Частичный импорт данных из LDAP

Частичный импорт данных, в отличие от полного, не требует сканирования всего LDAP-сервера. При первом импорте все данные загружаются в БД, а при последующих синхронизациях сохраняются COOKIE, позволяющие отслеживать изменения и импортировать только обновленные данные.

Такой подход позволяет снизить нагрузку на LDAP-сервер и сетевой трафик.

Частичный импорт данных реализован на базе технологии DirSync от Microsoft для доменов Active Directory и совместимых с ними. Для LDAP-серверов, которые не поддерживают эту технологию, такой вид импорта данных недоступен.

По умолчанию возможность частичной синхронизации отключена. Также продукт не поддерживает принудительное выполнение частичной синхронизации.

Настройки фильтров и директорий LDAP для импорта данных универсальны и не требуют отдельной конфигурации для полного и частичного импорта.

При использовании технологии DirSync поддерживаются не все возможности фильтрации атрибутов из LDAP (подробную информацию см. в официальной документации Microsoft).

Включение опции частичного импорта

  1. Выдайте разрешения пользователю, от имени которого устанавливается подключение к LDAP-серверу, на получение запросов для режима DirSync:

    1. Зайдите на контроллер домена Windows Server под пользователем с правами администратора домена.

    2. Перейдите в Control Panel > System and Security > Administrative Tools > Active Directory Users and Computers.

    3. На открывшейся форме включите опцию View > Advanced Features:

      1
    4. Через контекстное меню в корне домена перейдите на вкладку Properties:

      2
    5. На открывшейся форме перейдите на вкладку Security.

    6. Нажмите на кнопку Add и добавьте в верхнее окно нужного пользователя (в качестве примера используется TestUser).

    7. В верхнем списке выберите нужного пользователя (TestUser) и в нижнем окне проставьте чек-бокс Allow, выдав пользователю следующие разрешения:

      • Replicating Directory Changes — разрешение на получение уведомлений о любых изменениях в Active Directory;

      • Replicating Directory Changes All — расширенная версия разрешения Replicating Directory Changes, предоставляющая разрешение на получение уведомлений обо всех изменениях в Active Directory, включая изменения, которые могут быть скрыты от обычных пользователей;

      • Replicating Directory Changes In Filtered Set — разрешение на получение уведомлений об изменениях в определенном наборе объектов в Active Directory;

      • Replicating Synchronization — разрешение на запуск процесса репликации между контроллерами домена.

        3
  2. При конфигурировании модуля бэкенда osmax-core задайте логин и пароль пользователя домена (LDAP-сервера), которому выданы соответствующие права, указав значения параметров:

    • osmax.inventory.ldap.datasource[1].username=i.ivanov@inno.local;

    • osmax.inventory.ldap.datasource[1].password=12345.