Puede configurar una conexión del directorio OpenLDAP con Administración de directorios.

Antes de empezar

  • Revise la configuración en la página Atributos de usuario y añada los atributos adicionales que desea sincronizar. Asignará los atributos de Directories Management a los atributos del directorio LDAP cuando cree el directorio. Estos atributos se sincronizarán para los usuarios del directorio.

    Nota:

    Si realiza cambios en los atributos de usuario, tenga en cuenta los efectos que puedan tener en otros directorios del servicio. Si tiene previsto agregar los directorios LDAP y Active Directory, compruebe que ningún atributo obligatorio está marcado excepto userName, que sí debe estarlo. Las configuraciones de la página Atributos de usuario se aplican a todos los directorios del servicio. Si un atributo está marcado como obligatorio, los usuarios sin dicho atributo no se sincronizan con el servicio de Directories Management.

  • Cuenta de usuario DN de enlace. Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.

  • En el directorio LDAP, el UUID de los usuarios y los grupos debe aparecer como texto sin formato.

  • En el directorio LDAP, debe existir un atributo de dominio para todos los usuarios y los grupos.

    Asígnelo al atributo del dominio de Directories Management cuando cree el directorio Directories Management.

  • Los nombres de usuario no deben tener espacios. Si un nombre de usuario tiene un espacio, el usuario se sincroniza pero las autorizaciones no están disponibles para dicho usuario.

  • Si utiliza la autenticación con certificado, los usuarios deben tener los valores para los atributos de la dirección de correo electrónico y userPrincipalName.

Por qué y cuándo se efectúa esta tarea

Aunque existen varios protocolos LDAP diferentes, OpenLDAP es el único que ha sido probado y autorizado para su uso con Administración de directorios de vRealize Automation.

Para integrar el directorio LDAP, cree el directorio Directories Management correspondiente y sincronice los usuarios y los grupos del directorio LDAP al directorio Directories Management. Puede programar una sincronización periódica para las actualizaciones siguientes.

Seleccione también los atributos LDAP que quiera sincronizar para los usuarios y asígnelos a los atributos de Directories Management.

La configuración del directorio LDAP puede basarse en las programaciones predeterminadas o puede crear programaciones personalizadas. También debe definir los atributos personalizados. Para que Directories Management pueda solicitar el directorio LDAP para obtener los objetos de grupo o usuario, debe proporcionar los nombres de los filtros de búsqueda de LDAP que se apliquen a su directorio LDAP.

En concreto, debe proporcionar la siguiente información.

  • Los filtros de búsqueda para obtener los grupos, los usuarios y el usuario de enlace

  • Los nombres de atributos LDAP de la pertenencia a grupos, UUID y el nombre distintivo

Procedimiento

  1. Seleccione Administración > Administración de directorios > Directorios.
  2. Haga clic en Añadir directorio y seleccione Añadir directorio LDAP.
  3. Introduzca la información solicitada en la página Agregar directorio LDAP.

    Opción

    Descripción

    Nombre de directorio

    Especifique un nombre para el directorio de Directories Management.

    Sincronización de directorio y autenticación

    1. En el campo Conector de sincronización, seleccione el conector que desee utilizar para sincronizar usuarios y grupos del directorio LDAP con el directorio de Directories Management.

      De forma predeterminada, un componente del conector estará siempre disponible con el servicio de Directories Management. Este conector aparecerá en la lista desplegable. Si instala varios dispositivos de Directories Management para lograr una alta disponibilidad, el componente del conector de cada uno aparecerá en la lista.

      No es necesario un conector diferente para un directorio LDAP. Un conector puede ser compatible con varios directorios, independientemente de si cuentan con directorios LDAP o Active Directory.

    2. En el campo Autenticación, seleccione si desea utilizar el directorio LDAP para autenticar a los usuarios.

      Si desea utilizar un proveedor de identidades externo para autenticar a los usuarios, seleccione No. Después de añadir la conexión del directorio para sincronizar los usuarios y los grupos, acceda a la página Administración > Administración de directorios > Proveedores de identidades para agregar el proveedor de identidades de terceros para realizar la autenticación.

    3. En la mayoría de las configuraciones, deje seleccionada la opción predeterminada Personalizado en el cuadro de texto Atributo de búsqueda de directorios. En el campo Atributo de búsqueda de directorios personalizada, especifique el atributo de directorio LDAP que se utilizará para los nombres de usuario y de grupo. Este atributo identifica entidades de forma exclusiva, como usuarios y grupos, del servidor LDAP. Por ejemplo, cn.

    Ubicación del servidor

    Introduzca el número de puerto y el host del servidor del directorio LDAP. En el caso del host del servidor, puede especificar el nombre del dominio plenamente cualificado o la dirección IP. Por ejemplo, myLDAPserver.example.com o 100.00.00.0.

    Si cuenta con un clúster de servidores bajo un equilibrador de carga, introduzca la información de este último en su lugar.

    Configuración LDAP

    Especifica los atributos y los filtros de búsqueda de LDAP que Directories Management puede utilizar para solicitar su directorio LDAP. Los valores predeterminados se proporcionan según el esquema principal de LDAP.

    Consultas de filtro

    • Grupos: es el filtro de búsqueda que permite obtener los objetos de grupo.

      Por ejemplo: (objectClass=group)

    • Usuario de enlace: es el filtro de búsqueda que permite obtener el objeto de usuario de enlace, es decir, el usuario que puede enlazarse con el directorio.

      Por ejemplo: (objectClass=person)

    • Usuarios: es el filtro de búsqueda que permite obtener los usuarios para la sincronización.

      Por ejemplo:(&(objectClass=user)(objectCategory=person))

    Atributos

    • Afiliación: es el atributo que se utiliza en su directorio LDAP para definir los miembros de un grupo.

      Por ejemplo: member

    • UUID del objeto: es el atributo que se utiliza en su directorio LDAP para definir el UUID.

      Por ejemplo: entryUUID

    • Nombre distintivo: es el atributo que se utiliza en su directorio LDAP para definir el nombre distintivo de un usuario o un grupo.

      Por ejemplo: entryDN

    Certificados

    Si el directorio LDAP requiere acceso mediante SSL, active la casilla de verificación Este directorio requiere que todas las conexiones usen SSL. A continuación, copie el certificado CA SSL raíz del servidor de directorios LDAP y péguelo en el cuadro de texto Certificado SSL. Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE".

    Finalmente, asegúrese de que se especifica el número de puerto correcto en el campo Puerto del servidor en la sección Ubicación del servidor de la página.

    Detalles del usuario de enlace

    DN base: introduzca el DN desde el que deben empezar las búsquedas. Por ejemplo, cn=users,dc=example,dc=com

    Todos los usuarios aplicables deben estar bajo el DN base. Si un usuario determinado no se encuentra bajo el DN base, ese usuario no podrá iniciar sesión aunque sea un miembro de un grupo situado bajo el DN base.

    DN de enlace: introduzca el DN que se utilizará para enlazar con el directorio LDAP. También puede introducir nombres de usuario, pero un DN es más apropiado para la mayoría de las implementaciones.

    Nota:

    Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.

    Contraseña DN de enlace: introduzca la contraseña del usuario DN de enlace.

  4. Para probar la conexión al servidor del directorio LDAP, haga clic en Probar conexión.

    Si no se realizó la conexión correctamente, compruebe la información que introdujo y haga los cambios necesarios.

  5. Haga clic en Guardar y Siguiente.
  6. Compruebe que se haya seleccionado el dominio correcto en la página Seleccione los dominios y, a continuación, haga clic en Siguiente.
  7. En la página Asignar atributos, compruebe que los atributos de Directories Management se asignaron a los atributos LDAP correctos.

    Estos atributos se sincronizarán para los usuarios.

    Importante:

    Debe especificar una asignación para los atributos de dominio.

    Puede agregar atributos a la lista desde la página Atributos de usuario.

  8. Haga clic en Siguiente.
  9. Haga clic en + para seleccionar los grupos del directorio LDAP que desea sincronizar con el directorio de Directories Management en la página Seleccionar los grupos (usuarios) que desea sincronizar.

    Si cuenta con varios grupos con el mismo nombre en su directorio LDAP, debe especificar nombres únicos para ellos en la página de grupos.

    La opción Sincronizar miembros de grupo anidados se habilita de forma predeterminada. Cuando se habilita esta opción, todos los usuarios que pertenezcan al grupo que seleccione y los que pertenezcan a grupos anidados dentro de este grupo se sincronizan. Tenga en cuenta que los grupos anidados no se sincronizan. Solo se sincronizarán los usuarios que pertenezcan a los grupos anidados. En el directorio de Directories Management, estos usuarios aparecerán como los miembros del grupo de nivel superior que seleccionó para sincronizarse. Efectivamente, la jerarquía en un grupo seleccionado se aplana y los usuarios de todos los niveles se muestran en Directories Management como miembros del grupo seleccionado.

    Si deshabilita esta opción, todos los usuarios que pertenezcan directamente a ese grupo se sincronizarán cuando especifique un grupo para que se sincronice. Los usuarios que pertenezcan a grupos anidados bajo este grupo no se sincronizarán. Deshabilitar esta opción resulta útil para las grandes configuraciones del directorio en las que atravesar un árbol de grupo requiera demasiado tiempo o demasiados recursos. Si deshabilita esta opción, asegúrese de que selecciona todos los grupos cuyos usuarios desee sincronizar.

    Nota:

    El sistema de autenticación de usuarios de Directories Management importa los datos de Active Directory al añadir grupos y usuarios, y la velocidad del sistema quedará limitada por las prestaciones de Active Directory. En consecuencia, las operaciones de importación podrían tardar mucho tiempo en completarse en función del número de grupos y usuarios que se añada. Para minimizar la posibilidad de retrasos o problemas, limite el número de grupos y usuarios a únicamente los necesarios para el funcionamiento de vRealize Automation.

    Si el rendimiento del sistema disminuye o si se producen errores, cierre todas las aplicaciones que no sean necesarias y asegúrese de que el sistema haya asignado la cantidad de memoria adecuada a Administración de directorios. Si los problemas continúan, aumente la asignación de memoria de Administración de directorios, según sea necesario. En el caso de sistemas con una gran cantidad de usuarios y grupos, puede que deba aumentar la asignación de memoria de Administración de directorios hasta 24 GB.

  10. Haga clic en Siguiente.
  11. Haga clic en + para agregar más usuarios. Por ejemplo, introduzca CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

    Aquí puede añadir unidades organizativas, así como usuarios individuales.

    Para excluir usuarios, cree un filtro que excluya algunos tipos de usuarios. Debe seleccionar el atributo de usuario por el que desea filtrar, la regla de consulta y el valor.

  12. Haga clic en Siguiente.
  13. Revise la página para ver cuántos usuarios y grupos se sincronizarán con el directorio así como la programación de la sincronización predeterminada.

    Para realizar cambios en los usuarios y los grupos o en la frecuencia de sincronización, haga clic en los vínculos Editar.

  14. Haga clic en Sincronizar directorio para iniciar la sincronización del directorio.

Resultados

Se establece la conexión al directorio LDAP y los usuarios y los grupos se sincronizan desde el directorio LDAP al directorio Directories Management.

Ahora puede asignar el usuario y los grupos a las funciones apropiadas de vRealize Automation seleccionando Administración > Usuarios y grupos > Usuarios y grupos de directorios. Consulte Asignar funciones a usuarios o grupos de directorios para obtener más información.