作为租户管理员,您希望配置通过 LDAP 访问的 Active Directory 目录连接,以便支持对高度可用的 vRealize Automation 部署进行用户身份验证。

开始之前

  • 使用适当的负载平衡器安装分布式 vRealize Automation 部署。请参见《安装 vRealize Automation 7.2》

  • 租户管理员身份登录到 vRealize Automation 控制台。

关于此任务

每个 vRealize Automation 设备 均提供了一个支持用户身份验证的连接器,但通常只有一个连接器会配置为执行目录同步。选择哪个连接器作为同步连接器并不重要。要支持身份目录管理高可用性,必须配置另一个连接到身份提供程序并指向同一 Active Directory 的连接器(与第二个 vRealize Automation 设备 对应)。在此配置中,如果一个设备出现故障,则另一个设备将接管用户身份验证。

在高可用性环境中,所有节点均必须提供一组相同的 Active Directory、用户、身份验证方法等。要实现这一点,最直接的方法是通过将负载平衡器主机设置为身份提供程序主机,将身份提供程序升级到群集。在此配置中,所有身份验证请求均会指向负载平衡器,稍后负载平衡器将根据需要将请求转发给任一连接器。

过程

  1. 选择管理 > 身份目录管理 > 目录
  2. 单击添加目录
  3. 输入您的特定 Active Directory 帐户设置并接受默认选项。

    选项

    输入示例

    目录名称

    添加 Active Directory 域名的 IP 地址。

    同步连接器

    所有 vRealize Automation 设备 均包含一个连接器。使用任一可用的连接器。

    基本 DN

    输入目录服务器搜索起点的专有名称 (DN)。例如,cn=users,dc=corp,dc=local

    绑定 DN

    输入有权搜索用户的 Active Directory 用户帐户的完整专有名称 (DN),包括公用名称 (CN)。例如,cn=config_admin infra,cn=users,dc=corp,dc=local

    绑定 DN 密码

    为可以搜索用户的帐户输入 Active Directory 密码。

  4. 单击测试连接以测试与已配置目录的连接。

    如果连接失败,请检查所有字段中的条目。如果需要,请咨询系统管理员。

  5. 单击保存并执行下一步

    此时将显示“选择域”页面,其中包含域的列表。

  6. 保持选中默认域,然后单击下一步
  7. 确认属性名称已映射到正确的 Active Directory 属性。否则,请从下拉菜单中选择正确的 Active Directory 属性。单击下一步
  8. 选择要同步的组和用户。
    1. 单击添加图标 (添加)。
    2. 输入用户域,然后单击查找组

      例如,cn=users,dc=corp,dc=local

    3. 选中全选复选框。
    4. 单击选择
    5. 单击下一步
    6. 单击 添加 以添加其他用户。例如,输入 CN-username,CN=Users,OU-myUnit,DC=myCorp,DC=com

      要排除用户,请单击“+”创建一个筛选器以排除某些类型的用户。您可以选择要作为筛选条件的用户属性、查询规则和值。

    7. 单击下一步
  9. 查看页面以了解同步到该目录的用户和组的数量,然后单击同步目录

    目录同步过程需要一些时间,但在后台执行,因此您可以继续工作。

  10. 配置第二个连接器以支持高可用性。
    1. 以租户管理员身份登录到 vRealize Automation 部署的负载平衡器。

      负载平衡器 URL 为 负载平衡器地址/vcac/org/tenant_name

    2. 选择管理 > 身份目录管理 > 身份提供程序
    3. 单击系统目前正在使用的身份提供程序。

      将显示为系统提供基本身份管理的现有身份目录和连接器。

    4. 单击添加连接器下拉列表,然后选择与辅助 vRealize Automation 设备 相对应的连接器。
    5. 在选择该连接器时显示的绑定 DN 密码文本框中,输入相应的密码。
    6. 单击添加连接器
    7. 将主机名编辑为指向负载平衡器。

结果

您已将企业 Active Directory 连接到 vRealize Automation 并已配置可实现高可用性的身份目录管理。

下一步做什么

为了增强安全性,您可以在身份提供程序与 Active Directory 之间配置双向信任。请参见在 vRealize Automation 与 Active Directory 之间配置双向信任关系