Корпоративный каталог LDAP можно интегрировать с VMware Identity Manager для синхронизации пользователей и групп из каталога LDAP со службой VMware Identity Manager.
Для интеграции каталога LDAP необходимо создать соответствующий каталог VMware Identity Manager и синхронизировать пользователей и группы из каталога LDAP с каталогом VMware Identity Manager. Для последующих обновлений можно настроить регулярное расписание синхронизации.
Кроме того, следует выбрать атрибуты LDAP, которые нужно синхронизировать для пользователей, и сопоставить их с атрибутами VMware Identity Manager.
Конфигурация каталогов LDAP может быть настроена на основе схем по умолчанию или пользовательских схем. Можно также определить пользовательские атрибуты. Чтобы дать VMware Identity Manager возможность запрашивать каталог LDAP и получать объекты пользователей или групп, необходимо указать поисковые фильтры и имена атрибутов LDAP, применимых к каталогу LDAP.
В частности, необходимо указать следующие сведения.
- Поисковые фильтры LDAP для получения групп и пользователей, а также пользователя подключения.
- Имена атрибутов LDAP для членства в группе, идентификатора UUID и различающегося имени
К интеграции каталогов LDAP применяются определенные ограничения. См. раздел Ограничения интеграции каталогов LDAP.
Необходимые условия
- Если используются дополнительные внешние виртуальные устройства соединителей, обратите внимание, что интеграция каталогов LDAP доступна только для соединителей версии 2016.6.1 и более новых.
- Просмотрите атрибуты на странице и добавьте дополнительные атрибуты, которые нужно синхронизировать. Эти атрибуты VMware Identity Manager будут сопоставлены с каталогом LDAP позже, после создания каталога. Они синхронизируются для пользователей в каталоге.
Примечание: При изменении атрибутов пользователя учтите влияние на другие каталоги в службе. Если планируется добавить каталоги Active Directory и LDAP, не отмечайте никакие атрибуты в качестве обязательных (кроме
userName, который можно отметить в качестве обязательного). Параметры на странице «Атрибуты пользователя» применяются ко всем каталогам службы. Если атрибут обозначен как обязательный, пользователи без этого атрибута не будут синхронизироваться со службой
VMware Identity Manager.
- Учетная запись пользователя с различающимся именем для подключения. Рекомендуется использовать учетную запись пользователя различающегося имени для подключения с паролем без срока действия.
- В каталоге LDAP универсальный уникальный идентификатор объекта пользователей и групп должен быть указан в текстовом формате.
- В каталоге LDAP для всех пользователей и групп должен быть указан атрибут domain.
Этот атрибут сопоставляется с атрибутом domain в VMware Identity Manager при создании каталога VMware Identity Manager.
- В именах пользователей не должно быть пробелов. Если имя пользователя содержит пробел, пользователь синхронизируется, но права для него становятся недоступны.
- При использовании проверки подлинности с помощью сертификата пользователи должны указать значения для атрибута userPrincipalName, а также атрибуты адреса электронной почты.
Процедура
- В консоли администрирования выберите вкладку Управление учетными данными и доступом.
- На странице «Каталоги» щелкните Добавить папку и выберите элемент Добавить каталог LDAP.
- Введите необходимые сведения на странице «Добавить каталог LDAP».
Параметр |
Описание |
Имя каталога |
Имя каталога VMware Identity Manager. |
Синхронизация службы каталогов и проверка подлинности |
- В поле Синхронизируйте соединитель выберите соединитель, который необходимо использовать для синхронизации пользователей и групп каталога LDAP с каталогом VMware Identity Manager.
Компонент соединителя всегда доступен в службе VMware Identity Manager по умолчанию. Этот соединитель отображается в раскрывающемся списке. Если для высокой доступности установлены несколько устройств VMware Identity Manager, компонент соединителя каждого из них будет в этом списке. В отдельном соединителе для каталога LDAP нет необходимости. Соединитель может поддерживать несколько каталогов, будь то каталоги Active Directory или LDAP. Сведения для сценариев, в которых требуются дополнительные соединители, см. в разделе «Установка дополнительных устройств соединителя» в руководстве по установке VMware Identity Manager.
- Если необходимо использовать этот каталог LDAP для проверки подлинности пользователей, в поле Проверка подлинности выберите значение Да.
Если для проверки подлинности пользователей необходимо применять сторонний поставщик удостоверений, выберите Нет. После подключения к каталогу для синхронизации пользователей и групп перейдите на страницу , чтобы добавить сторонний поставщик удостоверений для проверки подлинности.
- В поле Атрибут поиска каталога укажите атрибут каталога LDAP, который будет использоваться в качестве имени пользователя. Если необходимого атрибута нет в списке, выберите параметр Пользовательский и введите имя атрибута. Например, cn.
|
Расположение сервера |
Введите имя узла и номер порта узла сервера каталога LDAP. В качестве узла сервера можно указать полное доменное имя или IP-адрес. Например, myLDAPserver.example.com или 100.00.00.0. При наличии серверного кластера за средством балансировки нагрузки введите вместо этого сведения о средстве балансировки нагрузки. |
Настройка LDAP |
Укажите фильтры и атрибуты поиска LDAP, которые VMware Identity Manager следует использовать для создания запроса каталога LDAP. Значения по умолчанию указываются, исходя из данных основной схемы LDAP. Запросы LDAP
- Получить группы: поисковой фильтр для получения объектов группы.
Например, (objectClass=group).
- Получить пользователя подключения: фильтр поиска для получения объекта пользователя подключения, то есть пользователя, который может подключаться к каталогу.
Например, (objectClass=person).
- Получить пользователя: поисковой фильтр, позволяющий получать данные пользователей, которых необходимо синхронизировать.
Например, (&(objectClass=user)(objectCategory=person)).
Атрибуты
- Состав: атрибут, который используется в каталоге LDAP для определения участников группы.
Например, member.
- Универсальный уникальный идентификатор объекта: атрибут, который используется в каталоге LDAP для определения универсального уникального идентификатора пользователя и группы.
Например, entryUUID.
- Различающееся имя: атрибут, который используется в каталоге LDAP для определения различающегося имени пользователя или группы.
Например, entryDN.
|
Сертификаты |
Если необходимо настроить получение доступа к каталогу LDAP с использованием SSL, выберите параметр Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола SSL, а затем скопируйте и вставьте сертификат SSL из корневого центра сертификации, настроенного для сервера каталога LDAP. Убедитесь, что сертификат находится в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE. |
Сведения о пользователе подключения |
Базовое различающееся имя: введите различающееся имя, с которого будет начинаться поиск. Например, cn=users,dc=example,dc=com.
Различающееся имя для подключения — введите имя пользователя, которое следует использовать для подключения к каталогу LDAP.
Примечание: Рекомендуется использовать учетную запись пользователя различающегося имени для подключения с паролем без срока действия.
Пароль для базового различающегося имени — введите пароль для пользователя с различающимся именем для подключения. |
- Чтобы проверить подключение к серверу каталога LDAP, щелкните Протестировать соединение.
Если не удастся установить подключение, проверьте введенные сведения и внесите соответствующие изменения.
- Нажмите Сохранить и Далее.
- На странице «Домены» убедитесь, что указан правильный домен, а затем нажмите кнопку Далее.
- На странице «Сопоставление атрибутов» убедитесь, что атрибуты VMware Identity Manager сопоставлены с правильными атрибутами LDAP.
Важно!: Необходимо указать сопоставление для атрибута
domain.
На странице «Атрибуты пользователя» можно добавить атрибуты в список.
- Нажмите кнопку Далее.
- На странице «Группы» щелкните + для выбора групп, которые необходимо синхронизировать из каталога LDAP с каталогом VMware Identity Manager.
Если в каталоге LDAP есть несколько групп с одинаковыми именами, на странице групп необходимо указать для них уникальные имена.
Параметр Синхронизировать пользователей вложенных групп включен по умолчанию. Когда этот параметр включен, все пользователи, которые принадлежат непосредственно к выбранной группе, а также к вложенным группам этой группы, синхронизируются. Обратите внимание, что синхронизируются не вложенные группы, а только пользователи, принадлежащие к ним. В каталоге VMware Identity Manager эти пользователи будут участниками группы верхнего уровня, выбранной для синхронизации. По факту иерархические элементы ниже выбранной группы удаляются, а пользователи всех уровней отображаются в VMware Identity Manager в составе выбранной группы.
Если этот параметр отключен, то при указании группы для синхронизации все пользователи, которые принадлежат к ней непосредственно, синхронизируются. Пользователи, которые принадлежат к вложенным группам этой группы, не синхронизируются. Отключение этого параметра полезно для больших конфигураций каталога, где навигация по дереву групп требует значительных объемов ресурсов и времени. Но перед тем как его отключить, убедитесь, что выбраны все группы, пользователей которых необходимо синхронизировать.
- Нажмите кнопку Далее.
- Щелкните +, чтобы добавить дополнительных пользователей. Например, введите CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
Чтобы удалить пользователей, щелкните фильтр, позволяющий исключить некоторые типы пользователей. Вы выбираете атрибут пользователя для фильтрации, правило запроса и значение.
Нажмите кнопку Далее.
- На этой странице можно просмотреть расписание синхронизации по умолчанию и узнать, сколько пользователей и групп будет синхронизироваться с каталогом.
Чтобы внести изменения в список пользователей и групп или интервал синхронизации, щелкните ссылки Изменить.
- Щелкните команду Синхронизировать каталог, чтобы запустить синхронизацию каталогов.
Результаты
Устанавливается подключение к каталогу LDAP, а пользователи и группы каталога LDAP синхронизируются с каталогом VMware Identity Manager. У пользователя различающегося имени для подключения есть роль администратора в VMware Identity Manager по умолчанию.