Sie können Ihr LDAP-Unternehmensverzeichnis in VMware Identity Manager integrieren, um Benutzer und Gruppen aus dem LDAP-Verzeichnis mit dem VMware Identity Manager-Dienst zu synchronisieren.
Zum Integrieren Ihres LDAP-Verzeichnisses erstellen Sie ein entsprechendes VMware Identity Manager-Verzeichnis und synchronisieren Benutzer und Gruppen aus Ihrem LDAP-Verzeichnis mit dem VMware Identity Manager-Verzeichnis. Sie können eine regelmäßige Synchronisierung für spätere Aktualisierungen einrichten.
Sie können auch die LDAP-Attribute auswählen, die für Benutzer synchronisiert werden sollen, und diese den VMware Identity Manager-Attributen zuordnen.
Ihre LDAP-Verzeichniskonfiguration kann auf Standardschemata basieren; Sie können aber auch benutzerdefinierte Schemata erstellen. Sie können auch benutzerdefinierte Attribute festlegen. Damit VMware Identity Manager Ihr LDAP-Verzeichnis nach Benutzer- oder Gruppenobjekten abfragen kann, müssen Sie die LDAP-Suchfilter und Attributnamen angeben, die für Ihr LDAP-Verzeichnis gelten.
Insbesondere müssen Sie folgende Informationen angeben:
- LDAP-Suchfilter zum Abfragen von Gruppen, Benutzern und des Verbindungsbenutzers
- LDAP-Attributnamen für Gruppenmitgliedschaft, UUID und Distinguished Name
Für die Funktion der LDAP-Verzeichnisintegration gelten bestimmte Einschränkungen. Siehe Einschränkungen bei der Integration von LDAP-Verzeichnissen.
Voraussetzungen
- Wenn Sie zusätzliche externe virtuelle Konnektor-Appliances verwenden, müssen Sie beachten, dass die Integration von LDAP-Verzeichnissen nur mit der Connector-Version 2016.6.1 und höher möglich ist.
- Prüfen Sie die Attribute auf der Seite , und fügen Sie weitere Attribute hinzu, die synchronisiert werden sollen. Sie ordnen die VMware Identity Manager-Attribute den Attributen Ihres LDAP-Verzeichnisses beim Erstellen des Verzeichnisses zu. Diese Attribute werden für die im Verzeichnis aufgeführten Benutzer synchronisiert.
Hinweis: Wenn Sie Änderungen an Benutzerattributen vornehmen, sollten Sie die Auswirkungen auf andere Verzeichnisse im Dienst berücksichtigen. Wenn Sie sowohl Active Directory als auch LDAP-Verzeichnisse hinzufügen möchten, dürfen Sie mit Ausnahme des Attributs
userName, das als erforderlich gekennzeichnet werden kann, kein Attribut als erforderlich markieren. Die Einstellungen auf der Seite „Benutzerattribute“ gelten für alle Verzeichnisse im Dienst. Wenn ein Attribut als erforderlich markiert ist, werden Benutzer ohne dieses Attribut nicht mit dem
VMware Identity Manager-Dienst synchronisiert.
- Ein Bind-DN-Benutzerkonto. Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.
- In Ihrem LDAP-Verzeichnis muss die UUID von Benutzern und Gruppen reines Textformat haben.
- In Ihrem LDAP-Verzeichnis muss ein Domänenattribut für alle Benutzer und Gruppen vorhanden sein.
Dieses Attribut ordnen Sie dem Attribut VMware Identity Manager-Domäne beim Erstellen des VMware Identity Manager-Verzeichnisses zu.
- Benutzernamen dürfen keine Leerzeichen enthalten. Wenn ein Benutzername ein Leerzeichen enthält, wird der Benutzer zwar synchronisiert, verfügt jedoch nicht über Berechtigungen.
- Bei Verwendung der zertifikatbasierten Authentifizierung müssen Benutzer Werte für die Attribute „userPrincipalName“ und „E-Mail-Adresse“ haben.
Prozedur
- In der Verwaltungskonsole klicken Sie auf die Registerkarte Identitäts- und Zugriffsmanagement.
- Klicken Sie auf der Seite „Verzeichnisse“ auf Verzeichnis hinzufügen, und wählen Sie LDAP-Verzeichnis hinzufügen.
- Geben Sie die erforderlichen Informationen auf der Seite „LDAP-Verzeichnis hinzufügen“ ein.
Option |
Beschreibung |
Verzeichnisname |
Name für das VMware Identity Manager-Verzeichnis. |
Verzeichnissynchronisierung und Authentifizierung |
- Wählen Sie im Feld Synchronisierungs-Konnektor den Connector aus, der für die Synchronisierung von Benutzern und Gruppen aus Ihrem LDAP-Verzeichnis mit dem VMware Identity Manager-Verzeichnis verwendet werden soll.
Standardmäßig ist immer eine Konnektorkomponente mit dem VMware Identity Manager-Dienst verfügbar. Dieser Konnektor wird in der Dropdown-Liste angezeigt. Wenn Sie mehrere VMware Identity Manager-Appliances für eine Hochverfügbarkeit installieren, erscheint die Konnektorkomponente von jeder Appliance in der Liste. Sie benötigen keinen separaten Connector für ein LDAP-Verzeichnis. Ein Connector kann mehrere Verzeichnisse unterstützen – unabhängig davon, ob es sich dabei um Active Directory oder LDAP-Verzeichnisse handelt. Für Szenarios, in denen Sie zusätzliche Connectors benötigen, finden Sie weitere Informationen unter „Installieren zusätzlicher Connector-Appliances“ im VMware Identity Manager-Installationshandbuch.
- Wählen Sie im Feld Authentifizierung die Option Ja, wenn Sie dieses LDAP-Verzeichnis für die Authentifizierung von Benutzern verwenden möchten.
Wenn die Authentifizierung der Benutzer durch einen externen Identitätsanbieter erfolgen soll, wählen Sie Nein. Nach dem Hinzufügen der Verzeichnis-Verbindung zur Synchronisierung von Benutzern und Gruppen öffnen Sie die Seite , um den externen Identitätsanbieter zur Authentifizierung hinzuzufügen.
- Geben Sie im Feld Verzeichnissuchattribut das für den Benutzernamen zu verwendende LDAP-Verzeichnisattribut an. Wenn das Attribut nicht aufgeführt ist, wählen Sie Benutzerdefiniert, und geben Sie den Attributnamen ein, z. B.cn.
|
Server-Speicherort |
Geben Sie den Host und die Portnummer des LDAP-Verzeichnisservers ein. Für den Server-Host können Sie entweder den vollqualifizierten Domänennamen (FQDN) oder die IP-Adresse angeben. Z. B. meinLDAPserver.beispiel.com oder 100.00.00.0. Wenn sich hinter einem Lastausgleichsdienst ein Server-Cluster befindet, geben Sie stattdessen die Informationen zum Lastausgleichsdienst ein. |
LDAP-Konfiguration |
Geben Sie die LDAP-Suchfilter und -Attribute an, die VMware Identity Manager zur Abfrage Ihres LDAP-Verzeichnisses verwenden kann. Standardwerte werden auf Basis des LDAP-Grundschemas bereitgestellt. LDAP-Abfragen
- Gruppen abrufen: Der Suchfilter zum Abrufen von Gruppenobjekten.
Z. B.: (Objektklasse=Gruppe)
- Verbindungsbenutzer abrufen: Der Suchfilter zum Abrufen des Objekts Verbindungsbenutzer, d. h. des Benutzers, der eine Verbindung zum Verzeichnis herstellen kann.
Z. B.: (Objektklasse=Person)
- Benutzer abrufen: Der Suchfilter zum Abrufen der zu synchronisierenden Benutzer.
Z. B.:(&(Objektklasse=Benutzer)(Objektkategorie=Person))
Attribute
- Mitgliedschaft: Das Attribut, das in Ihrem LDAP-Verzeichnis zum Definieren der Mitglieder einer Gruppe verwendet wird.
Z. B.: Mitglied
- Objekt-UUID: Das Attribut, das in Ihrem LDAP-Verzeichnis zum Definieren der UUID eines Benutzers oder einer Gruppe verwendet wird.
Z. B.: EingabeUUID
- Distinguished Name: Das Attribut, das in Ihrem LDAP-Verzeichnis zum Definieren des Distinguished Name (definierten Namens) eines Benutzers oder einer Gruppe verwendet wird.
Z. B.: EingabeDN
|
Zertifikate |
Wenn Ihr LDAP-Verzeichnis den Zugriff über SSL erfordert, aktivieren Sie die Option Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von SSL, und geben Sie das Stammzertifizierungsstellen-SSL-Zertifikat des LDAP-Verzeichnisservers mittels Kopieren und Einfügen ein. Stellen Sie sicher, dass das Zertifikat im PEM-Format vorliegt, und fügen Sie die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ ein. |
Details zum Verbindungsbenutzer |
Basis-DN: Geben Sie die DN ein, ab der die Suche starten soll. Z. B.: cn=Benutzer,dc=Beispiel,dc=com
Bind-DN: Geben Sie den für die Verbindung zum LDAP-Verzeichnis zu verwendenden Benutzernamen ein.
Hinweis: Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.
Bind-DN-Kennwort: Geben Sie das Kennwort für den Bind-DN-Benutzer ein. |
- Zum Testen der Verbindung zum LDAP-Verzeichnisserver klicken Sie auf Verbindung testen.
Wenn keine Verbindung hergestellt werden kann, prüfen Sie die von Ihnen eingegebenen Informationen, und nehmen Sie entsprechende Änderungen vor.
- Klicken Sie auf Speichern und weiter.
- Prüfen Sie auf der Seite „Domänen“, ob die richtige Domäne aufgeführt ist, und klicken Sie dann auf Weiter.
- Prüfen Sie auf der Seite „Attribute zuordnen“, ob die VMware Identity Manager-Attribute den richtigen LDAP-Attributen zugeordnet sind.
Wichtig: Sie müssen eine Zuordnung für das Attribut
-Domäne angeben.
Sie können der Liste Attribute von der Seite „Benutzerattribute“ hinzufügen.
- Klicken Sie auf Weiter.
- Klicken Sie auf der Seite „Gruppen“ auf + , um die Gruppen auszuwählen, die aus dem LDAP-Verzeichnis mit dem VMware Identity Manager-Verzeichnis synchronisiert werden sollen.
Wenn Ihr LDAP-Verzeichnis mehrere Gruppen mit dem gleichen Namen enthält, müssen Sie für sie eindeutige Namen auf der Seite „Gruppen“ angeben.
Die Option Benutzer verschachtelter Gruppen synchronisieren ist standardmäßig aktiviert. Wenn diese Option aktiviert ist, werden alle Benutzer synchronisiert, die direkt zu der von Ihnen ausgewählten Gruppe gehören, sowie alle Benutzer, die zu darin vorhandenen geschachtelten Gruppen gehören. Beachten Sie, dass die geschachtelten Gruppen selbst nicht synchronisiert werden. Es werden nur die Benutzer synchronisiert, die zu den geschachtelten Gruppen gehören. Im Verzeichnis VMware Identity Manager werden diese Benutzer als Mitglieder der obersten Gruppe angezeigt, die Sie für die Synchronisierung ausgewählt haben. Tatsächlich wird die Hierarchie unter einer ausgewählten Gruppe geglättet; Benutzer aus allen Ebenen in VMware Identity Manager werden als Mitglieder der ausgewählten Gruppe angezeigt.
Wenn diese Option deaktiviert ist und wenn Sie eine Gruppe für die Synchronisierung festlegen, werden alle Benutzer, die direkt zu dieser Gruppe gehören, synchronisiert. Benutzer, die zu geschachtelten Gruppen gehören, werden in diesem Fall nicht synchronisiert. Das Deaktivieren dieser Option ist bei großen Verzeichniskonfigurationen sinnvoll, bei denen die Durchsicht eines Gruppenstrukturbaums ressourcen- und zeitintensiv ist. Wenn Sie diese Option deaktivieren, müssen Sie sicherstellen, dass alle diejenigen Gruppen ausgewählt sind, deren Benutzer Sie synchronisieren möchten.
- Klicken Sie auf Weiter.
- Um zusätzliche Benutzer hinzuzufügen, klicken Sie auf + . Geben Sie beispielsweise CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com ein.
Um Benutzer auszuschließen, erstellen Sie einen Filter für den Ausschluss bestimmter Benutzertypen. Dazu wählen Sie das Benutzerattribut für den Filter, die Abfrageregel und den Wert aus.
Klicken Sie auf Weiter.
- Überprüfen Sie auf der Seite, wie viele Benutzer und Gruppen mit dem Verzeichnis synchronisiert werden und wie die Standardsynchronisierung terminiert ist.
Um Änderungen für Benutzer und Gruppen oder für die Synchronisierungshäufigkeit durchzuführen, klicken Sie jeweils auf Bearbeiten.
- Klicken Sie auf Verzeichnis synchronisieren, um die Verzeichnissynchronisierung zu starten.
Ergebnisse
Die Verbindung zum LDAP-Verzeichnis ist hergestellt. Benutzer und Gruppen werden aus dem LDAP-Verzeichnis mit dem VMware Identity Manager-Verzeichnis synchronisiert. Standardmäßig hat der Bind-DN-Benutzer eine Administratorrolle in VMware Identity Manager.