导入位于其他计算机的用户帐户信息时,必须定义用于从源计算机导入用户帐户的条件。

添加或编辑身份验证源的位置

您可以选择系统管理 > 身份验证源,然后单击添加图标,从而添加或编辑身份验证源。可以通过单击编辑图标来编辑身份验证源。

表 1. 身份验证源:为用户和组导入添加源

选项

描述

源显示名称

分配给身份验证源的名称。

源类型

注:

源类型下拉框中选择的选项确定此对话框中可用的选项。

表示要访问用户帐户的数据库所驻留的源计算机的目录服务访问技术类型。数据库有两种类型:LDAP 和单一登录。选项包括:

  • SSO SAML:针对 Web 浏览器单一登录的基于 XML 的标准,它可让用户执行单一登录以访问多个应用程序。

  • Open LDAP:一种独立于平台的协议,可提供对其他计算机上 LDAP 数据库的访问权限以导入用户帐户。

  • 其他:指定 Novel 或 OpenDJ 等任何其他基于 LDAP 的目录服务,用于从 Linux Mac 计算机上的 LDAP 数据库中导入用户帐户。

表 2. 身份验证源:为用户和组导入添加源 - 选择 SSO SAML 时可用的选项

名称

描述

主机

单一登录用户服务器所驻留的主机的名称或 IP 地址。

端口

单一登录侦听端口。默认情况下,此选项设置为 443。

用户名

可以登录单一登录主机的用户帐户的名称。

密码

可以登录单一登录主机的用户帐户的密码。

是否授予 vRealize Operations Manager管理员角色以方便日后的配置?

创建单一登录源之后,会在单一登录服务器上创建新的 vRealize Operations Manager用户帐户。

  • 选择可授予 vRealize Operations Manager 管理角色,以便可在 vRealize Operations Manager 设置更改时用于配置 SSO 源。

  • 如果选择,并且 vRealize Operations Manager 设置已更改,则直到您重新注册 SSO 源之后,SSO 用户才能登录。

是否自动重定向到 vRealize Operations 单一登录 URL?

在您配置单一登录源之后,用户将重定向到 vCenter SSO 服务器。

  • 选择可将用户重定向到单一登录服务器以进行身份验证。

  • 如果您选择,用户必须通过 vRealize Operations Manager 登录页面登录。

添加当前源后是否导入单一登录用户组?

设置单一登录源后,可将用户和用户组导入到 vRealize Operations Manager,以便单一登录用户可以使用其单一登录权限访问系统。

  • 如果选择,向导将指引您转到“导入用户组”页面,以便您可以在完成 SSO 源设置之后尽快导入用户组。

  • 如果要稍后导入用户帐户或用户组,请选择

高级

如果您的系统使用负载平衡器,请输入负载平衡器的 IP 地址。

测试

测试是否可使用所提供的凭据访问主机。

表 3. 身份验证源:为用户和组导入添加源 - 选择 Open LDAPActive Directory其他时可用的选项

选项

描述

集成模式基本设置

应用基本设置,以将 LDAP 导入源与 vRealize Operations Manager的实例集成。

使用基本集成模式使vRealize Operations Manager发现 LDAP 数据库所驻留的主机,并设置用于搜索用户的基本识别名(基本 DN)。提供域和子域的名称(由 vRealize Operations Manager用于填充主机和基本 DN 详细信息 ),以及可登录 LDAP 主机的用户的用户名和密码。

在基本模式下,vRealize Operations Manager会尝试从 DNS 服务器获取主机和端口,并为域获取全局目录和域控制器(支持 SSL/TLS 的服务器优先)。

  • 域/子域。LDAP 用户帐户的域信息。

  • 使用 SSL/TLS。如果选择该选项,从 LDAP 数据库导入用户时,vRealize Operations Manager 将使用安全套接字层/安全传输层 (SSL/TLS) 协议提供安全通信。无需安装 SSL/TLS 证书。vRealize Operations Manager 会提示您查看和验证指纹,并接受 LDAP 服务器证书。接受证书后,LDAP 通信继续。

  • 用户名。可以登录 LDAP 主机的用户帐户的名称。

  • 重置密码。重置可以登录 LDAP 主机的用户帐户的密码。

  • 自动同步已配置组的用户成员资格。如果选择该选项,vRealize Operations Manager 可以将导入的 LDAP 用户映射到用户组。

  • 主机。LDAP 用户数据库所驻留的主机的名称或 IP 地址。

  • 端口。用于导入的端口。如果未使用 SSL/TLS,请使用端口 389;如果使用 SSL/TLS,请使用端口 636;也可以选择其他端口号。对于非 SSL/TLS 全局目录端口为 3268,对于 SSL/TLS 为 3269。

  • 基本 DN。供用户搜索的基本识别名。vRealize Operations Manager 只能查找使用基本 DN 的用户。基本 DN 是所导入用户的识别名 (DN) 的基础条目,它是用户名的基本条目,无需其他相关信息(例如,用户帐户的完整路径或包含相关域组件)。虽然 vRealize Operations Manager 会填充基本 DN,但是管理员必须先验证该基本 DN,然后再保存 LDAP 配置。

  • 公用名称。用于标识用户名的 LDAP 属性。Active Directory 的默认属性为 userPrincipalName

集成模式高级设置

应用高级设置,以将 LDAP 导入源与 vRealize Operations Manager的实例集成。

采用高级集成模式手动提供主机名和基本识别名(基本 DN)以使vRealize Operations Manager导入用户。提供可登录 LDAP 主机的用户的用户名和密码。

  • 主机。LDAP 用户数据库所驻留的主机的名称或 IP 地址。

  • 使用 SSL/TLS。如果选择该选项,从 LDAP 数据库导入用户时,vRealize Operations Manager 将使用安全套接字层/安全传输层 (SSL/TLS) 协议提供安全通信。无需安装 SSL/TLS 证书。vRealize Operations Manager 会提示您查看和验证指纹,并接受 LDAP 服务器证书。接受证书后,LDAP 通信继续。

  • 基本 DN。供用户搜索的基本识别名。vRealize Operations Manager 只能查找使用基本 DN 的用户。基本 DN 是所导入用户的识别名 (DN) 的基础条目,它是用户名的基本条目,无需其他相关信息(例如,用户帐户的完整路径或包含相关域组件)。虽然 vRealize Operations Manager 会填充基本 DN,但是管理员必须先验证该基本 DN,然后再保存 LDAP 配置。

  • 用户名。可以登录 LDAP 主机的用户帐户的名称。

  • 重置密码。重置可以登录 LDAP 主机的用户帐户的密码。

  • 自动同步已配置组的用户成员资格。如果选择该选项,vRealize Operations Manager 可以将导入的 LDAP 用户映射到用户组。

  • 公用名称。用于标识用户名的 LDAP 属性。Active Directory 的默认属性为 userPrincipalName

  • 端口。用于导入的端口。如果未使用 SSL/TLS,请使用端口 389;如果使用 SSL/TLS,请使用端口 636;也可以选择其他端口号。对于非 SSL/TLS 全局目录端口为 3268,对于 SSL/TLS 为 3269。

搜索条件

显示搜索条件设置。

虽然 vRealize Operations Manager会填充部分搜索条件,但是管理员必须根据 LDAP 类型的属性验证设置,以确保这些设置正确。

  • 组搜索条件。用于查找 LDAP 组的搜索条件。如果不包括此选项,vRealize Operations Manager 将使用默认搜索参数: (|(objectClass=group)(objectClass=groupOfNames))

  • 成员属性。包含成员列表的组对象的属性名称。如果不包括此选项,vRealize Operations Manager 将使用默认成员。

  • 用户搜索条件。通过使用成员字段来查找并缓存 LDAP 用户的搜索条件。键入若干组格式为 (|(key1=value1)(key2=value2)) 的“键=值”对。如果不包括此选项,vRealize Operations Manager 将单独搜索每个用户。此操作可能会花费额外的时间。

  • 成员匹配字段。要与组对象中的成员条目匹配的用户对象的属性名称。如果不包括此选项,vRealize Operations Manager 会将成员条目视为识别名。

  • LDAP 上下文属性。vRealize Operations Manager 应用到 LDAP 上下文环境中的属性。键入以逗号分隔的若干组“键=值”对,例如 java.naming.referral=ignore,java.naming.ldap.deleteRDNfalse

测试

测试是否可使用所提供的凭据访问主机。虽然对连接的测试已成功,但是使用搜索功能的用户必须在 LDAP 源中具有读取权限。

该测试不会验证“基本 DN”或“公用名称”条目的准确性。