Vous pouvez configurer une connexion à un annuaire OpenLDAP au moyen de la fonction Gestion des annuaires.

Avant de commencer

  • Examinez la configuration sur la page Attributs utilisateur et ajoutez les attributs supplémentaires que vous souhaitez synchroniser. Vous mappez les attributs de Directories Management aux attributs de votre annuaire LDAP lorsque vous créez l'annuaire. Ces attributs sont synchronisés pour les utilisateurs dans l'annuaire.

    Remarque :

    Lorsque vous modifiez les attributs utilisateur, tenez compte des effets sur les autres annuaires dans le service. Si vous prévoyez d'ajouter des annuaires Active Directory et LDAP, veillez à ne pas marquer des attributs comme requis à l'exception de userName, qui peut être marqué comme requis. Les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuaires dans le service. Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont pas synchronisés avec le service Directories Management.

  • Un compte d'utilisateur de nom unique de liaison. Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration.

  • Dans votre annuaire LDAP, l'UUID des utilisateurs et des groupes doit être au format de texte brut.

  • Dans votre annuaire LDAP, un attribut de domaine doit exister pour tous les utilisateurs et les groupes.

    Vous mappez cet attribut à l'attribut Directories Management domain lorsque vous créez l'annuaire Directories Management.

  • Les noms d'utilisateur ne doivent pas contenir d'espaces. Si un nom d'utilisateur contient une espace, l'utilisateur est synchronisé, mais les droits ne sont pas disponibles pour l'utilisateur.

  • Si vous utilisez l'authentification par certificat, les utilisateurs doivent posséder des valeurs pour les attributs userPrincipalName et d'adresse électronique.

Pourquoi et quand exécuter cette tâche

Il existe différents protocoles LDAP, mais OpenLDAP est le seul dont l'utilisation a été testée et approuvée pour la fonctionnalité de gestion d'annuaires de vRealize Automation.

Pour intégrer votre annuaire LDAP, vous créez un annuaire Directories Management correspondant et synchronisez les utilisateurs et les groupes depuis votre annuaire LDAP vers l'annuaire Directories Management. Vous pouvez configurer un planning de synchronisation régulier pour les mises à jour suivantes.

De plus, vous sélectionnez les attributs LDAP que vous voulez synchroniser pour les utilisateurs et les mappez aux attributs Directories Management.

La configuration de votre annuaire LDAP peut être basée sur des schémas par défaut ou vous pouvez avoir créé des schémas personnalisés. Vous pouvez également avoir défini des attributs personnalisés. Pour que Directories Management puisse interroger votre annuaire LDAP afin d'obtenir des objets d'utilisateur ou de groupe, vous devez fournir les filtres de recherche et les noms d'attribut LDAP qui s'appliquent à votre annuaire LDAP.

En particulier, vous devez fournir les informations suivantes.

  • Filtres de recherche LDAP pour obtenir des groupes, des utilisateurs et l'utilisateur Bind

  • Noms d'attribut LDAP pour l'appartenance au groupe, l'UUID et le nom unique

Procédure

  1. Sélectionnez Administration > Gestion des répertoires > Répertoires.
  2. Cliquez sur Ajouter un annuaire et sélectionnez Ajouter un annuaire LDAP.
  3. Entrez les informations requises sur la page Ajouter un annuaire LDAP.

    Option

    Description

    Nom de l'annuaire

    Entrez un nom pour l'annuaire Directories Management.

    Synchronisation et authentification du répertoire

    1. Dans le champ Synchroniser le connecteur, sélectionnez le connecteur que vous voulez utiliser pour synchroniser des utilisateurs et des groupes de l'annuaire LDAP avec l'annuaire Directories Management.

      Un composant de connecteur est toujours disponible avec le service Directories Management par défaut. Ce connecteur apparaît dans la liste déroulante. Si vous installez plusieurs dispositifs Directories Management pour la haute disponibilité, le composant de connecteur de chaque dispositif apparaît dans la liste.

      Vous n'avez pas besoin d'un connecteur séparé pour un annuaire LDAP. Un connecteur peut prendre en charge plusieurs annuaires, qu'il s'agisse d'annuaires Active Directory ou LDAP.

    2. Dans le champ Authentification, si vous voulez utiliser cet annuaire LDAP pour authentifier des utilisateurs, sélectionnez Oui.

      Si vous voulez utiliser un fournisseur d'identité tiers pour authentifier des utilisateurs, sélectionnez Non. Après avoir ajouté la connexion d'annuaire pour synchroniser les utilisateurs et les groupes, accédez à la page Administration > Gestion des annuaires > Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des fins d'authentification.

    3. Pour la plupart des configurations, laissez la valeur par défaut Personnalisé sélectionnée dans la zone de texte Attribut de recherche d'annuaire. Dans le champ Attribut de recherche d'annuaire personnalisé, spécifiez l'attribut d'annuaire LDAP à reprendre pour l'utilisateur et les groupes de noms. Cet attribut identifie de façon unique des entités, telles que des utilisateurs et des groupes, provenant du serveur LDAP. Par exemple, cn.

    Emplacement du serveur

    Entrez le numéro de port et l'hôte du serveur d'annuaire LDAP. Pour l'hôte de serveur, vous pouvez spécifier le nom de domaine complet ou l'adresse IP. Par exemple : monserveurLDAP.exemple.com ou 100.00.00.0.

    Si vous disposez d'un cluster de serveurs derrière un équilibrage de charge, entrez les informations de ce dernier à la place.

    Configuration LDAP

    Spécifiez les filtres et les attributs de recherche LDAP que Directories Management peut utiliser pour interroger votre annuaire LDAP. Les valeurs par défaut sont fournies en fonction du schéma LDAP principal.

    Filtrer les demandes

    • Groupes : filtre de recherche pour obtenir des objets de groupe.

      Par exemple : (objectClass=group)

    • Utilisateur Bind : filtre de recherche pour obtenir l'objet d'utilisateur Bind, c'est-à-dire l'utilisateur pouvant établir la liaison à l'annuaire.

      Par exemple : (objectClass=person)

    • Utilisateurs : filtre de recherche pour obtenir des utilisateurs à synchroniser.

      Par exemple :(&(objectClass=user)(objectCategory=person))

    Attributs

    • Appartenance : attribut utilisé dans votre annuaire LDAP pour définir les membres d'un groupe.

      Par exemple : membre

    • UUID d'objet : attribut utilisé dans votre annuaire LDAP pour définir l'UUID d'un utilisateur ou d'un groupe.

      Par exemple : entryUUID

    • Nom unique : attribut utilisé dans votre annuaire LDAP pour le nom unique d'un utilisateur ou d'un groupe.

      Par exemple : entryDN

    Certificats

    Si votre annuaire LDAP nécessite un accès SSL, cochez la case Cet annuaire exige que toutes les connexions utilisent SSL. Copiez/collez ensuite le certificat CA SSL racine du serveur d'annuaire LDAP dans la zone de texte Certificat SSL. Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ».

    Enfin, assurez-vous que le numéro de port correct est spécifié dans le champ Port serveur dans la section Emplacement du serveur de la page.

    Détails de l'utilisateur Bind

    Nom unique de base : entrez le nom unique à partir duquel vous souhaitez lancer les recherches. Par exemple, cn=users,dc=example,dc=com

    Tous les utilisateurs concernés doivent être couverts par le nom unique de base. Si ce n'est pas le cas, les utilisateurs non couverts ne pourront pas se connecter, même s'ils appartiennent à l'un des groupes mentionnés.

    Nom unique de liaison : entrez le nom unique à utiliser pour établir la liaison à l'annuaire LDAP. Vous pouvez entrer des noms d'utilisateur, mais un nom unique convient mieux dans la plupart des déploiements.

    Remarque :

    Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration.

    Mot de passe du nom unique de liaison : entrez le mot de passe de l'utilisateur de nom unique de liaison.

  4. Pour tester la connexion au serveur d'annuaire LDAP, cliquez sur Tester la connexion.

    Si la connexion échoue, vérifiez les informations que vous avez entrées et effectuez les modifications nécessaires.

  5. Cliquez sur Enregistrer et Suivant.
  6. Assurez-vous que le domaine correct est sélectionné dans la page de sélection des domaines, puis cliquez sur Suivant.
  7. Sur la page Mapper des attributs, vérifiez que les attributs de Directories Management sont mappés aux bons attributs LDAP.

    Ces attributs sont synchronisés pour les utilisateurs.

    Important :

    Vous devez spécifier un mappage pour l'attribut domain.

    Vous pouvez ajouter des attributs à la liste sur la page Attributs utilisateur.

  8. Cliquez sur Suivant.
  9. Cliquez sur + pour sélectionner les groupes à synchroniser depuis l'annuaire LDAP et avec l'annuaire Directories Management dans la page Sélectionner les groupes (utilisateurs) à synchroniser.

    Si vous disposez de plusieurs groupes avec le même nom dans votre annuaire LDAP, vous devez spécifier des noms uniques sur la page des groupes.

    L'option Synchroniser les membres du groupe imbriqué est activée par défaut. Lorsque cette option est activée, tous les utilisateurs qui appartiennent directement au groupe que vous sélectionnez, ainsi que les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe, sont synchronisés. Notez que les groupes imbriqués ne sont pas synchronisés ; seuls les utilisateurs qui appartiennent aux groupes imbriqués le sont. Dans l'annuaire Directories Management, ces utilisateurs apparaissent en tant que membres du groupe de niveau supérieur que vous avez sélectionné pour la synchronisation. En effet, la hiérarchie sous un groupe sélectionné est aplatie et les utilisateurs de tous les niveaux apparaissent dans Directories Management en tant que membres du groupe sélectionné.

    Si cette option est désactivée, lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs qui appartiennent directement à ce groupe sont synchronisés. Les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe ne sont pas synchronisés. La désactivation de cette option est utile pour les configurations d'annuaire importantes pour lesquelles parcourir une arborescence de groupes demande beaucoup de ressources et de temps. Si vous désactivez cette option, veillez à sélectionner tous les groupes dont vous voulez synchroniser les utilisateurs.

    Remarque :

    Le système d'authentification utilisateur Directories Management importe les données provenant d'Active Directory lors de l'ajout des groupes et utilisateurs, et la vitesse du système est limitée par les capacités d'Active Directory. Par conséquent, les opérations d'importation peuvent être assez longues, suivant le nombre de groupes et d'utilisateurs à ajouter. Pour minimiser les retards ou problèmes potentiels, limitez le nombre de groupes et d'utilisateurs à ceux requis pour l'opération vRealize Automation.

    Si les performances de votre système déclinent ou si des erreurs se produisent, fermez toutes les applications inutiles et assurez-vous que votre système dispose d'une mémoire suffisante attribuée à Gestion des annuaires. Si les problèmes persistent, augmentez cette allocation de mémoire selon les besoins. Pour les systèmes comportant un nombre important d'utilisateurs et de groupes, vous pouvez allouer à Gestion des annuaires jusqu'à 24 Go de mémoire.

  10. Cliquez sur Suivant.
  11. Cliquez sur + pour ajouter des utilisateurs supplémentaires. Par exemple, entrez CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

    Vous pouvez inclure des unités d'organisation, telles que les utilisateurs individuels ici.

    Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains types d'utilisateurs. Vous pouvez sélectionner un attribut d'utilisateur à filtrer, la règle de requête et sa valeur.

  12. Cliquez sur Suivant.
  13. Examinez la page pour voir combien d'utilisateurs et de groupes se synchroniseront avec l'annuaire et pour voir le planning de synchronisation par défaut.

    Pour apporter des modifications aux utilisateurs et aux groupes, ou à la fréquence de synchronisation, cliquez sur les liens Modifier.

  14. Cliquez sur Synchroniser l'annuaire pour démarrer la synchronisation d'annuaire.

Résultats

La connexion à l'annuaire LDAP est établie et les utilisateurs et les groupes sont synchronisés entre l'annuaire LDAP et l'annuaire Directories Management.

Vous pouvez désormais affecter des utilisateurs et des groupes aux rôles appropriés de vRealize Automation en sélectionnant Administration > Utilisateurs et groupes > Utilisateurs et groupes d'annuaires. Consultez Attribuer des rôles à des utilisateurs ou des groupes du répertoire pour plus d'informations.