U kunt een OpenLDAP-directoryverbinding configureren met Beheer van directory's.

Over deze taak

Er bestaan weliswaar verschillende LDAP-protocollen, maar OpenLDAP is het enige protocol dat is getest en goedgekeurd voor gebruik met vRealize Automation Beheer van directory's.

Om uw LDAP-directory te integreren, maakt u een overeenkomstige Directories Management-directory aan en synchroniseert u gebruikers en groepen van uw LDAP-directory met de Directories Management-directory. U kunt een planning voor regelmatig synchroniseren instellen voor volgende updates.

U kunt ook de LDAP-kenmerken selecteren die u voor gebruikers wilt synchroniseren en deze toewijzen aan Directories Management-kenmerken.

De configuratie van uw LDAP-directory kan worden gebaseerd op standaardschema's of u kunt aangepaste schema's gebruiken. Wellicht hebt u ook gedefinieerde aangepaste kenmerken. Om Directories Management uw LDAP-directory te laten vragen om gebruikers- of groepsobjecten te verkrijgen, moet u de LDAP-zoekfilters en namen van kenmerken opgeven die van applicatie zijn op uw LDAP-directory.

In het bijzonder dient u de volgende informatie op te geven.

  • LDAP-zoekfilters voor het verkrijgen van groepen, gebruikers en de Bind-gebruiker

  • LDAP-kenmerknamen voor groepslidmaatschap, UUID en distinguished name

Voorwaarden

  • Controleer de configuratie op de pagina Gebruikerskenmerken en voeg overige kenmerken toe die u wilt synchroniseren. U wijst de Directories Management-kenmerken toe aan uw LDAP-directorykenmerken wanneer u de directory maakt. Deze kenmerken worden gesynchroniseerd voor de gebruikers in de directory.

    Opmerking:

    Wanneer u gebruikerskenmerken wijzigt, houd er dan rekening mee dat deze wijzigingen ook gevolgen kunnen hebben voor andere directory's in de service. Wanneer u van plan bent om zowel Active Directory als LDAP-directory's toe te voegen, let er dan op dat u geen kenmerken als vereist markeert, behalve het kenmerk userName. De instellingen op de pagina Gebruikerskenmerken gelden voor alle directory's in de service. Wanneer een kenmerk als vereist is gemarkeerd, worden gebruikers zonder dat kenmerk niet gesynchroniseerd met de Directories Management-service.

  • Een Bind-DN-gebruikersaccount. Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen.

  • In uw LDAP-directory moet de UUID van gebruikers en groepen een standaard tekstindeling hebben.

  • In uw LDAP-directory moet een domeinkenmerk aanwezig zijn voor alle gebruikers en groepen.

    U kunt dit kenmerk toewijzen aan het kenmerk van het Directories Management domein wanneer u de Directories Management-directory aanmaakt.

  • Gebruikersnamen mogen geen spaties bevatten. Wanneer een gebruikersnaam een spatie bevat, wordt de gebruiker gesynchroniseerd, maar zijn de rechten niet beschikbaar voor de gebruiker.

  • Wanneer u certificaatverificatie gebruikt, moeten gebruikers waarden hebben voor userPrincipalName en e-mailadreskenmerken.

Procedure

  1. Selecteer Beheer > Beheer van directory's > Directory's.
  2. Klik op Directory toevoegen en selecteer LDAP-directory toevoegen.
  3. Voer de vereiste informatie in op de pagina LDAP-directory toevoegen.

    Optie

    Beschrijving

    Directorynaam

    Voer een naam in voor de Directories Management-directory.

    Directorysynchronisatie en -verificatie

    1. In het veld Synchronisatieconnector selecteert u de connector die u wilt gebruiken om gebruikers en groepen te synchroniseren van uw LDAP-directory naar de directory van Directories Management.

      Een connectoronderdeel is standaard altijd beschikbaar bij de Directories Management-service. Deze connector verschijnt in het vervolgkeuzemenu. Als u meerdere Directories Management-apparaten installeert voor hoge beschikbaarheid, verschijnt het connectoronderdeel van elk van die apparaten in de lijst.

      U hebt geen afzonderlijke connector nodig voor een LDAP-directory. Een connector kan meerdere directory's ondersteunen, ongeacht of het directory's zijn van Active Directory of LDAP.

    2. In het veld Verificatie selecteert u Ja wanneer u deze LDAP-directory wilt gebruiken voor het verifiëren van gebruikers.

      Als u een externe identiteitsprovider wilt gebruiken om gebruikers te verifiëren, selecteert u Nee. Nadat u de directoryverbinding hebt toegevoegd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Beheren > Beheer van directory's > Identiteitsproviders om de identiteitsprovider voor verificatie toe te voegen.

    3. In de meeste configuraties laat u het selectievakje Aangepast van het tekstvak Zoekkenmerken directory standaard ingeschakeld. In het veld Aangepast zoekkenmerk directory specificeert u het LDAP-directorykenmerk dat wordt gebruikt voor de naam van gebruikers en groepen. Dit kenmerk vormt een unieke identificatie voor entiteiten, zoals gebruikers en groepen, op de LDAP-server. Bijvoorbeeld cn.

    Serverlocatie

    Voer de serverhost en het poortnummer van de LDAP-directory in. Voor de serverhost kunt u de FQDN of het IP-adres specificeren. Bijvoorbeeld myLDAPserver.example.com of 100.00.00.0.

    Als u een cluster servers achter een load-balancer hebt, voert u in plaats daarvan de informatie van de load-balancer in.

    LDAP-configuratie

    Geef de zoekfilters en kenmerken van LDAP op die Directories Management kan gebruiken om uw LDAP-directory op te vragen. Standaardwaarden worden verstrekt op basis van het LDAP-kernschema.

    Query's filteren

    • Groepen: het zoekfilter om groepsobjecten te verkrijgen.

      Bijvoorbeeld: (objectClass=group)

    • Bindingsgebruiker: het zoekfilter om een bindingsgebruikerobject te verkrijgen, ofwel de gebruiker die zich aan de directory kan binden.

      Bijvoorbeeld: (objectClass=person)

    • Gebruikers: het zoekfilter om gebruikers te verkrijgen om te synchroniseren.

      Bijvoorbeeld:(&(objectClass=user)(objectCategory=person))

    Kenmerken

    • Lidmaatschap: het kenmerk dat wordt gebruikt in uw LDAP-directory om leden van een groep te definiëren.

      Bijvoorbeeld: lid

    • Object-UUID: het kenmerk dat wordt gebruikt in uw LDAP-directory om de UUID van een gebruiker of groep te definiëren.

      Bijvoorbeeld: entryUUID

    • Distinguished Name: het kenmerk dat wordt gebruikt in uw LDAP-directory voor de DN-naam van een gebruiker of groep.

      Bijvoorbeeld: entryDN

    Certificaten

    Als voor uw LDAP-directory SSL-toegang is vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen SSL gebruiken in. Kopieer vervolgens het basis-CA SSL-certificaat van de LDAP-directoryserver naar het tekstvak SSL-certificaat. Zorg ervoor dat het certificaat de PEM-indeling heeft en de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" erin zijn opgenomen.

    Controleer tot slot of het juiste poortnummer is opgegeven in het veld Serverpoort in de sectie Serverlocatie van de pagina.

    Bind-gebruikersdetails

    Basis DN: voer de DN in vanwaaruit zoekopdrachten worden gestart. Bijvoorbeeld cn=users,dc=example,dc=com

    Alle bijbehorende gebruikers moeten zich onder de Basis-DN bevinden. Gebruikers die niet op die locatie zijn ondergebracht, kunnen zich niet aanmelden, zelfs niet als ze lid zijn van een groep die in de Basis-DN is opgenomen.

    Bind DN: voer de DN in die wordt gebruikt om aan de LDAP-directory te binden. U kunt ook gebruikersnamen invoeren, maar voor de meeste implementaties is het beter een DN te gebruiken.

    Opmerking:

    Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen.

    Wachtwoord Bind-DN: voer het wachtwoord in voor de Bind DN-gebruiker.

  4. Klik op Verbinding testen om de verbinding met de LDAP-directoryserver te testen.

    Als de verbinding niet is gelukt, controleert u de informatie die u hebt ingevoerd en brengt u passende wijzigingen aan.

  5. Klik op Opslaan en Volgende.
  6. Controleer of het juiste domein is geselecteerd op de pagina Domein selecteren en klik op Volgende.
  7. Verifieer op de pagina Kenmerken toewijzen of de Directories Management-kenmerken zijn toegewezen aan de juiste LDAP-kenmerken.

    Deze kenmerken worden gesynchroniseerd voor gebruikers.

    Belangrijk:

    U moet een toewijzing specificeren voor het domein-kenmerk.

    U kunt kenmerken toevoegen aan de lijst via de pagina Gebruikerskenmerken.

  8. Klik op Volgende.
  9. Klik op de pagina Groepen (gebruikers) selecteren om te synchroniseren op + om de groepen te selecteren die u vanuit de LDAP-directory wilt synchroniseren met de Directories Management-directory.

    Als u meerdere groepen hebt met dezelfde naam in uw LDAP-directory, moet u unieke namen ervoor specificeren op de groepspagina.

    Wanneer u een groep toevoegt vanuit Active Directory, worden de leden van de groep aan de lijst Gebruikers toegevoegd als ze hierin nog niet worden vermeld. Wanneer u een groep synchroniseert, worden gebruikers die Domeingebruikers niet als hun primaire groep in Active Directory hebben, niet gesynchroniseerd.

    De optie Geneste groepsleden synchroniseren is standaard ingeschakeld. Wanneer deze optie is ingeschakeld, worden alle gebruikers gesynchroniseerd die direct tot de groep behoren die u selecteert en alle gebruikers die tot de geneste groepen eronder behoren. Geneste groepen worden niet gesynchroniseerd; alleen de gebruikers die tot de geneste groepen behoren, worden gesynchroniseerd. In de directory van Directories Management verschijnen deze gebruikers als leden van de bovenste groep die u hebt geselecteerd om te synchroniseren. Hierdoor wordt de hiërarchie onder een geselecteerde groep platter en worden gebruikers op alle niveaus weergegeven in Directories Management als leden van de geselecteerde groep.

    Als deze optie is uitgeschakeld wanneer u een groep specificeert om te synchroniseren, worden alle gebruikers gesynchroniseerd die direct tot die groep behoren. Gebruikers die tot geneste groepen eronder behoren, worden niet gesynchroniseerd. Het uitschakelen van deze optie is handig voor grote directoryconfiguraties waar het doorkruisen van een groepsstructuur veel bronnen en tijd kost. Als u deze optie uitschakelt, zorg er dan voor dat u alle groepen selecteert waarvan u de gebruikers wilt synchroniseren.

    Opmerking:

    Het systeem van gebruikersverificatie van Directories Management importeert gegevens uit Active Directory bij het toevoegen van groepen en gebruikers. De snelheid van het systeem wordt beperkt door de mogelijkheden van Active Directory. Als gevolg hiervan kunnen importbewerkingen lange tijd in beslag nemen, afhankelijk van het aantal groepen en gebruikers dat wordt toegevoegd. Om het risico op vertragingen of problemen te beperken, raden we u aan het aantal groepen en gebruikers te beperken tot de groepen en gebruikers die vereist zijn voor het gebruik van vRealize Automation.

    Als de prestaties van het systeem afnemen of fouten optreden, sluit u niet-vereiste toepassingen en zorgt u ervoor dat uw systeem voldoende geheugen toewijst aan Beheer van directory's. Als de problemen zich blijven voordoen, kunt u de geheugentoewijzing voor Beheer van directory's naar wens verhogen. Voor systemen met grote aantallen gebruikers en groepen moet u mogelijk de geheugentoewijzing voor Beheer van directory's verhogen tot maximaal 24 GB.

  10. Klik op Volgende.
  11. Klik op + om extra gebruikers toe te voegen. Voer bijvoorbeeld CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com in.

    U kunt hier zowel organisatie-eenheden als afzonderlijke gebruikers toevoegen.

    U kunt een filter maken waarmee bepaalde typen gebruikers worden uitgesloten. Selecteer het gebruikerskenmerk waarop moet worden gefilterd, de queryregel en de waarde.

  12. Klik op Volgende.
  13. Geef de pagina weer om te controleren hoe veel gebruikers en groepen worden gesynchroniseerd met de directory en om het standaard synchronisatieschema te bekijken.

    Klik op de koppelingen Bewerken om wijzigingen aan te brengen aan gebruikers en groepen of aan de synchronisatiefrequentie.

  14. Klik op Directory synchroniseren om de synchronisatie van de directory te starten.

Resultaten

De verbinding met de LDAP-directory wordt tot stand gebracht en gebruikers en groepen worden gesynchroniseerd van de LDAP-directory met de Directories Management-directory.

U kunt nu gebruikers en groepen toewijzen aan de gewenste vRealize Automation-rollen door Beheer > Gebruikers en groepen > Directory-gebruikers en -groepen te selecteren. Raadpleeg Rollen toewijzen aan directorygebruikers of -groepen voor meer informatie.