OpenLDAP ディレクトリ接続は、ディレクトリ管理機能を使って構成できます。

始める前に

  • ユーザー属性ページで構成を確認し、新たに同期する属性を追加します。ディレクトリを作成するときは、Directories Management 属性を LDAP ディレクトリ属性にマップします。これらの属性はディレクトリ内のユーザーに対して同期されます。

    注:

    ユーザー属性を変更する場合は、サービスの他のディレクトリに対する影響を考慮してください。Active Directory と LDAP ディレクトリの両方を追加する計画の場合は、必須のマークを付けることができる userName を除いて、属性には必須のマークが付いていないことを確認してください。[ユーザー属性] ページの設定はサービスのすべてのディレクトリに適用されます。属性に必須のマークが付いている場合は、その属性を持たないユーザーは Directories Management サービスに同期されません。

  • バインド DN ユーザー アカウント。有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。

  • LDAP ディレクトリでは、ユーザーとグループの UUID はプレーン テキスト形式である必要があります。

  • LDAP ディレクトリには、すべてのユーザーおよびグループに対するドメイン属性が存在する必要があります。

    Directories Management ディレクトリを作成するときは、この属性を Directories Managementdomain 属性にマップします。

  • ユーザー名にスペースを含めることはできません。ユーザー名にスペースが含まれていると、ユーザーは同期されますが、資格を利用できません。

  • 証明書認証を使用する場合、ユーザーは userPrincipalName とメール アドレス属性の値を持っている必要があります。

このタスクについて

LDAP プロトコルにはいくつかの種類がありますが、vRealize Automation のディレクトリ管理機能での使用に関してテスト、認定されているのは OpenLDAP だけです。

LDAP ディレクトリを統合するには、対応する Directories Management ディレクトリを作成し、ユーザーとグループを LDAP ディレクトリから Directories Management ディレクトリに同期します。後続の更新のために定期的な同期スケジュールを設定することができます。

また、ユーザーのために同期させる LDAP 属性を選択し、Directories Management 属性にマップします。

LDAP ディレクトリ構成はデフォルトのスキーマをベースにすることができますが、カスタムのスキーマを作成することもできます。また、カスタムの属性を定義することもできます。Directories Management で、LDAP ディレクトリを検索してユーザーまたはグループ オブジェクトを取得できるようにするには、LDAP ディレクトリに適用可能な LDAP 検索フィルタおよび属性名を指定する必要があります。

具体的には、次の情報を指定する必要があります。

  • グループ、ユーザーおよびバインド ユーザーを取得するための LDAP 検索フィルタ

  • グループ メンバーシップ、UUID および識別名のための LDAP 属性名

手順

  1. 管理 > ディレクトリ管理 > ディレクトリ を選択します。
  2. ディレクトリを追加 をクリックし、LDAP ディレクトリの追加 をクリックします。
  3. [LDAP ディレクトリを追加] ページに必要な情報を入力します。

    オプション

    説明

    ディレクトリ名

    Directories Management ディレクトリの名前を入力します。

    ディレクトリの同期と認証

    1. コネクタを同期 フィールドで、LDAP ディレクトリから Directories Management ディレクトリにユーザーとグループを同期するためのコネクタを選択します。

      コネクタ コンポーネントは、デフォルトでは Directories Management サービスで常に利用できます。このコネクタは、ドロップダウン リストに表示されます。高可用性を実現するために複数の Directories Management アプライアンスを展開すると、それぞれのコネクタ コンポーネントがリストに表示されます。

      LDAP ディレクトリ用の個別のコネクタは必要ありません。コネクタは、Active Directory であるか LDAP ディレクトリであるかにかかわらず複数のディレクトリをサポートすることができます。

    2. この LDAP ディレクトリを使用してユーザー認証を行う場合は、認証 フィールドで はい を選択します。

      サードパーティの ID プロバイダを使用してユーザーを認証する場合は、いいえ を選択します。ユーザーとグループを同期するようにディレクトリ接続を追加したら、管理 > ディレクトリ管理 > ID プロバイダ ページの順に移動して、認証に使用するサードパーティの ID プロバイダを追加します。

    3. ディレクトリ検索属性テキスト ボックスは、ほとんどの構成で、デフォルトで選択されるカスタムのままにしてください。カスタム ディレクトリ検索属性 フィールドで、ユーザー名とグループ名に使用する LDAP ディレクトリ属性を指定します。ユーザーやグループなど LDAP サーバのエンティティが、この属性によって一意に識別されます。たとえば、cn にように入力します。

    サーバの場所

    LDAP ディレクトリ サーバのホスト名とポート番号を入力します。サーバ ホストには、完全修飾ドメイン名または IP アドレスのいずれかを指定することができます。たとえば、myLDAPserver.example.com または 100.00.00.0 のように入力します。

    ロード バランサの背後にサーバのクラスタがある場合は、代わりにロード バランサの情報を入力します。

    LDAP 構成

    Directories Management が LDAP ディレクトリのクエリに使用することができる LDAP 検索フィルタおよび属性を指定します。デフォルト値はコア LDAP スキーマに基づいて提供されます。

    フィルタ クエリ

    • グループ:グループ オブジェクトを取得するための検索フィルタ。

      例:(objectClass=group)

    • バインド ユーザー:バインド ユーザー オブジェクト、つまりディレクトリにバインドすることができるユーザーを取得するための検索フィルタ。

      例:(objectClass=person)

    • ユーザー:同期するユーザーを取得するための検索フィルタ。

      例:(&(objectClass=user)(objectCategory=person))

    属性

    • メンバーシップ:グループのメンバーを定義するために LDAP ディレクトリで使用される属性。

      例:member

    • オブジェクト UUID:ユーザーまたはグループの UUID を定義するために LDAP ディレクトリで使用される属性。

      例:entryUUID

    • 識別名:LDAP ディレクトリでユーザーまたはグループの識別名に使用される属性。

      例:entryDN

    証明書

    LDAP ディレクトリが SSL 経由のアクセスを必要とする場合は、このディレクトリには SSL を使用するすべての接続が必要です チェック ボックスをオンにします。そのうえで、LDAP ディレクトリ サーバのルート CA SSL 証明書をコピーして SSL 証明書 テキスト ボックスに貼り付けます。証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

    最後に、このページの [サーバの場所] セクションの サーバのポート フィールドに適切なポート番号が指定されていることを確認します。

    バインド ユーザーの詳細

    ベース DN:検索を開始する DN を入力します。たとえば、cn=users,dc=example,dc=com のように入力します。

    該当するすべてのユーザーがベース DN 下に存在している必要があります。ベース DN に特定のユーザーが存在しない場合、そのユーザーは、ベース DN 下に存在するグループのメンバーであってもログインできなくなります。

    バインド DN:LDAP ディレクトリにバインドするために使用する DN を入力します。ユーザー名を入力することもできますが、ほとんどの環境では DN の方が適しています。

    注:

    有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。

    バインド DN パスワード:バインド DN ユーザーのパスワードを入力します。

  4. LDAP ディレクトリ サーバへの接続をテストするには、接続をテスト をクリックします。

    接続に成功しない場合は、入力した情報を確認して、適切な変更を行います。

  5. 保存して次へ をクリックします。
  6. [ドメインの選択] ページで正しいドメインが選択されていることを確認し、次へ をクリックします。
  7. [属性をマップ] ページで、Directories Management 属性が正しい LDAP 属性にマップされていることを確認します。

    これらの属性がユーザーに対して同期されます。

    重要:

    domain 属性のマッピングを指定する必要があります

    属性は [ユーザー属性] ページからリストに追加することができます。

  8. 次へ をクリックします。
  9. + をクリックし、[同期するグループ(ユーザー)の選択] ページで、LDAP ディレクトリから Directories Management ディレクトリに同期するグループを選択します。

    LDAP ディレクトリに同じ名前のグループが複数ある場合は、グループ ページ内でグループに一意の名前を指定する必要があります。

    ネストされたグループ メンバーを同期 オプションは、デフォルトで有効になっています。このオプションが有効になっているときは、選択したグループに直接属するすべてのユーザーと、その下にネストされたグループに属するすべてのユーザーが同期されます。ネストされたグループ自体は同期されないことに注意してください。同期されるのは、ネストされたグループに属するユーザーのみです。Directories Management ディレクトリでは、これらのユーザーは同期対象として選択したトップレベルのグループのメンバーとして表示されます。実際には、選択されたグループの階層がフラット化され、すべてのレベルのユーザーが選択されたグループのメンバーとして Directories Management に表示されます。

    このオプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーが同期されます。その下のネストされたグループに属するユーザーは同期されません。グループ ツリーのスキャンに多くのリソースが消費され時間がかかる大規模なディレクトリ構成では、このオプションを無効にすると、時間を短縮できます。このオプションを無効にする場合は、同期するユーザーが属するグループをすべて選択するようにしてください。

    注:

    Directories Managementのユーザー認証システムでは、グループやユーザーを追加する場合 Active Directory からデータをインポートするため、その処理速度は Active Directory の機能によって制限されます。その結果、追加するグループとユーザーの数に応じて、インポート処理にかなりの時間がかかる場合があります。遅延または問題の発生を最小限に抑えるには、グループとユーザーを vRealize Automation の運用上必要な数に制限します。

    システム パフォーマンスの低下またはエラーが発生した場合は、不要なアプリケーションをすべて閉じて、ディレクトリ管理に十分なメモリが割り当てられるようにしてください。問題が解決されない場合は、必要に応じてディレクトリ管理に割り当てるメモリを増やしてください。多数のユーザーおよびグループを持つシステムでは、場合によってはディレクトリ管理に割り当てるメモリを最大 24 GB まで増やす必要があります。

  10. 次へ をクリックします。
  11. + をクリックして、別のユーザーを追加します。たとえば、CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com と入力します。

    ここには組織単位のほか、個別にユーザーを追加することができます。

    ユーザーを除外するには、一部のタイプのユーザーを除外するフィルタを作成します。フィルタリングの基準となるユーザー属性、クエリ ルールおよび値を選択します。

  12. 次へ をクリックします。
  13. ディレクトリに同期するユーザーとグループの数や、デフォルトの同期スケジュールをページで確認します。

    ユーザーとグループや、同期の頻度に変更を加えるには、編集 リンクをクリックします。

  14. ディレクトリを同期 をクリックして、ディレクトリ同期を開始します。

タスクの結果

LDAP ディレクトリへの接続が確立され、ユーザーとグループは LDAP ディレクトリから Directories Management ディレクトリに同期されます。

これで、管理 > ユーザーとグループ > ディレクトリ ユーザーとディレクトリ グループを選択してユーザーとグループを適切な vRealize Automation ロールに割り当てることができます。詳細については、ディレクトリ ユーザーまたはグループへのロールの割り当て を参照してください。