Sie können eine OpenLDAP Directory-Verbindung mit der Verzeichnisverwaltung konfigurieren.

Vorbereitungen

  • Prüfen Sie die Konfiguration auf der Seite „Benutzerattribute“ und fügen Sie weitere Attribute hinzu, die synchronisiert werden sollen. Sie ordnen die Directories Management-Attribute den Attributen Ihres LDAP-Verzeichnisses beim Erstellen des Verzeichnisses zu. Diese Attribute werden für die im Verzeichnis aufgeführten Benutzer synchronisiert.

    Anmerkung:

    Wenn Sie Änderungen an Benutzerattributen vornehmen, sollten Sie die Auswirkungen auf andere Verzeichnisse im Dienst berücksichtigen. Wenn Sie sowohl Active Directory als auch LDAP-Verzeichnisse hinzufügen möchten, dürfen Sie mit Ausnahme des Attributs userName, das als erforderlich gekennzeichnet werden kann, kein Attribut als erforderlich markieren. Die Einstellungen auf der Seite „Benutzerattribute“ gelten für alle Verzeichnisse im Dienst. Wenn ein Attribut als erforderlich markiert ist, werden Benutzer ohne dieses Attribut nicht mit dem Directories Management-Dienst synchronisiert.

  • Ein Bind-DN-Benutzerkonto. Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.

  • In Ihrem LDAP-Verzeichnis muss die UUID von Benutzern und Gruppen reines Textformat haben.

  • In Ihrem LDAP-Verzeichnis muss ein Domänenattribut für alle Benutzer und Gruppen vorhanden sein.

    Dieses Attribut ordnen Sie dem Attribut Directories Management -Domäne beim Erstellen des Directories Management-Verzeichnisses zu.

  • Benutzernamen dürfen keine Leerzeichen enthalten. Wenn ein Benutzername ein Leerzeichen enthält, wird der Benutzer zwar synchronisiert, verfügt jedoch nicht über Berechtigungen.

  • Bei Verwendung der zertifikatbasierten Authentifizierung müssen Benutzer Werte für die Attribute „userPrincipalName“ und „E-Mail-Adresse“ haben.

Warum und wann dieser Vorgang ausgeführt wird

Obwohl es viele unterschiedliche LDAP-Protokolle gibt, ist OpenLDAP das einzige Protokoll, das mit der vRealize Automation-Verzeichnisverwaltung getestet und genehmigt wurde.

Zum Integrieren Ihres LDAP-Verzeichnisses erstellen Sie ein entsprechendes Directories Management-Verzeichnis und synchronisieren Benutzer und Gruppen aus Ihrem LDAP-Verzeichnis mit dem Directories Management-Verzeichnis. Sie können eine regelmäßige Synchronisierung für spätere Aktualisierungen einrichten.

Sie können auch die LDAP-Attribute auswählen, die für Benutzer synchronisiert werden sollen, und diese den Directories Management-Attributen zuordnen.

Ihre LDAP-Verzeichniskonfiguration kann auf Standardschemata basieren; Sie können aber auch benutzerdefinierte Schemata erstellen. Sie können auch benutzerdefinierte Attribute festlegen. Damit Directories Management Ihr LDAP-Verzeichnis nach Benutzer- oder Gruppenobjekten abfragen kann, müssen Sie die LDAP-Suchfilter und Attributnamen angeben, die für Ihr LDAP-Verzeichnis gelten.

Insbesondere müssen Sie folgende Informationen angeben:

  • LDAP-Suchfilter zum Abfragen von Gruppen, Benutzern und des Verbindungsbenutzers

  • LDAP-Attributnamen für Gruppenmitgliedschaft, UUID und Distinguished Name

Prozedur

  1. Wählen Sie Administration > Verwaltung der Verzeichnisse > Verzeichnisse aus.
  2. Klicken Sie auf Verzeichnis hinzufügen und wählen Sie LDAP-Verzeichnis hinzufügen aus.
  3. Geben Sie die erforderlichen Informationen auf der Seite „LDAP-Verzeichnis hinzufügen“ ein.

    Option

    Beschreibung

    Verzeichnisname

    Geben Sie einen Namen für das Directories Management-Verzeichnis ein.

    Verzeichnissynchronisierung und Authentifizierung

    1. Wählen Sie im Feld Synchronisierungs-Konnektor den Connector aus, der für die Synchronisierung von Benutzern und Gruppen aus Ihrem LDAP-Verzeichnis mit dem Directories Management-Verzeichnis verwendet werden soll.

      Standardmäßig ist immer eine Konnektorkomponente mit dem Directories Management-Dienst verfügbar. Dieser Konnektor wird in der Dropdown-Liste angezeigt. Wenn Sie mehrere Directories Management-Appliances für eine Hochverfügbarkeit installieren, erscheint die Konnektorkomponente von jeder Appliance in der Liste.

      Sie benötigen keinen separaten Connector für ein LDAP-Verzeichnis. Ein Connector kann mehrere Verzeichnisse unterstützen – unabhängig davon, ob es sich dabei um Active Directory oder LDAP-Verzeichnisse handelt.

    2. Wählen Sie im Feld Authentifizierung die Option Ja, wenn Sie dieses LDAP-Verzeichnis für die Authentifizierung von Benutzern verwenden möchten.

      Wenn die Authentifizierung der Benutzer durch einen externen Identitätsanbieter erfolgen soll, wählen Sie Nein. Öffnen Sie nach dem Hinzufügen der Verzeichnisverbindung zur Synchronisierung von Benutzern und Gruppen die Seite Verwaltung > Verzeichnisverwaltung > Identitätsanbieter, um den externen Identitätsanbieter zur Authentifizierung hinzuzufügen.

    3. Behalten Sie für die meisten Konfigurationen die Standardeinstellung Benutzerdefiniert im Textfeld Verzeichnissuchattribut bei. Geben Sie im Feld Benutzerdefiniertes Verzeichnissuchattribut das für den Benutzer- und Gruppennamen zu verwendende LDAP-Verzeichnisattribut an. Mit diesem Attribut werden Entitäten wie Benutzer und Gruppen vom LDAP-Server eindeutig identifiziert. z. B.cn.

    Server-Speicherort

    Geben Sie den Host und die Portnummer des LDAP-Verzeichnisservers ein. Für den Server-Host können Sie entweder den vollqualifizierten Domänennamen (FQDN) oder die IP-Adresse angeben. Z. B. meinLDAPserver.beispiel.com oder 100.00.00.0.

    Wenn sich hinter einem Lastausgleichsdienst ein Server-Cluster befindet, geben Sie stattdessen die Informationen zum Lastausgleichsdienst ein.

    LDAP-Konfiguration

    Geben Sie die LDAP-Suchfilter und -Attribute an, die Directories Management zur Abfrage Ihres LDAP-Verzeichnisses verwenden kann. Standardwerte werden auf Basis des LDAP-Grundschemas bereitgestellt.

    Filterabfragen

    • Gruppen: Der Suchfilter zum Abrufen von Gruppenobjekten.

      Z. B.: (Objektklasse=Gruppe)

    • Verbindungsbenutzer: Der Suchfilter zum Abrufen des Objekts Verbindungsbenutzer, d. h. des Benutzers, der eine Verbindung zum Verzeichnis herstellen kann.

      Z. B.: (Objektklasse=Person)

    • Benutzer: Der Suchfilter zum Abrufen der zu synchronisierenden Benutzer.

      Z. B.:(&(Objektklasse=Benutzer)(Objektkategorie=Person))

    Attribute

    • Mitgliedschaft: Das Attribut, das in Ihrem LDAP-Verzeichnis zum Definieren der Mitglieder einer Gruppe verwendet wird.

      Z. B.: Mitglied

    • Objekt-UUID: Das Attribut, das in Ihrem LDAP-Verzeichnis zum Definieren der UUID eines Benutzers oder einer Gruppe verwendet wird.

      Z. B.: EingabeUUID

    • Distinguished Name: Das Attribut, das in Ihrem LDAP-Verzeichnis zum Definieren des Distinguished Name (definierten Namens) eines Benutzers oder einer Gruppe verwendet wird.

      Z. B.: EingabeDN

    Zertifikate

    Wenn Ihr LDAP-Verzeichnis den Zugriff über SSL erfordert, aktivieren Sie das Kontrollkästchen Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von SSL. Kopieren Sie dann das CA SSL-Stammzertifikat des LDAP-Verzeichnisservers in das Textfeld SSL-Zertifikat. Stellen Sie sicher, dass das Zertifikat im PEM-Format vorliegt, und fügen Sie die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ ein.

    Stellen Sie schließlich sicher, dass im Feld Serverport des Seitenabschnitts „Serverspeicherort“ die richtige Portnummer angegeben ist.

    Details zum Verbindungsbenutzer

    Basis-DN: Geben Sie die DN ein, ab der die Suche starten soll. Z. B.: cn=Benutzer,dc=Beispiel,dc=com

    Alle anwendbaren Benutzer müssen sich unter dem Basis-DN befinden. Wenn sich ein bestimmter Benutzer nicht unter dem Basis-DN befindet, kann sich dieser Benutzer auch dann nicht anmelden, wenn er Mitglied einer Gruppe ist, die sich unter diesem Basis-DN befindet.

    Bind-DN: Geben Sie den für die Verbindung zum LDAP-Verzeichnis zu verwendenden Domänennamen (DN) ein. Sie können auch Benutzernamen eingeben, in den meisten Bereitstellungen ist ein Domänenname jedoch geeigneter.

    Anmerkung:

    Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.

    Bind-DN-Kennwort: Geben Sie das Kennwort für den Bind-DN-Benutzer ein.

  4. Zum Testen der Verbindung zum LDAP-Verzeichnisserver klicken Sie auf Verbindung testen.

    Wenn keine Verbindung hergestellt werden kann, prüfen Sie die von Ihnen eingegebenen Informationen, und nehmen Sie entsprechende Änderungen vor.

  5. Klicken Sie auf Speichern und weiter.
  6. Stellen Sie sicher, dass auf der Seite „Domänen auswählen“ die richtige Domäne ausgewählt ist, und klicken Sie auf Weiter.
  7. Prüfen Sie auf der Seite „Attribute zuordnen“, ob die Directories Management-Attribute den richtigen LDAP-Attributen zugeordnet sind.

    Diese Attribute werden für Benutzer synchronisiert.

    Wichtig:

    Sie müssen eine Zuordnung für das Attribut -Domäne angeben.

    Sie können der Liste Attribute von der Seite „Benutzerattribute“ hinzufügen.

  8. Klicken Sie auf Weiter.
  9. Klicken Sie auf + , um die Gruppen auszuwählen, die Sie vom LDAP-Verzeichnis in das Directories Management-Verzeichnis auf der Seite „Zu synchronisierende Gruppen (Benutzer) auswählen“ synchronisieren möchten.

    Wenn Ihr LDAP-Verzeichnis mehrere Gruppen mit dem gleichen Namen enthält, müssen Sie für sie eindeutige Namen auf der Seite „Gruppen“ angeben.

    Die Option Mitglieder verschachtelter Gruppen synchronisieren ist standardmäßig aktiviert. Wenn diese Option aktiviert ist, werden alle Benutzer synchronisiert, die direkt zu der von Ihnen ausgewählten Gruppe gehören, sowie alle Benutzer, die zu darin vorhandenen geschachtelten Gruppen gehören. Beachten Sie, dass die geschachtelten Gruppen selbst nicht synchronisiert werden. Es werden nur die Benutzer synchronisiert, die zu den geschachtelten Gruppen gehören. Im Verzeichnis Directories Management werden diese Benutzer als Mitglieder der obersten Gruppe angezeigt, die Sie für die Synchronisierung ausgewählt haben. Tatsächlich wird die Hierarchie unter einer ausgewählten Gruppe geglättet; Benutzer aus allen Ebenen inDirectories Management werden als Mitglieder der ausgewählten Gruppe angezeigt.

    Wenn diese Option deaktiviert ist und wenn Sie eine Gruppe für die Synchronisierung festlegen, werden alle Benutzer, die direkt zu dieser Gruppe gehören, synchronisiert. Benutzer, die zu geschachtelten Gruppen gehören, werden in diesem Fall nicht synchronisiert. Das Deaktivieren dieser Option ist bei großen Verzeichniskonfigurationen sinnvoll, bei denen die Durchsicht eines Gruppenstrukturbaums ressourcen- und zeitintensiv ist. Wenn Sie diese Option deaktivieren, müssen Sie sicherstellen, dass alle diejenigen Gruppen ausgewählt sind, deren Benutzer Sie synchronisieren möchten.

    Anmerkung:

    Das Directories Management-Benutzerauthentifizierungssystem importiert beim Hinzufügen von Gruppen und Benutzern Daten aus Active Directory, und die Geschwindigkeit des Systems wird durch Active Directory-Funktionen eingeschränkt. Je nach Anzahl der hinzuzufügenden Gruppen und Benutzer können Importvorgänge daher eventuell viel Zeit in Anspruch nehmen. Beschränken Sie, um diesen eventuell auftretenden Verzögerungen oder Problemen entgegenzuwirken, die Anzahl der Gruppen und Benutzer auf jene, die für den Betrieb von vRealize Automation erforderlich sind.

    Falls sich Ihre Systemleistung verringert oder Fehler auftreten, schließen Sie alle nicht benötigten Anwendungen und stellen Sie sicher, dass Ihr System-Verzeichnisverwaltung die erforderliche Arbeitsspeichermenge zugeteilt hat. Wenn das Problem weiterhin besteht, erhöhen Sie die Arbeitsspeicherzuteilung für die Verzeichnisverwaltung nach Bedarf. Bei Systemen mit einer großen Anzahl von Benutzern und Gruppen muss möglicherweise die Arbeitsspeicherzuteilung für die Verzeichnisverwaltung auf bis zu 24 GB erhöht werden.

  10. Klicken Sie auf Weiter.
  11. Um zusätzliche Benutzer hinzuzufügen, klicken Sie auf + . Geben Sie beispielsweise CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com ein.

    Sie können Organisationseinheiten sowie Einzelbenutzer hier hinzufügen.

    Um Benutzer auszuschließen, erstellen Sie einen Filter für den Ausschluss bestimmter Benutzertypen. Dazu wählen Sie das Benutzerattribut für den Filter, die Abfrageregel und den Wert aus.

  12. Klicken Sie auf Weiter.
  13. Überprüfen Sie auf der Seite, wie viele Benutzer und Gruppen mit dem Verzeichnis synchronisiert werden und wie die Standardsynchronisierung terminiert ist.

    Um Änderungen für Benutzer und Gruppen oder für die Synchronisierungshäufigkeit durchzuführen, klicken Sie jeweils auf Bearbeiten.

  14. Klicken Sie auf Verzeichnis synchronisieren, um die Verzeichnissynchronisierung zu starten.

Ergebnisse

Die Verbindung zum LDAP-Verzeichnis ist hergestellt. Benutzer und Gruppen werden aus dem LDAP-Verzeichnis mit dem Directories Management-Verzeichnis synchronisiert.

Sie können jetzt Benutzer und Gruppen zu den jeweiligen vRealize Automation-Rollen hinzufügen, indem Sie Verwaltung > Benutzer und Gruppen > Verzeichnisbenutzer und -gruppen auswählen. Weitere Informationen hierzu finden Sie unter Zuweisen von Rollen zu Directory-Benutzern oder -Gruppen Rollen zuweisen.