Ambiente de domínio único do Active Directory

Uma única implantação do Active Directory permite que você sincronize usuários e grupos a partir de um único domínio do Active Directory.

Para este ambiente, ao adicionar um diretório ao serviço, selecione a opção Active Directory sobre LDAP.

Para obter mais informações, consulte:

• Sobre a seleção do controlador de domínio (arquivo domain_krb.properties)

• Gerenciando atributos de usuário sincronizados a partir do Active Directory

• Permissões necessárias para se ingressar em um domínio

• Configurando a conexão do Active Directory com o serviço

Ambiente de vários domínios em única floresta do Active Directory

Uma implantação de vários domínios em uma única floresta do Active Directory permite que você sincronize usuários e grupos de vários domínios do Active Directory em uma única floresta.

É possível configurar o serviço para este ambiente do Active Directory como um único tipo de diretório de Autenticação Integrada do Windows no Active Directory ou, alternativamente, como um tipo de diretório Active Directory sobre LDAP configurado com a opção de catálogo global.

• A opção recomendada é criar um único tipo de diretório de Autenticação Integrada do Windows no Active Directory.

  Ao adicionar um diretório a esse ambiente, selecione a opção Active Directory (Autenticação Integrada do Windows).

  Para obter mais informações, consulte:

  • Sobre a seleção do controlador de domínio (arquivo domain_krb.properties)

  • Gerenciando atributos de usuário sincronizados a partir do Active Directory

  • Permissões necessárias para se ingressar em um domínio

  • Configurando a conexão do Active Directory com o serviço

• Se a Autenticação Integrada do Windows não funcionar no seu ambiente Active Directory, crie um tipo de diretório Active Directory sobre LDAP e selecione a opção de catálogo global.

  Algumas das limitações da seleção da opção de catálogo global incluem:

  • Os atributos de objeto do Active Directory que são replicados no catálogo global são identificados no esquema do Active Directory como o conjunto de atributos parcial (PAS). Somente esses atributos estão disponíveis para o mapeamento de atributos pelo serviço. Se necessário, edite o esquema para adicionar ou remover atributos armazenados no catálogo global.

  • O catálogo global armazena a associação ao grupo (o atributo do membro) somente dos grupos universais. Somente os grupos universais são sincronizados com o serviço. Se necessário, altere o escopo de um grupo de um domínio local ou global para universal.

  • A conta do DN bind que você define ao configurar um diretório no serviço deve ter permissões para ler o atributo Token-Groups-Global-And-Universal (TGGAU).

  O Active Directory usa as portas 389 e 636 para consultas LDAP padrão. Para as consultas do catálogo global, as portas 3268 e 3269 são usadas.

  Quando você adicionar um diretório para o ambiente do catálogo global, especifique as informações a seguir durante a configuração.

  • Selecione a opção Active Directory sobre LDAP.

  • Desmarque a caixa de seleção da opção Esse diretório suporta localização do serviço DNS.

  • Selecione a opção Este diretório tem um catálogo global. Quando você seleciona essa opção, o número da porta do servidor é automaticamente alterada para 3268. Além disso, como o DN Base não é necessário durante a configuração da opção de catálogo global, a caixa de texto DN Base não é exibida.

  • Adicione o nome do host servidor do Active Directory.

  • Se o Active Directory exigir acesso por SSL, selecione a opção Esse diretório requer que todas as conexões usem SSL e cole o certificado na caixa de texto fornecida. Quando você seleciona essa opção, o número da porta do servidor é automaticamente alterada para 3269.

Ambiente do Active Directory de várias florestas com relações confiáveis

Uma implantação do Active Directory de várias florestas com relações confiáveis permite que você sincronize usuários e grupos de vários domínios do Active Directory entre florestas, onde existe confiança bidirecional entre os domínios.

Ao adicionar um diretório a esse ambiente, selecione a opção Active Directory (Autenticação Integrada do Windows).

Para obter mais informações, consulte:

• Sobre a seleção do controlador de domínio (arquivo domain_krb.properties)

• Gerenciando atributos de usuário sincronizados a partir do Active Directory

• Permissões necessárias para se ingressar em um domínio

• Configurando a conexão do Active Directory com o serviço

Ambiente do Active Directory de várias florestas sem relações confiáveis

Uma implantação do Active Directory de várias florestas sem relações confiáveis permite que você sincronize usuários e grupos de vários domínios do Active Directory entre florestas, sem confiança bidirecional entre os domínios. Neste ambiente, você cria vários diretórios no serviço, um diretório para cada floresta.

O tipo de diretórios que você criar no serviço depende da floresta. Para as florestas com vários domínios, selecione a opção Active Directory (Autenticação Integrada do Windows). Para um floresta com um único domínio, selecione a opção Active Directory sobre LDAP.

Para obter mais informações, consulte:

• Sobre a seleção do controlador de domínio (arquivo domain_krb.properties)

• Gerenciando atributos de usuário sincronizados a partir do Active Directory

• Permissões necessárias para se ingressar em um domínio

• Configurando a conexão do Active Directory com o serviço