您可以在计划连接到单个 Active Directory 域环境时创建此目录类型。对于“基于 LDAP 的 Active Directory”目录类型,连接器使用简单绑定身份验证绑定到 Active Directory。

前提条件

  • 列出要从 Active Directory 同步的 Active Directory 组和用户。
  • 确认您已在用户属性定义上指定所需的默认属性并添加其他属性。
  • 确认您拥有添加目录所需的用户凭据。

过程

  1. 单击“我的服务”仪表板上的身份与租户管理
  2. 导航到“目录管理”选项卡,然后单击目录
  3. 单击添加目录,然后选择添加基于 LDAP 的 Active Directory
  4. 目录详细信息选项卡上:
    字段 描述
    目录信息 输入有效的目录名称。
    目录同步和身份验证 选择要与 Active Directory 同步的连接器。连接器是一个 VMware Identity Manager 服务组件,用于在 Active Directory 和 VMware Identity Manager 服务之间同步用户和组数据。

    当用作身份提供程序时,它还对用户进行身份验证。每个 VMware Identity Manager 设备节点均包含一个默认连接器组件。如果需要,也可通过全局环境横向扩展部署专用连接器。

    已启用身份验证 如果希望连接器执行身份验证,请选择

    可以指示所选连接器是否也执行身份验证。如果使用第三方身份提供程序对用户进行身份验证,请选择

    目录搜索属性 从包含用户名的下拉菜单中选择帐户属性。
    服务器位置 选中目录支持 DNS 服务位置复选框。
    • 如果 Active Directory 要求通过 SSL/TLS 进行访问,请选中证书部分中的目录要求所有连接都使用 STARTTLS 或 SSL 复选框,然后将域控制器的中间证书(如果使用)和根 CA 证书复制并粘贴到 SSL 证书文本框。首先输入中间 CA 证书,然后再输入根 CA 证书。确保每个证书都采用 PEM 格式,并包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。如果域控制器具有多个中间和根证书颁发机构颁发的证书,请依次输入所有中间-根 CA 证书链。如果 Active Directory 要求通过 SSL/TLS 进行访问,但您没有提供证书,则无法创建目录。
    • 如果不希望使用 DNS 服务位置,请确认未选中目录支持 DNS 服务位置复选框,并输入 Active Directory 服务器主机名和端口号。
    证书

    如果 Active Directory 要求通过 SSL/TLS 进行访问,请选中证书部分中的目录要求所有连接都使用 SSL 复选框,然后将域控制器的中间证书(如果使用)和根 CA 证书复制并粘贴到 SSL 证书文本框。首先输入中间 CA 证书,然后再输入根 CA 证书。确保证书采用 PEM 格式,并包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。如果 Active Directory 要求通过 SSL/TLS 进行访问,但您没有提供证书,则无法创建目录。

    绑定用户详细信息
    • 基本 DN - 输入 DN 以开始帐户搜索。例如,OU=myUnit,DC=myCorp, DC=com。“基本 DN”用于进行身份验证。只有“基本 DN”下的用户才可以进行身份验证。确保稍后指定用于同步的组 DN 和用户 DN 均在此“基本 DN”下。
    • 绑定用户 DN - 输入帐户详细信息。例如,CN=binduser,OU=myUnit,DC=myCorp, DC=com。使用密码未过期的绑定用户帐户。
    • 绑定密码:单击测试连接以验证目录是否可连接到 Active Directory。
  5. 单击创建并执行下一步
    对于“基于 LDAP 的 Active Directory”,所列的域均带有一个选中标记。
  6. 域选择详细信息选项卡上,选择域,然后单击下一步
  7. 要将目录属性映射到 Active Directory,请在映射属性选项卡上,选择所需的属性,然后单击保存并执行下一步
  8. 组选择选项卡上,要从 Active Directory 同步到 VMware Identity Manager 目录,请指定组 DN 详细信息,然后单击下一步
    您还可以选择列表中已有的所有 Active Directory 组以同步到目录。
    1. 要选择组,请单击添加组标识名,然后指定一个或多个组 DN。选择这些组下的组。指定在“添加目录”页面的“基本 DN”文本框中输入的“基本 DN”下的组 DN。如果组 DN 未包含在“基本 DN”下,则该 DN 中的用户将会同步,但这些用户无法登录。
    2. 单击查找组操作列将列出在 DN 中找到的组数。要选择 DN 中的所有组,请单击全选,或者单击数字并选择要同步的特定组。在同步组时,不会同步未将“域用户”作为 Active Directory 中的主要组的任何用户。
    3. 选择同步嵌套的组成员选项。
  9. 用户选择选项卡上,输入用户 DN 详细信息,然后单击下一步
    套件管理员是 Active Directory 中的用户名,作为已部署套件产品、日志和 AD 表的管理员用户。
  10. 选择同步嵌套的组成员选项,然后输入套件管理员
    启用此选项后,若为所选组授权,将会同步直属于该组的所有用户以及属于该组下的嵌套组的所有用户。请注意,不会同步嵌套组;只会同步属于嵌套组的用户。在 VMware Identity Manager 目录中,这些用户将是您选择进行同步的父组的成员。如果禁用“同步嵌套的组成员”选项,则指定要同步的组时,直属于该组的所有用户都会同步。属于该组下的嵌套组的用户则不会被同步。在大型 Active Directory 配置中,遍历组树会耗用大量资源和时间,对于这类配置,禁用此选项会非常有用。如果禁用此选项,请确保选择所有要同步用户的组。
  11. 单击保存并执行下一步。在用户选择页面中,单击添加用户并指定要同步的用户 DN。指定在“添加目录”页面的“基本 DN”文本框中输入的“基本 DN”下的用户 DN。如果用户 DN 未包含在“基本 DN”下,则该 DN 中的用户将会同步,但这些用户无法登录。单击保存并执行下一步
  12. 查看试运行检查选项卡,阅读摘要,然后单击同步并完成以开始同步到目录。将建立与 Active Directory 的连接,并且用户名和组名称将从 Active Directory 同步到 VMware Identity Manager 目录。
  13. 单击提交
  14. 要进行编辑,请单击 Active Directory 列表中特定 Active Directory 上的编辑图标。添加的任何信息都将附加到 VMware Identity Manager 上的配置。但是,通过编辑进行的任何移除操作只会从 vRealize Suite Lifecycle Manager 清单中移除配置,而不会从 VMware Identity Manager 中移除。
  15. 要进行删除,请单击 Active Directory 列表中特定 Active Directory 上的删除图标。删除操作仅从 vRealize Suite Lifecycle Manager 清单中删除 Active Directory,而不会从 VMware Identity Manager 中删除。