Benutzerbasispunktkonfiguration für den Adapter

Sie können den Active Directory Adapter so konfigurieren, dass er sowohl Subdomänen als auch mehrere Domänen unterstützt, und zwar über die Basispunktfunktion im Adapterdienstformular.

Weitere Informationen zur Konfiguration des Dienstformulars finden Sie in der Produktdokumentation von IBM Security Verify Governance Identity Manager.

Der Basispunkt für den Active Directory Adapter ist der Punkt im Verzeichnisserver, der als Root für den Adapter verwendet wird. Bei diesem Punkt kann es sich um einen OU- oder DC-Punkt handeln. Da der Basispunkt ein optionaler Wert ist, verwendet der Adapter, wenn kein Wert angegeben wird, die Standarddomäne der Workstation, auf der er installiert ist.

Die folgende Definition ist ein Beispiel eines Basispunkts, der im Stammverzeichnis des Verzeichnisservers definiert ist:

dc=irvine,dc=IBM,dc=com

Die folgende Definition ist ein Beispiel eines Basispunkts, der auf Organisationseinheitenebene definiert ist:

ou=engineering,dc=irvine,dc=IBM,dc=com

Die Syntax des Basispunkts ermöglicht es auch, bei einem optionalen Workstationnamen dem Basispunkt-DN ein Präfix hinzuzufügen, beispielsweise server1/dc=ibm,dc=com. Dies hat zur Folge, dass der Adapter an einen bestimmten Server gebunden wird, anstatt die Verbindung zu dem ersten verfügbaren Server herzustellen, wenn auf eine Active Directory-Bindeanforderung geantwortet wird.

Sie können mehr als einen Zielserver für den Basispunkt im Active Directory Adapter-Dienstformular auf IBM Security Verify Governance Identity Manager und in der Active Directory Adapter-Registrierung angeben. Die einzelnen Zielserver müssen durch das Trennzeichen | voneinander getrennt werden. Beispiel:
Basispunkt-DN auf dem Serviceformular mit mehreren Zielservern:
DC01|DC02|DC03/OU=engineering,DC=irvine,DC=IBM,DC=com
Basispunkt-DN auf dem Serviceformular mit nur einem einzigen Zielserver:
DC01/OU=engineering,DC=irvine,DC=IBM,DC=com
Basispunkt-DN auf dem Serviceformular ohne Zielserver:
OU=engineering,DC=irvine,DC=IBM,DC=com
Der Adapter durchläuft alle in dem Basispunkt auf dem Serviceformular angegebenen Zielserver. Der Adapter verwendet den ersten verfügbaren Zielserver.
Hinweis:
  • Für das Basispunkt-DN-Attribut auf dem Adapterserviceformular gilt ein Grenzwert von 240 Zeichen.
  • Das Adapterserviceformular und die Registry können ihre eigene Gruppe von Zielservern angeben. Die auf dem Serviceformular angegebenen Zielserver haben jedoch eine höhere Priorität.
  • Wenn Sie auf dem Serviceformular keinen Basispunkt angeben, verwendet der Adapter die Registry nicht.
  • Geben Sie den Zielserver unter Verwendung der Adapterregistry an, da diese zwischengespeichert wird, um die Leistung im Vergleich zur Angabe des Zielservers auf dem Adapterserviceformular zu verbessern. Die Zielserverliste auf dem Serviceformular wird nicht zwischengespeichert und in jeder Anforderung ausgewertet, um alle Zielserver zu finden.
  • Verwenden Sie agentCfg.exe zum Erstellen und Ändern der Adapterregistrierungsschlüssel. Starten Sie den Adapterservice nach dem Hinzufügen oder Ändern der Registrierungsschlüssel erneut. Wenn der Basispunkt oder der Zielserver Unicode-Zeichen haben, verwenden Sie regedit, um Registrierungsschlüssel unter HKEY_LOCAL_MACHINE\SOFTWARE\Access360\ADAgent\Specific zu erstellen.
Hinweis: Legen Sie keine Dienste an, deren Umfang sich im Verzeichnisbaum überschneidet. Dies könnte während des Abgleichs die Erstellung doppelter Accounts zur Folge haben.