Configurar uma conexão OpenLDAP Directory

É possível configurar uma conexão OpenLDAP Directory com o Gerenciamento de Diretórios.

Embora existam muitos protocolos LDAP diferentes, OpenLDAP é o único que foi testado e aprovado para uso com o Gerenciamento de Diretórios vRealize Automation.

Para integrar seu diretório LDAP, você cria um diretório correspondente do Directories Management e sincroniza usuários e grupos a partir do diretório LDAP para o diretório do Directories Management. Você pode configurar uma agenda de sincronização regular para atualizações subsequentes.

Você também pode selecionar os atributos LDAP que deseja sincronizar para os usuários e os mapear para atributos do Directories Management.

Sua configuração do diretório LDAP pode estar baseada em esquemas padrão ou você pode ter criado esquemas personalizados. Você também pode ter definido atributos personalizados. Para o Directories Management poder consultar seu diretório LDAP e obter objetos de usuário ou de grupo, você precisa fornecer os nomes de atributos e os filtros de pesquisa LDAP aplicáveis ao seu diretório LDAP.

Especificamente, você precisa fornecer as seguintes informações.

Filtros de pesquisa LDAP para a obtenção de grupos, usuários e o usuário de associação
Nomes de atributo LDAP para associação ao grupo, o UUID e o nome distinto

Observação: O Gerenciamento de diretórios usa o tamanho da página padrão de 1500 para consultas LDAP. Se você configurar uma conexão de diretório OpenLDAP, deverá ativar a extensão de controle de resultados de página simples para o OpenLDAP para limitar o número de resultados exibidos. A não utilização dessa extensão pode causar erros de sincronização de grupo e usuário.

Pré-requisitos

Reveja a configuração na página Atributos do Usuário e adicione os atributos adicionais que você deseja sincronizar. Você mapeará os atributos do Directories Management para os atributos de diretório LDAP ao criar o diretório. Esses atributos serão sincronizados para os usuários no diretório.
Observação: Quando você fizer alterações nos atributos do usuário, considere o efeito dessas alterações sobre outros diretórios no serviço. Se você planeja adicionar tanto o Active Directory quanto o diretório LDAP, certifique-se de não marcar nenhum atributo obrigatório, exceto userName. As configurações na página Atributos de Usuário aplicam-se a todos os diretórios no serviço. Se um atributo for marcado como obrigatório, os usuários sem esse atributo não serão sincronizados com o serviço do Directories Management.
Uma conta de usuário de DN de associação. É recomendável usar uma conta de usuário DN Bind com uma senha que não expire.
No seu diretório LDAP, o UUID de usuários e grupos deve estar em formato de texto simples.
No seu diretório LDAP, deve existir um atributo de domínio para todos os usuários e grupos.
Você mapeia esse atributo para o atributo Directories Managementdomain quando criar o diretório do Directories Management.
Os nomes de usuário não devem conter espaços. Se um nome de usuário contiver um espaço, o usuário é sincronizado, mas os direitos não estarão disponíveis para o usuário.
Se você usar a autenticação de certificado, os usuários deverão ter valores para os atributos de endereço de e-mail e userPrincipalName.

Procedimento

Selecione Administração > Gerenciamento de Diretórios > Diretórios.
Clique em Acrescentar Diretório e selecione Acrescentar Diretório LDAP.

Insira as informações necessárias na página Adicionar Diretório LDAP.

Opção	Descrição
Nome do diretório	Insira um nome para o diretório do Directories Management.
Sincronização e autenticação do diretório	No campo Sincronizar Conector, selecione o conector que você deseja usar para sincronizar usuários e grupos a partir de seu diretório LDAP para o diretório do Directories Management. Um componente de conector está sempre disponível com o serviço do Directories Management por padrão. Esse conector é exibido na lista suspensa. Se você instalar vários appliances do Directories Management para alta disponibilidade, o componente de conector de cada um deles será exibido na lista. Você não precisa de um conector separado para um diretório LDAP. Um conector pode ser compatível com vários diretórios, independentemente de serem diretórios do Active Directory ou LDAP. No campo Autenticação se você quiser usar este diretório LDAP para autenticar usuários, selecione Sim. Se você desejar usar um provedor de identidade de terceiros para autenticar usuários, selecione Não. Após adicionar a conexão de diretório para sincronizar usuários e grupos, vá para a página Administração > Gerenciamento de Diretórios > Provedores de Identidade para adicionar o provedor de identidade de terceiros para a autenticação. Para a maioria das configurações, deixe a Personalização padrão selecionada na caixa de texto Atributo de Pesquisa do Diretório. No campo Personalização do Atributo de Pesquisa do Diretório, especifique o atributo de diretório LDAP a ser usado para nomes de usuário e grupos. Tal atributo identifica de forma exclusiva entidades, como usuários e grupos, a partir do servidor LDAP. Por exemplo, `cn`. Se você quiser usar a pesquisa de Localização do Serviço DNS para o Active Directory, faça as seleções a seguir. Na seção Local do Servidor, marque a caixa de seleção Esse diretório suporta localização do serviço DNS. O Gerenciamento de Diretórios localiza e usa os controladores de domínio ideais. Se você não quiser usar a seleção do controlador de domínio otimizada, pule para a etapa e. Se o Active Directory exigir criptografia STARTTLS, marque a caixa de seleção Esse diretório requer que todas as conexões usem SSL na seção Certificados e copie e cole o certificado da CA raiz do Active Directory na caixa de texto Certificado SSL. Verifique se o certificado está no formato PEM e inclui as linhas "BEGIN CERTIFICATE" e "END CERTIFICATE". Observação: Se o Active Directory exigir STARTTLS e o certificado não for fornecido, você não poderá criar o diretório. Se você não quiser usar a pesquisa de Localização do Serviço DNS para o Active Directory, faça as seleções a seguir. Na seção Local do Servidor, verifique se a caixa de seleção Esse diretório suporta localização do serviço DNS está desmarcada e insira o nome do host e o número da porta do servidor do Active Directory. Para configurar o diretório como um catálogo global, consulte a seção Ambiente de vários domínios em única floresta do Active Directory em Ambientes do Active Directory. Se o Active Directory exigir acesso por SSL, marque a caixa de seleção Esse diretório requer que todas as conexões usem SSL na seção Certificados e copie e cole o certificado da CA raiz do Active Directory no campo Certificado SSL. Verifique se o certificado está no formato PEM e inclui as linhas "BEGIN CERTIFICATE" e "END CERTIFICATE". Observação: Se o Active Directory exigir STARTTLS e o certificado não for fornecido, você não poderá criar o diretório.
Localização de Servidor	Insira o número de porta e o host do servidor do Diretório LDAP. Para o host do servidor, você pode especificar o nome de domínio totalmente qualificado ou o endereço IP. Por exemplo, `meuservidorLDAP.exemplo.com` ou `100.00.00.0`. Se você tiver um cluster de servidores atrás de um balanceador de carga, digite as informações do balanceador de carga.
Configuração LDAP	Especifique os atributos e os filtros de pesquisa LDAP que o Directories Management pode usar para consultar seu diretório LDAP. Os valores padrão são fornecidos com base no esquema LDAP principal. Filtrar Consultas Grupos: O filtro de pesquisa para a obtenção de objetos de grupo. Por exemplo: `(objectClass=group)` Usuário de associação: O filtro de pesquisa para a obtenção do objeto de usuário de associação, ou seja, o usuário que pode associar-se ao diretório. Por exemplo: `(objectClass=person)` Usuários: O filtro de pesquisa para a obtenção de usuários para sincronização. Por exemplo:`(&(objectClass=user)(objectCategory=person))` Atributos Associação: o atributo usado em seu diretório LDAP para a definição dos membros de um grupo. Por exemplo: `member` UUID de objeto: o atributo usado em seu diretório LDAP para a definição do UUID de um usuário ou grupo. Por exemplo: `entryUUID` Nome Distinto: o atributo usado em seu diretório LDAP para o nome distinto de um usuário ou grupo. Por exemplo: `entryDN`
Certificados	Caso seu diretório LDAP necessite de acesso SSL, selecione a caixa de seleção Este Diretório requer todas as conexões para usar SSL. Em seguida, copie e cole o certificado CA SSL raiz do servidor do diretório LDAP na caixa de texto Certificado SSL. Verifique se o certificado está no formato PEM e inclui as linhas “BEGIN CERTIFICATE” e “END CERTIFICATE”. Se o diretório tiver vários domínios, adicione os certificados da autoridade de certificação raiz de todos os domínios, um após o outro. Finalmente, garanta que o número da porta correta seja especificado no campo Porta do Servidor na seção Localização do Servidor da página.
Detalhes do usuário do bind	Base DN: digite o DN do qual se deseja iniciar as pesquisas. Por exemplo, cn=users,dc=example,dc=com Todos os usuários aplicáveis devem estar sob a base DN. Se um usuário particular não estiver localizado sob a base DN, tal usuário não conseguirá fazer o login mesmo que ele seja um membro de um grupo que está sob a base DN. DN de associação: Digite o DN a ser usado para associação ao diretório LDAP. Também é possível inserir nomes de usuários, mas um DN é mais apropriado para a maioria das implantações. Observação: É recomendável usar uma conta de usuário DN Bind com uma senha que não expire. Senha do DN de associação: digite a senha para o usuário do DN de associação.

Para testar a conexão com o servidor do diretório LDAP, clique em Testar Conexão.
Se a conexão não for bem-sucedida, verifique as informações que você inseriu e faça as alterações adequadas.
Clique em Salvar e Avançar.
Verifique que o domínio correto é selecionado na página Selecionar of Domínios e, em seguida, clique em Próximo.
Na página Atributos Mapeados, verifique se os atributos do Directories Management estão mapeados para os atributos LDAP corretos.

Esses atributos serão sincronizados para os usuários.

Importante: Você deve especificar um mapeamento para o atributo domain.

Você pode adicionar atributos à lista na página Atributos de Usuário.
Clique em Avançar.
Clique + para selecionar os grupos que deseja sincronizar do diretório LDAP ao diretório Directories Management na página Selecione os grupos (usuários) que deseja sincronizar.

Se você tiver vários grupos com o mesmo nome no seu diretório LDAP, especifique nomes exclusivos para eles na página de grupos.

Quando você adiciona um grupo do Active Directory, se os membros desse grupo não estiverem na lista de usuários, eles serão adicionados. Quando você sincroniza um grupo, todos os usuários que não possuem Usuários de Domínio como grupo primário no Active Directory não são sincronizados.

A opção Sincronizar membros reunidos do grupo é ativada por padrão. Quando essa opção está ativada, todos os usuários que pertencem diretamente ao grupo que você selecionar, bem como todos os usuários que pertencem aos grupos aninhados abaixo dele, serão sincronizados. Observe que os grupos aninhados não são sincronizados; somente os usuários que pertencem aos grupos aninhados são sincronizados. No diretório do Directories Management, esses usuários serão exibidos como membros do grupo de nível superior que você selecionou para sincronização. Com efeito, a hierarquia sob um grupo selecionado é simplificada e os usuários de todos os níveis aparecem no Directories Management como membros do grupo selecionado.

Se essa opção estiver desativada, quando você especificar um grupo para sincronização, todos os usuários que pertencem diretamente a esse grupo serão sincronizados. Os usuários que pertencem a grupos aninhados abaixo dele não são sincronizados. A desativação dessa opção é útil para grandes configurações de diretório em que percorrer uma árvore de grupo exige muitos recursos e muito tempo. Se você desativá-la, certifique-se de selecionar todos os grupos cujos usuários deseja sincronizar.

Observação: O sistema de autenticação do usuário do Directories Management importa dados do Active Directory ao adicionar grupos e usuários, bem como a velocidade do sistema é limitada pelas capacidades do Active Directory. Como resultado, as operações de importação podem exigir uma quantidade significativa de tempo, dependendo do número de grupos e usuários sendo adicionados. Para minimizar o potencial de atrasos ou problemas, limite o número de grupos e usuários a apenas aqueles necessários para operação do vRealize Automation.
Se o desempenho do seu sistema se degradar ou caso ocorram erros, feche todos os aplicativos desnecessários e verifique se o sistema tem memória alocada apropriada para o Gerenciamento de Diretórios. Se os problemas persistirem, aumente a alocação de memória do Gerenciamento de Diretórios, conforme necessário. Para sistemas com um grande número de usuários e grupos, você pode precisar aumentar a alocação de memória do Gerenciamento de Diretórios para até 24 GB.
Clique em Avançar.
Clique em + para adicionar mais usuários. Por exemplo, digite CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

É possível, aqui, acrescentar unidades organizacionais, assim como usuários individuais.

Você pode criar um filtro para excluir alguns tipos de usuários. Selecione o atributo do usuário a ser usado para filtragem, a regra de consulta e o valor.
Clique em Avançar.
Analise a página para ver quantos usuários e grupos serão sincronizados com o diretório e ver a agenda de sincronização padrão.

Para fazer alterações em usuários e grupos, ou na frequência de sincronização, clique nos links Editar.
Clique em Sincronizar diretório para iniciar a sincronização de diretório.

Resultados

A conexão com o diretório LDAP é estabelecida e os usuários e grupos são sincronizados a partir do diretório LDAP para o diretório do Directories Management.

Agora, é possível atribuir usuários e grupos às funções de vRealize Automation apropriadas selecionando Administração > Usuários e Grupos > Diretório de Usuários e Grupos. Consulte Atribuir funções a usuários ou grupos de diretórios para obter mais informações.