Oracle Cloud Infrastructure - Dokumentation

Berechtigungen zum Synchronisieren von Benutzern, Gruppen und Gruppenmitgliedschaften festlegen

Legen Sie Berechtigungen für Ihren AD-Bridge-Serviceaccount fest, damit Sie Benutzer, Gruppen oder OEs zwischen Microsoft Active Directory und IAM synchronisieren können.

  1. Melden Sie sich mit Ihren Domainadministrator-Zugangsdaten bei dem Rechner mit Ihrem Microsoft Active Directory-Server an.
  2. Öffnen Sie ein Befehlsfenster.
  3. Legen Sie die Allgemeine Leseberechtigung für die Benutzer, Gruppen und Organisationseinheiten (OU) in der Microsoft Active Directory-Domain fest, die Sie in Identitätsdomains importieren möchten: 
    dsacls <AD_Domain_Name> /I:T /g "<AD_Domain_Name>\<User/Group_Name>:GR"
    Hinweis

    <AD_Domain_Name> ist der Name der Domain, die Sie mit IAM verknüpfen, und <User/Group_Name> ist der Benutzername Ihres Domainadministratoraccounts.

    /I:T: Dieser Parameter gibt die Objekte an, auf die Sie die Berechtigungen anwenden. T ist der Standardwert, d.h. Sie können vererbbare Berechtigungen für dieses Objekt und untergeordnete Objekte nur eine Ebene nach unten propagieren.

    /g: Dieser Parameter erteilt die Berechtigungen, die Sie für den Benutzer oder die Gruppe angeben. Beispiel: /g {<user> | <group>}:<permissions>.

    <permissions>: Dieser Parameter gibt den Typ der Berechtigungen an, die Sie anwenden.
    • GR: Allgemeine Leseberechtigung
    • GW: Allgemeine Schreibberechtigung
    • LC: Untergeordnete Elemente des Objekts auflisten
    • RP: Eigenschaft "Lesen"
  4. Legen Sie die Eigenschaften Untergeordnete Elemente auflisten und Lesen für den Container cn=deleted objects mit Vererbung fest. Dieser Container befindet sich auch in der Microsoft Active Directory-Domain, die Sie mit IAM verknüpfen.
    dsacls "cn=deleted objects,<AD_Domain_Name>" /takeOwnership
    dsacls "cn=deleted objects,<AD_Domain_Name>" /I:T /g "<AD_Domain_Name>\<User/Group_Name>:LCRP"
    Hinweis

    Wenn Sie nicht über diese Berechtigungen verfügen, kann die AD-Bridge gelöschte Benutzer, Gruppen oder OEs zwischen Microsoft Active Directory und IAM nicht synchronisieren. Dies führt zu Inkonsistenzen zwischen Microsoft Active Directory und IAM.