È possibile configurare una connessione alla directory OpenLDAP utilizzando Gestione directory.

Sebbene esistano diversi protocolli LDAP, OpenLDAP è l'unico protocollo testato e approvato per l'uso con il servizio Gestione directory di vRealize Automation.

Per l'integrazione con la directory LDAP, è necessario creare una directory di Directories Management corrispondente e sincronizzare utenti e gruppi dalla directory LDAP alla directory di Directories Management. È possibile impostare una pianificazione di sincronizzazione regolare per gli aggiornamenti successivi.

Si possono anche selezionare gli attributi LDAP che si desidera sincronizzare per gli utenti e associarli ad attributi di Directories Management.

La configurazione della directory LDAP può essere basata su schemi predefiniti, ma si possono creare anche schermi personalizzati. Inoltre si possono definire attributi personalizzati. Affinché Directories Management possa eseguire query nella directory LDAP per ottenere oggetti utente o gruppo, è necessario fornire i filtri di ricerca LDAP e i nomi degli attributi applicabili alla directory LDAP.

Nello specifico, è necessario fornire la seguenti informazioni.

  • Filtri di ricerca LDAP per ottenere gruppi, utenti e l'utente di binding
  • Nomi degli attributi LDAP per l'appartenenza ai gruppi, UUID e nome distinto
Nota: Gestione directory utilizza la dimensione pagina predefinita 1500 per le query LDAP. Se si configura una connessione alla directory OpenLDAP, è necessario abilitare l'estensione del controllo della pagina dei risultati semplice per consentire a OpenLDAP di limitare il numero di risultati visualizzati. Il non utilizzo di questa estensione può causare errori di sincronizzazione per gruppi e utenti.

Prerequisiti

  • Esaminare la configurazione nella pagina Attributi utente e aggiungere gli altri attributi che si desidera sincronizzare. L'associazione degli attributi di Directories Management con quelli della directory LDAP viene eseguita in fase di creazione della directory. Questi attributi saranno sincronizzati per gli utenti nella directory.
    Nota: Quando si apportano modifiche agli attributi degli utenti, considerare l'effetto sulle altre directory nel servizio. Se si pianifica di aggiungere sia Active Directory che directory LDAP, assicurarsi di non contrassegnare alcun attributo come obbligatorio, eccetto userName. Le impostazioni nella pagina Attributi utente si applica a tutte le directory nel servizio. Se un attributo è contrassegnato come obbligatorio, gli utenti senza l'attributo non vengono sincronizzati nel servizio di Directories Management.
  • Un account utente Nome distinto di binding. L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato.
  • Nella directory LDAP, gli UUID di utenti e gruppi devono essere in formato testo normale.
  • Nella directory LDAP, per tutti gli utenti e i gruppi deve esistere un attributo di dominio.

    Questo attributo viene associato all'attributo dominio di Directories Management quando si crea la directory di Directories Management.

  • I nomi utente non devono contenere spazi. Se un nome utente contiene spazi, l'utente viene sincronizzato ma i permessi non saranno disponibili per l'utente.
  • Se si utilizza l'autenticazione con certificato, per gli utenti devono essere impostati valori per gli attributi userPrincipalName e indirizzo e-mail.

Procedura

  1. Selezionare Amministrazione > Gestione directory > Directory.
  2. Fare clic su Aggiungi directory e selezionare Aggiungi directory LDAP.
  3. Immettere le informazioni richieste nella pagina Aggiungi directory LDAP.
    Opzione Descrizione
    Nome directory Immettere un nome per la directory Directories Management.
    Sincronizzazione e autenticazione directory
    1. Nel campo Sincronizza connettore, selezionare il connettore che si desidera utilizzare per sincronizzare gli utenti e i gruppi dalla directory LDAP alla directory Directories Management.

      Per impostazione predefinita, un componente del connettore è sempre disponibile con il servizio Directories Management. Questo connettore verrà visualizzato nell'elenco a discesa. Se si installano più appliance Directories Management per l'alta disponibilità, nell'elenco verrà visualizzato il componente del connettore di ciascuna appliance.

      Non è necessario un connettore separato per una directory LDAP. Un connettore può supportare più directory, indipendentemente dal fatto che siano Active Directory o directory LDAP.

    2. Nel campo Autenticazione, scegliere se si desidera utilizzare questa directory LDAP per autenticare gli utenti.

      Se si desidera utilizzare un provider di identità di terze parti per autenticare gli utenti, fare clic su No. Dopo aver aggiunto la connessione alla directory per sincronizzare utenti e gruppi, passare alla pagina Amministrazione > Gestione directory > Provider di identità per aggiungere il provider di identità di terze parti per l'autenticazione.

    3. Per la maggior parte delle configurazioni, lasciare l'opzione predefinita Personalizzato selezionata nella casella di testo Attributo di ricerca directory. Nel campo Attributo di ricerca directory - Personalizzato, specificare l'attributo di directory LDAP da utilizzare per i nomi di utente e di gruppo. Questo attributo identifica in modo univoco le entità, ad esempio utenti e gruppi, del server LDAP. Ad esempio, cn.
    4. Se si desidera utilizzare la ricerca della posizione del servizio DNS per Active Directory, effettuare le selezioni riportate di seguito.
      • Nella sezione Posizione server, selezionare la casella di controllo Questa directory supporta la posizione servizio DNS.

        Gestione directory individua e utilizza i controller di dominio ottimali. Se non si desidera utilizzare la selezione dei controller di dominio ottimizzata, saltare al passaggio e.

      • Se Active Directory richiede la crittografia STARTTLS, selezionare la casella di spunta Questa directory richiede che tutte le connessioni utilizzino SSL nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nella casella di testo Certificato SSL.
        Assicurarsi che il certificato sia in formato PEM e che includa le righe "BEGIN CERTIFICATE" ed "END CERTIFICATE".
        Nota: Se Active Directory richiede STARTTLS e non si fornisce il certificato, non è possibile creare la directory.
    5. Se non si desidera utilizzare la ricerca della posizione del servizio DNS per Active Directory, effettuare le selezioni riportate di seguito.
      • Nella sezione Posizione server, verificare che la casella di controllo Questa directory supporta posizione servizio DNS non sia selezionata ed immettere il nome host e il numero di porta del server Active Directory. Per configurare la directory come catalogo globale, vedere la sezione relativa all'ambiente di Active Directory con foresta singola a più domini in Ambienti Active Directory.
      • Se Active Directory richiede l'accesso su SSL, selezionare la casella di controllo Questa directory richiede che tutte le connessioni utilizzino SSL nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nel campo Certificato SSL.
        Assicurarsi che il certificato sia in formato PEM e che includa le righe "BEGIN CERTIFICATE" ed "END CERTIFICATE".
        Nota: Se Active Directory richiede STARTTLS e non si fornisce il certificato, non è possibile creare la directory.
    Posizione server

    Immettere l'host del server e il numero di porta della directory LDAP. Per l'host del server, è possibile specificare sia il nome di dominio completo che l'indirizzo IP. Ad esempio, serverLDAP.esempio.com o 100.00.00.0.

    Se è presente un cluster di server con il bilanciamento del carico, immettere invece le informazioni sul bilanciamento.

    Configurazione LDAP Specificare i filtri di ricerca LDAP e gli attributi che possono essere utilizzati da Directories Management per interrogare la propria directory LDAP. I valori predefiniti sono forniti in base allo schema LDAP principale.

    Query con filtro

    • Gruppi: il filtro di ricerca per ottenere gli oggetti gruppo.

      Ad esempio: (objectClass=group)

    • Utente bind: il filtro di ricerca per ottenere l'oggetto utente bind, ovvero l'utente che può eseguire il binding alla directory.

      Ad esempio: (objectClass=person)

    • Utenti: il filtro di ricerca per ottenere gli utenti da sincronizzare.

      Ad esempio: (&(objectClass=user)(objectCategory=person))

    Attributi

    • Appartenenza: questo attributo è utilizzato nella directory LDAP per definire i membri di un gruppo.

      Ad esempio: member

    • UUID oggetto: l'attributo utilizzato nella directory LDAP per definire l'UUID di un utente o di un gruppo.

      Ad esempio: entryUUID

    • DN (Distinguished Name): l'attributo utilizzato nella directory LDAP per il nome distinto (DN) di un utente o un gruppo.

      Ad esempio: entryDN
    Certificati Se la directory LDAP richiede l'accesso su SSL, selezionare la casella di controllo Questa directory richiede che tutte le connessioni utilizzino SSL. Copiare e incollare quindi il certificato CA SSL root del server di directory LDAP nella casella di testo Certificato SSL. Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE".

    Se la directory ha più domini, aggiungere i certificati CA root di tutti i domini, uno di seguito all'altro.

    Infine, verificare che sia stato specificato il numero di porta corretto nel campo Porta server della sezione Posizione server della pagina.

    Dettagli utente Bind

    Nome distinto di base: immettere il DN da cui iniziare le ricerche. Ad esempio, cn=users,dc=example,dc=com

    Tutti gli utenti validi devono essere inclusi in Nome distinto di base. Se un determinato utente non è incluso in Nome distinto di base, tale utente non potrà accedere anche se è un membro di un gruppo incluso in Nome distinto di base.

    Nome distinto di binding: immettere il nome distinto da utilizzare per eseguire il binding alla directory LDAP. È anche possibile immettere i nomi utente, ma un nome distinto è più adatto nella maggior parte delle distribuzioni.
    Nota: È consigliato l'uso di un account utente Nome distinto di binding con una password senza scadenza.

    Password nome distinto di binding: immettere la password per l'utente Nome distinto di binding

  4. Per eseguire il test della connessione al server di directory LDAP, fare clic su Test della connessione.
    Se la connessione non riesce, controllare le informazioni immesse ed apportare le modifiche necessarie.
  5. Fare clic su Salva e avanti.
  6. Verificare che sia selezionato il dominio corretto nella pagina Seleziona domini, quindi fare clic su Avanti.
  7. Nella pagina di associazione degli attributi, verificare che gli attributi di Directories Management siano associati agli attributi di LDAP corretti.

    Questi attributi saranno sincronizzati per gli utenti.

    Importante: È necessario specificare un'associazione per l'attributo dominio.

    È possibile aggiungere attributi all'elenco dalla pagina Attributi utente.

  8. Fare clic su Avanti.
  9. Fare clic sul segno + per selezionare i gruppi da sincronizzare dalla directory LDAP alla directory Directories Management nella pagina Selezionare i gruppi (utenti) da sincronizzare.

    Se nella directory LDAP sono presenti più gruppi con lo stesso nome, sarà necessario specificare nomi univoci sulla relativa pagina.

    Quando si aggiunge un gruppo da Active Directory, se i membri di tale gruppo non sono inclusi nell'elenco Utenti, vengono aggiunti. Quando si sincronizza un gruppo, gli utenti che non hanno Utenti del dominio come gruppo primario in Active Directory non vengono sincronizzati.

    Per impostazione predefinita è abilitata l'opzione Sincronizza membri del gruppo nidificati. Quando questa opzione è abilitata, tutti gli utenti che appartengono direttamente al gruppo selezionato così come gli utenti che appartengono ai gruppi nidificati al di sotto di esso vengono sincronizzati. Tenere presente che i gruppi nidificati non vengono sincronizzati; sono sincronizzati solo gli utenti che appartengono a tali gruppi. Nella directory di Directories Management, questi utenti saranno membri del gruppo di livello superiore selezionato per la sincronizzazione. La gerarchia inferiore al gruppo selezionato viene di fatto appiattita e gli utenti provenienti da tutti i livelli compaiono in Directories Management come membri del gruppo selezionato.

    Se l'opzione è disabilitata, quando si specifica un gruppo da sincronizzare, tutti gli utenti che appartengono direttamente a tale gruppo saranno sincronizzati. Gli utenti che appartengono ai gruppi nidificati al di sotto di esso non saranno sincronizzati. La disabilitazione di questa opzione è utile per configurazioni di directory di grosse dimensioni dove l'attraversamento di una struttura di gruppi implica un uso intensivo di risorse e di tempo. Se si disabilita questa opzione, assicurarsi di selezionare tutti i gruppi per cui si desidera sincronizzare gli utenti.

    Nota: il sistema di autenticazione degli utenti di Directories Management importa i dati da Active Directory quando si aggiungono gruppi e utenti e la velocità del sistema dipende dalle caratteristiche di Active Directory. È quindi possibile che l'importazione di un numero elevato di gruppi e utenti richieda una quantità di tempo significativa. Per ridurre eventuali ritardi o problemi, aggiungere solo i gruppi e gli utenti effettivamente necessari per il funzionamento di vRealize Automation.

    In caso di errori o di peggioramento delle prestazioni del sistema, chiudere tutte le applicazioni non necessarie e verificare che sia stata allocata a Gestione directory una quantità di memoria appropriata. Se i problemi persistono, aumentare la quantità di memoria allocata a Gestione directory in base alle necessità. Per i sistemi con un elevato numero di utenti e gruppi, potrebbe essere necessario allocare fino a 24 GB di memoria a Gestione directory.

  10. Fare clic su Avanti.
  11. Fare clic su + per aggiungere altri utenti. Ad esempio, immettere CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

    Qui è possibile aggiungere sia unità organizzative sia singoli utenti.

    È possibile creare un filtro per escludere alcuni tipi di utenti. Selezionare l'attributo da utilizzare per filtrare gli utenti, la regola di query e il valore.

  12. Fare clic su Avanti.
  13. Esaminare la pagina per sapere quanti utenti e gruppi verranno sincronizzati nella directory e per conoscere la pianificazione delle sincronizzazioni predefinita.

    Per apportare modifiche a utenti e gruppi o alla frequenza di sincronizzazione, fare clic sul collegamento Modifica.

  14. Fare clic su Sincronizza directory per iniziare la sincronizzazione della directory.

risultati

La connessione alla directory LDAP viene stabilita ed utenti e gruppi vengono sincronizzati dalla directory LDAP alla directory di Directories Management.

Ora è possibile assegnare utenti e gruppi ai ruoli vRealize Automation appropriati selezionando Amministrazione > Utenti e gruppi > Utenti e gruppi della directory. Vedere Assegnazione di ruoli a utenti e gruppi della directory per ulteriori informazioni.