在部署 VMware Identity Manager OVA 后,您可以使用设置向导设置密码并选择一个数据库。然后,您可以设置与 Active Directory 或 LDAP 目录的连接。

先决条件

  • 已打开 VMware Identity Manager 虚拟设备的电源。

  • 已配置外部数据库并且外部数据库连接信息可用(如果使用外部数据库)。有关信息,请参阅连接数据库

  • 查看与您的企业目录集成与 Active Directory 集成将 LDAP 目录与服务集成,以了解要求和限制。

  • 您具有 Active Directory 或 LDAP 目录信息。

  • 当配置了多林 Active Directory 且域本地组包含其他林中域的成员时,必须将 VMware Identity Manager“目录”页面上使用的绑定 DN 用户添加到域本地组所在域的管理员组。如果未执行此操作,这些成员将会在域本地组中缺失。

  • 您具有要用作筛选器的用户属性列表以及要添加到 VMware Identity Manager 中的组列表。

过程

  1. 转到VMware Identity Manager控制台选项卡中的蓝色屏幕上显示的 URL。例如,https://hostname.example.com
  2. 在出现提示时,接受证书。
  3. 在“开始”页中,单击继续
  4. 在“设置密码”页中,为以下管理员帐户(用于管理设备)设置密码,然后单击继续

    帐户

    设备管理员

    admin 用户设置密码。不能更改该用户名。管理员用户帐户用于管理设备设置。

    重要:

    管理员用户密码长度必须至少为 6 个字符。

    设备 root

    设置 root 用户密码。root 用户具有设备的全部权限。

    远程用户

    设置 sshuser 密码,该密码用于通过 SSH 连接远程登录设备。

  5. 在“选择数据库”页中,选择要使用的数据库。

    请参阅连接数据库以了解详细信息。

    • 如果使用外部数据库,请选择外部数据库,然后输入外部数据库连接信息、用户名和密码。要验证 VMware Identity Manager 是否可以连接到数据库,请单击测试连接

      在验证连接后,单击继续

    • 如果您正使用内部数据库,请单击继续

      注:

      不建议将内部数据库用于生产部署。

    将配置与该数据库的连接,并将初始化该数据库。该过程完成后,将显示设置已完成页面。

  6. 单击设置已完成页面上的登录管理控制台链接,登录管理控制台,以设置 Active Directory 或 LDAP 目录连接。
  7. admin 用户身份使用设置的密码登录到管理控制台。

    您将作为本地管理员登录。将显示“目录”页面。在添加目录之前,请确保查看与您的企业目录集成与 Active Directory 集成将 LDAP 目录与服务集成以了解要求和限制。

  8. 单击身份和访问管理选项卡。
  9. 单击设置 > 用户属性以选择要同步到目录的用户属性。

    列出默认属性,您可以选择所需的属性。如果将某个属性标记为“必需”,则只有具备该属性的用户才会被同步到服务。也可以添加其他属性。

    重要:

    在创建目录后,您无法将属性更改为必需属性。您必须现在选择这些属性。

    另外请注意,“用户属性”页面中的设置适用于服务中的所有目录。在将某个属性标记为“必需”时,请考虑此操作对其他目录的影响。如果将某个属性标记为“必需”,则不具备该属性的用户将不会被同步到服务。

    重要:

    如果打算将 XenApp 资源与 VMware Identity Manager 进行同步,您必须将 distinguishedName 指定为必需属性。

  10. 单击保存
  11. 单击身份和访问管理选项卡。
  12. 在“目录”页面中,单击添加目录,并根据您将集成的目录类型选择添加通过 LDAP/IWA 访问的 Active Directory添加 LDAP 目录

    也可以在该服务中创建本地目录。有关使用本地目录的详细信息,请参阅使用本地目录

  13. 对于 Active Directory,请执行以下步骤。
    1. 输入您将在 VMware Identity Manager 中创建的目录的名称,并选择目录类型:通过 LDAP 访问的 Active DirectoryActive Directory (集成 Windows 身份验证)
    2. 提供连接信息。

      选项

      描述

      通过 LDAP 访问的 Active Directory

      1. 同步连接器字段中,选择您要用于将 Active Directory 中的用户和组同步到 VMware Identity Manager 目录的 连接器

        默认情况下,连接器组件始终可用于 VMware Identity Manager 服务。将在下拉列表中显示该连接器。如果您安装多个高可用性 VMware Identity Manager 设备,每个设备的连接器组件显示在列表中。

      2. 身份验证字段中,如果您要使用该 Active Directory 对用户进行身份验证,请选择

        如果要使用第三方身份提供程序对用户进行身份验证,请单击。在为同步用户和组配置 Active Directory 连接后,转到身份和访问管理 > 管理 > 身份提供程序页面,添加第三方身份提供程序进行身份验证。

      3. 目录搜索属性字段中,选择包含用户名的帐户属性。

      4. 如果 Active Directory 使用 DNS 服务位置查找,请选择以下各项。

        • 服务器位置部分中,选中此目录支持 DNS 服务位置复选框。

          创建该目录时,系统将会随之创建 domain_krb.properties 文件,并在其中自动填充域控制器列表。请参阅关于域控制器选择(domain_krb.properties 文件)

        • 如果 Active Directory 要求进行 STARTTLS 加密,请选中证书部分的此目录要求所有连接都使用 SSL 复选框,然后将 Active Directory 根 CA 证书复制并粘贴到 SSL 证书字段。

          请确保证书采用的是 PEM 格式,并且包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。

          注:

          如果 Active Directory 要求使用 STARTTLS,但您没有提供证书,则无法创建目录。

      5. 如果 Active Directory 不使用 DNS 服务位置查找,请选择以下各项。

        • 服务器位置部分中,确认未选中此目录支持 DNS 服务位置复选框,并输入 Active Directory 服务器主机名和端口号。

          要将目录配置为全局目录,请参阅Active Directory 环境中的“多域、单林 Active Directory 环境”部分。

        • 如果 Active Directory 要求通过 SSL 访问,请选中证书部分的此目录要求所有连接都使用 SSL 复选框,然后将 Active Directory 根 CA 证书复制并粘贴到 SSL 证书字段。

          请确保证书采用的是 PEM 格式,并且包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。

          注:

          如果 Active Directory 要求使用 SSL,但您没有提供证书,则无法创建目录。

      6. 允许更改密码部分中,如果您要允许用户在密码过期或 Active Directory 管理员重置用户密码后,从 VMware Identity Manager 登录页面重置其密码,请选择启用更改密码

      7. 基本 DN 字段中,输入从中开始帐户搜索的 DN。例如 OU=myUnit,DC=myCorp,DC=com。

      8. 绑定 DN 字段中,输入可搜索用户的帐户。例如,CN=binduser,OU=myUnit,DC=myCorp,DC=com。

        注:

        建议使用具有不过期密码的绑定 DN 用户帐户。

      9. 在输入绑定密码后,单击测试连接以确认目录可以连接到 Active Directory。

      Active Directory (集成 Windows 身份验证)

      1. 同步连接器字段中,选择您要用于将 Active Directory 中的用户和组同步到 VMware Identity Manager 目录的 连接器

        默认情况下,连接器组件始终可用于 VMware Identity Manager 服务。将在下拉列表中显示该连接器。如果您安装多个高可用性 VMware Identity Manager 设备,每个设备的连接器组件显示在列表中。

      2. 身份验证字段中,如果您要使用该 Active Directory 对用户进行身份验证,请单击

        如果要使用第三方身份提供程序对用户进行身份验证,请单击。在为同步用户和组配置 Active Directory 连接后,转到身份和访问管理 > 管理 > 身份提供程序页面,添加第三方身份提供程序进行身份验证。

      3. 目录搜索属性字段中,选择包含用户名的帐户属性。

      4. 如果 Active Directory 要求进行 STARTTLS 加密,请选中证书部分的此目录要求所有连接都使用 STARTTLS 复选框,然后将 Active Directory 根 CA 证书复制并粘贴到 SSL 证书字段。

        请确保证书采用的是 PEM 格式,并且包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。

        如果该目录有多个域,请添加所有域的根 CA 证书(一次添加一个证书)。

        注:

        如果 Active Directory 要求使用 STARTTLS,但您没有提供证书,则无法创建目录。

      5. 输入要加入的 Active Directory 域的名称。输入有权加入该域的用户名和密码。请参阅加入域所需的权限以了解详细信息。

      6. 允许更改密码部分中,如果您要允许用户在密码过期或 Active Directory 管理员重置用户密码后,从 VMware Identity Manager 登录页面重置其密码,请选择启用更改密码

      7. 绑定用户 UPN 字段中,输入可通过该域进行身份验证的用户的用户主体名称。例如,[email protected]

        注:

        建议使用具有不过期密码的绑定 DN 用户帐户。

      8. 输入绑定 DN 用户密码。

    3. 单击保存并执行下一步

      将显示包含域列表的页面。

  14. 对于 LDAP 目录,请执行以下步骤。
    1. 提供连接信息。

      选项

      描述

      目录名称

      您将在 VMware Identity Manager 中创建的目录的名称。

      目录同步和身份验证

      1. 同步连接器字段中,选择您要用于将 LDAP 目录中的用户和组同步到 VMware Identity Manager 目录的连接器。

        默认情况下,连接器组件始终可用于 VMware Identity Manager 服务。将在下拉列表中显示该连接器。如果您安装多个高可用性 VMware Identity Manager 设备,每个设备的连接器组件显示在列表中。

        您无需为 LDAP 目录使用单独的连接器。一个连接器可以支持多个目录,而不管它们是 Active Directory 还是 LDAP 目录。

      2. 身份验证字段中,如果您要使用该 LDAP 目录对用户进行身份验证,请选择

        如果您要使用第三方身份提供程序对用户进行身份验证,请选择。在为同步用户和组添加目录连接后,请转到身份和访问管理 > 管理 > 身份提供程序页面,以添加用于身份验证的第三方身份提供程序。

      3. 目录搜索属性字段中,指定要对用户名使用的 LDAP 目录属性。如果属性未列出,请选择自定义并键入属性名称。例如,cn

      服务器位置

      输入 LDAP 目录服务器主机和端口号。对于服务器主机,您可以指定完全限定域名或 IP 地址。例如,myLDAPserver.example.com100.00.00.0

      如果您的服务器群集位于负载平衡器后面,请改为输入负载平衡器信息。

      LDAP 配置

      指定 VMware Identity Manager 可用于查询 LDAP 目录的 LDAP 搜索筛选器和属性。系统会根据核心 LDAP 架构提供默认值。

      LDAP 查询

      • 获取组:用于获取组对象的搜索筛选器。

        例如:(objectClass=group)

      • 获取绑定用户:用于获取绑定用户对象(即可以绑定到目录的用户)的搜索筛选器。

        例如:(objectClass=person)

      • 获取用户:用于获取要同步的用户的搜索筛选器。

        例如:(&(objectClass=user)(objectCategory=person))

      属性

      • 成员资格:在您的 LDAP 目录中用于定义组成员的属性。

        例如:member

      • 对象 UUID:在您的 LDAP 目录中用于定义用户或组的 UUID 的属性。

        例如:entryUUID

      • 标识名:在您的 LDAP 目录中对用户或组的标识名使用的属性。

        例如:entryDN

      证书

      如果您的 LDAP 目录需要通过 SSL 访问,请选择此目录要求所有连接都使用 SSL,然后复制并粘贴 LDAP 目录服务器的根 CA SSL 证书。请确保证书采用的是 PEM 格式,并且包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。

      绑定用户详细信息

      基本 DN:输入从中开始搜索的 DN。例如,cn=users,dc=example,dc=com

      绑定 DN:输入用于绑定到 LDAP 目录的用户名。

      注:

      建议使用具有不过期密码的绑定 DN 用户帐户。

      绑定 DN 密码:输入绑定 DN 用户的密码。

    2. 要测试与 LDAP 目录服务器的连接,请单击测试连接

      如果连接不成功,请检查您输入的信息并进行相应的更改。

    3. 单击保存并执行下一步

      此时会出现列出域的页面。

  15. 对于 LDAP 目录,所列的域无法修改。

    对于“通过 LDAP 访问的 Active Directory”,所列的域也无法修改。

    对于“Active Directory (集成 Windows 身份验证)”,可选择应与此 Active Directory 连接关联的域。

    注:

    如果您在创建目录后添加信任域,则服务不会自动检测新的信任域。要使服务能够检测信任域,连接器必须离开域,然后重新加入。当连接器重新加入域时,信任域便会出现在列表中。

    单击下一步

  16. 验证 VMware Identity Manager 属性名称是否已映射到正确的 Active Directory 或 LDAP 属性,并根据需要进行更改。
    重要:

    如果您正在集成 LDAP 目录,则必须为属性指定映射。

  17. 单击下一步
  18. 选择您要从 Active Directory 或 LDAP 目录同步到 VMware Identity Manager 目录的组。

    选项

    描述

    指定组 DN

    要选择组,您需要指定一个或多个组 DN,然后选择这些组 DN 下的组。

    1. 单击 +,然后指定组 DN。例如,CN=users,DC=example,DC=company,DC=com。

      重要:

      请指定您输入的基本 DN 下的组 DN。如果组 DN 在基本 DN 之外,则该 DN 中的用户将会被同步,但这些用户无法登录。

    2. 单击查找组

      要同步的组列中会列出在该 DN 中找到的组数量。

    3. 要选择该 DN 中的所有组,请单击全选,否则,请单击选择,然后选择要同步的特定组。

      注:

      如果您的 LDAP 目录中有多个同名的组,则必须在 VMware Identity Manager 中为这些组指定唯一的名称。您可以在选择组时更改组名称。

    注:

    在同步组时,不会同步没有将“域用户”作为 Active Directory 中的主要组的任何用户。

    同步嵌套的组成员

    默认情况下,同步嵌套的组成员选项处于启用状态。启用此选项后,将会同步直属于所选组的所有用户以及属于该组下的嵌套组的所有用户。请注意,不会同步嵌套组;只会同步属于嵌套组的用户。在 VMware Identity Manager 目录中,这些用户将为您选择进行同步的父组的成员。

    如果禁用同步嵌套的组成员选项,则在指定要同步的组时,将会同步直属于该组的所有用户。属于该组下的嵌套组的用户则不会被同步。在大型 Active Directory 配置中,遍历组树会耗用大量资源和时间,对于这类配置,禁用此选项会非常有用。如果禁用此选项,请确保选择所有要同步用户的组。

  19. 单击下一步
  20. 如果需要,指定其他要同步的用户。
    1. 单击 +,然后输入用户 DN。例如,CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com。
      重要:

      请指定您输入的基本 DN 下的用户 DN。如果用户 DN 在基本 DN 之外,则该 DN 中的用户将会被同步,但这些用户无法登录。

    2. (可选)要排除用户,请创建一个筛选器以排除某些类型的用户。

      您可以选择要作为筛选条件的用户属性、查询规则和值。

  21. 单击下一步
  22. 查看该页面,了解将与目录同步的用户和组的数量,以及查看同步计划。

    要对用户和组或同步频率进行更改,请单击编辑链接。

  23. 单击同步目录以开始目录同步。

结果

注:

如果出现网络错误,而无法使用反向 DNS 唯一地解析主机名,配置过程将停止。您必须修复网络连接问题,然后重新启动虚拟设备。然后才可以继续执行部署过程。在重新启动虚拟设备后,才能使用新的网络设置。

下一步做什么

有关设置负载平衡器或高可用性配置的信息,请参阅VMware Identity Manager 设备的高级配置

您可以为组织的应用程序自定义资源目录,并允许用户访问这些资源。您还可以设置其他资源,包括 View、ThinApp 和基于 Citrix 的应用程序。请参阅《在 VMware Identity Manager 中设置资源》