您可以使用身份目录管理配置 OpenLDAP 目录连接。

开始之前

  • 查看“用户属性”页面中的配置,并添加其他要同步的属性。在创建目录时,您会将 Directories Management 属性映射到 LDAP 目录属性。系统将为目录中的用户同步这些属性。

    注:

    更改用户属性时,请考虑此操作对服务中的其他目录的影响。如果打算同时添加 Active Directory 和 LDAP 目录,请确保不要将任何属性标记为“必需”,但 userName 除外,此属性可以标记为“必需”。“用户属性”页面中的设置适用于服务中的所有目录。如果将某个属性标记为“必需”,则不具备该属性的用户将不会被同步到 Directories Management 服务。

  • 绑定 DN 用户帐户。建议使用具有不过期密码的绑定 DN 用户帐户。

  • 在您的 LDAP 目录中,用户和组的 UUID 必须为纯文本格式。

  • 在您的 LDAP 目录中,所有用户和组都必须存在 domain 属性。

    在创建 Directories Management 目录时,您会将此属性映射到 Directories Management domain 属性。

  • 用户名不得包含空格。如果用户名包含空格,虽然可以同步用户,但用户无法获得授权。

  • 如果使用证书身份验证,则用户必须具有 userPrincipalName 和电子邮件地址属性值。

关于此任务

尽管有几种不同的 LDAP 协议,但 OpenLDAP 是唯一经过测试和批准可用于 vRealize Automation 身份目录管理的 LDAP 协议。

要集成 LDAP 目录,您需要创建相应的 Directories Management 目录,并将用户和组从 LDAP 目录同步到 Directories Management 目录。您可以设置定期同步计划以进行后续更新。

您也可以选择要为用户同步的 LDAP 属性,然后将这些属性映射到 Directories Management 属性。

您的 LDAP 目录配置可以基于默认架构,或者您也可以创建自定义架构。您还可以定义自定义属性。为了让 Directories Management 能够查询您的 LDAP 目录,从而获取用户或组对象,您需要提供适用于 LDAP 目录的 LDAP 搜索筛选器和属性名称。

具体来说,您需要提供以下信息。

  • 用于获取组、用户和绑定用户的 LDAP 搜索筛选器

  • 用于组成员资格、UUID 和标识名的 LDAP 属性名称

过程

  1. 选择管理 > 身份目录管理 > 目录
  2. 单击添加目录,然后选择添加 LDAP 目录
  3. 在“添加 LDAP 目录”页面中输入必需的信息。

    选项

    描述

    目录名称

    输入Directories Management目录的名称。

    目录同步和身份验证

    1. 同步连接器字段中,选择您要用于将 LDAP 目录中的用户和组同步到 Directories Management 目录的连接器。

      默认情况下,连接器组件始终可用于 Directories Management 服务。将在下拉列表中显示该连接器。如果您安装多个高可用性 Directories Management 设备,每个设备的连接器组件显示在列表中。

      您无需为 LDAP 目录使用单独的连接器。一个连接器可以支持多个目录,而不管它们是 Active Directory 还是 LDAP 目录。

    2. 身份验证字段中,如果您要使用该 LDAP 目录对用户进行身份验证,请选择

      如果您要使用第三方身份提供程序对用户进行身份验证,请选择。在添加目录连接以同步用户和组后,请转到管理 > 身份目录管理 > 身份提供程序页面,以添加用于身份验证的第三方身份提供程序。

    3. 对于大多数配置,请使默认值自定义目录搜索属性文本框中保持选定状态。在自定义目录搜索属性字段中,指定要对用户名和组名称使用的 LDAP 目录属性。此属性可唯一标识 LDAP 服务器中的实体,例如,用户和组。例如,cn

    服务器位置

    输入 LDAP 目录服务器主机和端口号。对于服务器主机,您可以指定完全限定域名或 IP 地址。例如,myLDAPserver.example.com100.00.00.0

    如果您的服务器群集位于负载平衡器后面,请改为输入负载平衡器信息。

    LDAP 配置

    指定 Directories Management 可用于查询 LDAP 目录的 LDAP 搜索筛选器和属性。系统会根据核心 LDAP 架构提供默认值。

    筛选器查询

    • :用于获取组对象的搜索筛选器。

      例如:(objectClass=group)

    • 绑定用户:用于获取绑定用户对象(即可以绑定到目录的用户)的搜索筛选器。

      例如:(objectClass=person)

    • 用户:用于获取要同步的用户的搜索筛选器。

      例如:(&(objectClass=user)(objectCategory=person))

    属性

    • 成员资格:在您的 LDAP 目录中用于定义组成员的属性。

      例如:member

    • 对象 UUID:在您的 LDAP 目录中用于定义用户或组的 UUID 的属性。

      例如:entryUUID

    • 标识名:在您的 LDAP 目录中对用户或组的标识名使用的属性。

      例如:entryDN

    证书

    如果您的 LDAP 目录需要通过 SSL 访问,请选中此目录要求所有连接都使用 SSL 复选框。然后,将 LDAP 目录服务器的根 CA SSL 证书复制并粘贴到 SSL 证书文本框中。请确保证书采用的是 PEM 格式,并且包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。

    最后,请确保在页面的“服务器位置”部分中的服务器端口字段中指定的端口号正确。

    绑定用户详细信息

    基本 DN:输入从中开始搜索的 DN。例如,cn=users,dc=example,dc=com

    所有适用的用户均必须位于“基本 DN”下。如果特定用户不位于“基本 DN”下,即使该用户属于“基本 DN”下的组,也无法登录。

    绑定 DN:输入用于绑定到 LDAP 目录的 DN。您还可以输入用户名,但 DN 更适合于大多数部署。

    注:

    建议使用具有不过期密码的绑定 DN 用户帐户。

    绑定 DN 密码:输入绑定 DN 用户的密码。

  4. 要测试与 LDAP 目录服务器的连接,请单击测试连接

    如果连接不成功,请检查您输入的信息并进行相应的更改。

  5. 单击保存并执行下一步
  6. 验证是否在“选择域”页面中选择了正确的域,然后单击下一步
  7. 在“映射属性”页面中,验证 Directories Management 属性是否映射到正确的 LDAP 属性。

    系统将为用户同步这些属性。

    重要:

    您必须指定 domain 属性的映射。

    您可以将属性添加到“用户属性”页面的列表。

  8. 单击下一步
  9. 单击 +,在“选择要同步的组 (用户)”页面上,选择您要从 LDAP 目录同步到Directories Management目录的组。

    如果您的 LDAP 目录中有多个同名的组,则必须在组页面中为这些组指定唯一的名称。

    默认情况下,同步嵌套的组成员选项处于启用状态。启用此选项后,将会同步直属于所选组的所有用户以及属于该组下的嵌套组的所有用户。请注意,不会同步嵌套组;只会同步属于嵌套组的用户。在 Directories Management 目录中,这些用户将显示为您选择进行同步的顶级组的成员。实际上,选定组下的层次结构将会变平,并且所有级别的用户都会在 Directories Management 中显示为选定组的成员。

    如果禁用此选项,则在指定要同步的组时,直属于该组的所有用户都会被同步。属于该组下的嵌套组的用户则不会被同步。在大型目录配置中,遍历组树会耗用大量资源和时间,对于这类配置,禁用此选项会非常有用。如果禁用此选项,请确保选择所有要同步用户的组。

    注:

    Directories Management用户身份验证系统在添加组和用户时从 Active Directory 导入数据,系统的速度受 Active Directory 功能限制。因此,导入操作可能需要很长时间,具体取决于要添加的组和用户数量。为了最大程度地减少潜在的延迟或问题,请将组和用户数量限制为 vRealize Automation 操作所需的数量。

    如果系统性能降低或者如果出现错误,请关闭所有不需要的应用程序并确保系统已为身份目录管理分配相应的内存。如果问题仍然存在,请根据需要增加身份目录管理内存分配。对于拥有大量用户和组的系统,您可能需要将身份目录管理内存分配增加至多达 24 GB。

  10. 单击下一步
  11. 单击 + 以添加其他用户。例如,输入 CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com

    您可以在此处添加组织单位以及各个用户。

    要排除用户,请创建一个筛选器以排除某些类型的用户。您可以选择要作为筛选条件的用户属性、查询规则和值。

  12. 单击下一步
  13. 查看该页面,了解将同步到目录的用户和组数量以及默认同步计划。

    要对用户和组或同步频率进行更改,请单击编辑链接。

  14. 单击同步目录以开始目录同步。

结果

此时会建立与 LDAP 目录的连接,并且会将用户和组从 LDAP 目录同步到 Directories Management 目录。

您现在可以通过选择管理 > 用户和组 > 目录用户和组,将用户和组分配给相应的 vRealize Automation 角色。有关详细信息,请参见为目录用户或组分配角色