectClass=inetOrgPerson)
    • Для HCL Domino: (objectClass=dominoPerson)
  • Все объекты с почтовым адресом, обозначенным как «лицо» или «группа» (в каталоге Domino LDAP)

    (&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))

  • Все активные (не отключенные) пользователи, имеющие адреса электронной почты в Active Directory

    (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

  • Все пользователи, являющиеся членами либо Group_1, либо Group_2, как определено в групповом DN.

    (&(objectClass=пользователь)(objectCategory=человек)(|(memberof=CN=Группа_1,cn=Пользователи,DC=Домен,DC=com)(memberof=CN=Группа_2,cn=Пользователи,DC=Домен,DC=com)))

  • Все пользователи, у которых значение extensionAttribute1 равно «Инженерное дело» или «Продажи»

    (&(objectCategory=пользователь)(|(extensionAttribute1=Инженерия)(extensionAttribute1=Продажи)))

  • Рекурсивно извлекать членов группы, вложенных в указанную группу в Active Directory.

    (&(objectCategory=person)(objectClass=user)(memberOf:1.2.840.113556.1.4.1941:=CN=MyGroup,CN=Users,DC=domain,DC=com))

  • Запрос на членство в группе с ObjectGUID в Active Directory. Шестнадцатеричное значение атрибута ObjectGUID группы: 4e542fe785b1bb274e542fe785b1bb27

    (&(objectCategory=person)(objectClass=user)(memberOf=GUID=4e542fe785b1bb274e542fe785b1bb27))

Оптимизируйте правила поиска

Вы можете оптимизировать правила поиска для повышения производительности синхронизации.

Пример 1: Возвращение пользователей с адресом электронной почты Вариант использования
Правило поиска пользователя: (&(objectClass=user)(objectCategory=person)(mail=*)) Вместо использования базового правила для возврата всех пользователей оптимизируйте его с помощью запроса mail= . Синхронизация выполняется эффективнее, поскольку LDAP-серверу и GCDS не приходится обрабатывать записи, которые в противном случае были бы отброшены.
Пример 2: возврат пользователей с адресом электронной почты, соответствующим строке Вариант использования
Правило поиска пользователя: (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=sales*))) Вместо использования базового правила и правила исключения для возврата всех пользователей с адресом электронной почты, не имеющим отдела продаж , используйте оптимизированное правило с соответствующей строкой. LDAP-серверу и GCDS не нужно обрабатывать записи, которые в противном случае были бы отклонены. Кроме того, вам не нужно настраивать правило исключения или учитывать уровень приоритета.

Подготовьте свой каталог LDAP


Google, Google Workspace и связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.