Настройка подключения Active Directory к службе

В консоли администрирования укажите сведения, необходимые для подключения к Active Directory, и выберите пользователей и группы, которые необходимо синхронизировать с каталогом VMware Identity Manager.

Об этой задаче

Для подключения Active Directory можно использовать Active Directory с протоколом LDAP или встроенную проверку подлинности Windows в Active Directory. Подключение «Active Directory по LDAP» поддерживает функцию поиска места расположения службы DNS. В случае применения встроенной системы проверки подлинности Windows Active Directory необходимо настроить домен, к которому нужно присоединиться.

Необходимые условия

Выберите обязательные атрибуты и при необходимости добавьте дополнительные атрибуты на странице «Атрибуты пользователя». См. раздел Выбор атрибутов для синхронизации с каталогом.

Важно:
Если планируется синхронизировать ресурсы XenApp с VMware Identity Manager, необходимо сделать distinguishedName обязательным атрибутом. Это необходимо сделать до создания каталога, поскольку атрибуты нельзя сделать обязательными после создания каталога.
Список групп и пользователей Active Directory, которые нужно синхронизировать из Active Directory.
Для подключения к Active Directory по протоколу LDAP необходимо указать такую информацию, как базовое различающееся имя, различающееся имя для подключения и пароль для различающегося имени для подключения.

Примечание:
Рекомендуется использовать учетную запись пользователя различающегося имени для подключения с паролем без срока действия.
Для встроенной проверки подлинности Windows в Active Directory необходимо указать такую информацию, как адрес и пароль UPN пользователя привязки домена.

Примечание:
Рекомендуется использовать учетную запись пользователя различающегося имени для подключения с паролем без срока действия.
Если для Active Directory необходим доступ по протоколу SSL или STARTTLS, требуется сертификат корневого центра сертификации контроллера домена Active Directory.
Если для встроенной проверки подлинности Windows в Active Directory настроена служба Active Directory с несколькими лесами, а локальная группа домена содержит участников из доменов в разных лесах, обязательно добавьте пользователя привязки в группу администраторов домена, в котором находится локальная группа домена. Если не сделать этого, эти участники не будут входить в локальную группу домена.

Процедура

В консоли администрирования выберите вкладку Управление учетными данными и доступом.
На странице «Каталоги» щелкните Добавить каталог.
Введите имя этого каталога VMware Identity Manager.

Выберите тип Active Directory в среде и настройте сведения о подключении.

Параметр	Описание
Active Directory с протоколом LDAP	В поле Синхронизируйте соединитель выберите соединитель, который необходимо использовать для синхронизации с Active Directory. В поле Проверка подлинности нажмите кнопку Да, если этот Active Directory используется для проверки подлинности пользователей. Если для проверки подлинности пользователей используется сторонний поставщик удостоверений, нажмите кнопку Нет. После настройки подключения Active Directory для синхронизации пользователей и групп перейдите на страницу «Управление учетными данными и доступом» > «Управление» > «Поставщики удостоверений», чтобы добавить сторонний поставщик удостоверений для проверки подлинности. В поле Атрибут поиска каталогов выберите атрибут учетной записи, который содержит имя пользователя. Если в Active Directory используется поиск данных о расположении служб DNS, выберите приведенные ниже параметры. В разделе Расположение сервера установите флажок Данный каталог поддерживает поиск размещения службы DNS. При создании каталога будет создан файл domain_krb.properties, который автоматически заполняется списком контроллеров домена. См. Выбор контроллера домена (файл domain_krb.properties). Если для Active Directory требуется шифрование STARTTLS, в разделе Сертификаты установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола SSL, а также скопируйте и вставьте сертификат корневого центра сертификации Active Directory в поле Сертификат SSL. Убедитесь, что сертификат находится в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE. Примечание: Если для Active Directory требуется протокол STARTTLS, а сертификат не предоставлен, создать каталог невозможно. Если в Active Directory не используется поиск данных о расположении служб DNS, выберите приведенные ниже параметры. Убедитесь, что в разделе Расположение сервера не установлен флажок Данный каталог поддерживает поиск размещения службы DNS, и введите имя узла сервера и номер порта Active Directory. Сведения о том, как настроить каталог в качестве глобального каталога, см. в разделе «Среда Active Directory в нескольких доменах и одном лесу» в Среды Active Directory. Если для Active Directory требуется доступ по протоколу SSL, в разделе Сертификаты установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола SSL, а также скопируйте и вставьте сертификат корневого центра сертификации Active Directory в поле Сертификат SSL. Убедитесь, что сертификат находится в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE. Примечание: Если для Active Directory требуется протокол SSL, а сертификат не предоставлен, создать каталог невозможно. В поле Базовое различающееся имя введите различающееся имя, с которого будет начинаться поиск учетных записей. Например, OU=myUnit, DC=myCorp, DC=com. В поле Различающееся имя для подключения введите учетную запись с правом поиска пользователей. Например, CN=binduser,OU=myUnit,DC=myCorp,DC=com. Примечание: Рекомендуется использовать учетную запись пользователя различающегося имени для подключения с паролем без срока действия. После ввода пароля подключения щелкните Протестировать соединение, чтобы проверить, может ли каталог подключиться к Active Directory.
Active Directory (служба проверки подлинности, встроенная в Windows)	В поле Синхронизируйте соединитель выберите соединитель, который необходимо использовать для синхронизации с Active Directory. В поле Проверка подлинности нажмите кнопку Да, если этот Active Directory используется для проверки подлинности пользователей. Если для проверки подлинности пользователей используется сторонний поставщик удостоверений, нажмите кнопку Нет. После настройки подключения Active Directory для синхронизации пользователей и групп перейдите на страницу «Управление учетными данными и доступом» > «Управление» > «Поставщики удостоверений», чтобы добавить сторонний поставщик удостоверений для проверки подлинности. В поле Атрибут поиска каталогов выберите атрибут учетной записи, который содержит имя пользователя. Если для Active Directory требуется шифрование STARTTLS, в разделе Сертификаты установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола STARTTLS, а также скопируйте и вставьте сертификат корневого центра сертификации Active Directory в поле Сертификат SSL. Убедитесь, что сертификат находится в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE. Если в каталоге несколько доменов, добавьте сертификаты корневого центра сертификации для всех доменов по отдельности. Примечание: Если для Active Directory требуется протокол STARTTLS, а сертификат не предоставлен, создать каталог невозможно. Введите доменное имя Active Directory для присоединения. Введите имя и пароль пользователя, у которого есть право на присоединение к домену. Дополнительные сведения см. в разделе Разрешения, необходимые для присоединения к домену. Заполните поле «Имя участника-пользователя подключения» для пользователя, который может выполнять проверку подлинности в домене. Например, имя_пользователя@example.com. Примечание: Рекомендуется использовать учетную запись пользователя различающегося имени для подключения с паролем без срока действия. Введите пароль пользователя привязки.

Параметр

Описание

Active Directory с протоколом LDAP

В поле Синхронизируйте соединитель выберите соединитель, который необходимо использовать для синхронизации с Active Directory.
В поле Проверка подлинности нажмите кнопку Да, если этот Active Directory используется для проверки подлинности пользователей.
Если для проверки подлинности пользователей используется сторонний поставщик удостоверений, нажмите кнопку Нет. После настройки подключения Active Directory для синхронизации пользователей и групп перейдите на страницу «Управление учетными данными и доступом» > «Управление» > «Поставщики удостоверений», чтобы добавить сторонний поставщик удостоверений для проверки подлинности.
В поле Атрибут поиска каталогов выберите атрибут учетной записи, который содержит имя пользователя.
Если в Active Directory используется поиск данных о расположении служб DNS, выберите приведенные ниже параметры.
- В разделе Расположение сервера установите флажок Данный каталог поддерживает поиск размещения службы DNS.
  При создании каталога будет создан файл domain_krb.properties, который автоматически заполняется списком контроллеров домена. См. Выбор контроллера домена (файл domain_krb.properties).
- Если для Active Directory требуется шифрование STARTTLS, в разделе Сертификаты установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола SSL, а также скопируйте и вставьте сертификат корневого центра сертификации Active Directory в поле Сертификат SSL.
  Убедитесь, что сертификат находится в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.
  
  Примечание:
  Если для Active Directory требуется протокол STARTTLS, а сертификат не предоставлен, создать каталог невозможно.
Если в Active Directory не используется поиск данных о расположении служб DNS, выберите приведенные ниже параметры.
- Убедитесь, что в разделе Расположение сервера не установлен флажок Данный каталог поддерживает поиск размещения службы DNS, и введите имя узла сервера и номер порта Active Directory.
  Сведения о том, как настроить каталог в качестве глобального каталога, см. в разделе «Среда Active Directory в нескольких доменах и одном лесу» в Среды Active Directory.
- Если для Active Directory требуется доступ по протоколу SSL, в разделе Сертификаты установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола SSL, а также скопируйте и вставьте сертификат корневого центра сертификации Active Directory в поле Сертификат SSL.
  Убедитесь, что сертификат находится в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.
  
  Примечание:
  Если для Active Directory требуется протокол SSL, а сертификат не предоставлен, создать каталог невозможно.
В поле Базовое различающееся имя введите различающееся имя, с которого будет начинаться поиск учетных записей. Например, OU=myUnit, DC=myCorp, DC=com.
В поле Различающееся имя для подключения введите учетную запись с правом поиска пользователей. Например, CN=binduser,OU=myUnit,DC=myCorp,DC=com.

Примечание:
Рекомендуется использовать учетную запись пользователя различающегося имени для подключения с паролем без срока действия.
После ввода пароля подключения щелкните Протестировать соединение, чтобы проверить, может ли каталог подключиться к Active Directory.

Active Directory (служба проверки подлинности, встроенная в Windows)

В поле Синхронизируйте соединитель выберите соединитель, который необходимо использовать для синхронизации с Active Directory.
В поле Проверка подлинности нажмите кнопку Да, если этот Active Directory используется для проверки подлинности пользователей.
Если для проверки подлинности пользователей используется сторонний поставщик удостоверений, нажмите кнопку Нет. После настройки подключения Active Directory для синхронизации пользователей и групп перейдите на страницу «Управление учетными данными и доступом» > «Управление» > «Поставщики удостоверений», чтобы добавить сторонний поставщик удостоверений для проверки подлинности.
В поле Атрибут поиска каталогов выберите атрибут учетной записи, который содержит имя пользователя.
Если для Active Directory требуется шифрование STARTTLS, в разделе Сертификаты установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола STARTTLS, а также скопируйте и вставьте сертификат корневого центра сертификации Active Directory в поле Сертификат SSL.
Убедитесь, что сертификат находится в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.
Если в каталоге несколько доменов, добавьте сертификаты корневого центра сертификации для всех доменов по отдельности.

Примечание:
Если для Active Directory требуется протокол STARTTLS, а сертификат не предоставлен, создать каталог невозможно.
Введите доменное имя Active Directory для присоединения. Введите имя и пароль пользователя, у которого есть право на присоединение к домену. Дополнительные сведения см. в разделе Разрешения, необходимые для присоединения к домену.
Заполните поле «Имя участника-пользователя подключения» для пользователя, который может выполнять проверку подлинности в домене. Например, имя_пользователя@example.com.

Примечание:
Рекомендуется использовать учетную запись пользователя различающегося имени для подключения с паролем без срока действия.
Введите пароль пользователя привязки.

Нажмите Сохранить и Далее.

Откроется страница со списком доменов.
Для Active Directory с протоколом LDAP установите флажки рядом с необходимыми доменами.

Для Active Directory (встроенная проверка подлинности Windows) выберите домены, которые необходимо связать с этим подключением к Active Directory.

Примечание:
В случае добавления доверенного домена после создания каталога новый доверенный домен служба автоматически не обнаруживает. Чтобы служба смогла обнаружить домен, соединитель соединитель должен отсоединиться от домена, а затем снова присоединиться к нему. После того как соединитель снова присоединится к домену, доверенный домен появится в списке.

Нажмите кнопку Далее.
Убедитесь, что имена атрибутов каталогов VMware Identity Manager сопоставлены с правильными атрибутами Active Directory, и при необходимости внесите изменения, а затем нажмите кнопку Далее.

Выберите группы, которые должны синхронизироваться с каталогом VMware Identity Manager на основе Active Directory.

Параметр	Описание
Укажите различающиеся имена групп	Чтобы выбрать группы, укажите одно или несколько различающихся имен и выберите под ними группы. Щелкните знак + и укажите различающееся имя группы. Например, CN=users,DC=example,DC=company,DC=com. Важно: Следует указывать различающиеся имена групп, которые имеют базовое различающееся имя, введенное вами ранее. Если различающееся имя группы не соответствует базовому различающемуся имени, данные пользователей из группы с этим различающимся именем будут синхронизироваться, но сами пользователи не смогут выполнить вход. Щелкните Поиск групп. В столбце Число синхронизируемых групп указывается количество групп с заданным различающимся именем. Если необходимо выбрать все группы, которым назначено это различающееся имя, щелкните Выбрать все. В противном случае щелкните Выбрать и выберите конкретные группы для синхронизации. Примечание: При синхронизации группы все пользователи, для которых группа «Пользователи домена» в Active Directory не является основной, не синхронизируются.
Синхронизировать участников вложенных групп	Параметр Синхронизировать участников вложенных групп включен по умолчанию. Когда этот параметр включен, все пользователи, которые принадлежат непосредственно к выбранной группе, а также к вложенным группам этой группы, синхронизируются. Обратите внимание, что синхронизируются не вложенные группы, а только пользователи, принадлежащие к ним. В каталоге VMware Identity Manager эти пользователи будут участниками родительской группы, выбранной для синхронизации. Если параметр Синхронизировать участников вложенных групп отключен, то при указании группы для синхронизации все пользователи, которые принадлежат непосредственно к ней, будут синхронизированы. Пользователи, которые принадлежат к вложенным группам этой группы, не синхронизируются. Отключение этого параметра может потребоваться в больших конфигурациях Active Directory, где навигация по дереву групп требует значительных объемов ресурсов и времени. Но перед тем как его отключить, убедитесь, что выбраны все группы, пользователей которых необходимо синхронизировать.

Параметр

Описание

Укажите различающиеся имена групп

Чтобы выбрать группы, укажите одно или несколько различающихся имен и выберите под ними группы.

Щелкните знак + и укажите различающееся имя группы. Например, CN=users,DC=example,DC=company,DC=com.

Важно:
Следует указывать различающиеся имена групп, которые имеют базовое различающееся имя, введенное вами ранее. Если различающееся имя группы не соответствует базовому различающемуся имени, данные пользователей из группы с этим различающимся именем будут синхронизироваться, но сами пользователи не смогут выполнить вход.
Щелкните Поиск групп.
В столбце Число синхронизируемых групп указывается количество групп с заданным различающимся именем.
Если необходимо выбрать все группы, которым назначено это различающееся имя, щелкните Выбрать все. В противном случае щелкните Выбрать и выберите конкретные группы для синхронизации.

Примечание:

При синхронизации группы все пользователи, для которых группа «Пользователи домена» в Active Directory не является основной, не синхронизируются.

Синхронизировать участников вложенных групп

Параметр Синхронизировать участников вложенных групп включен по умолчанию. Когда этот параметр включен, все пользователи, которые принадлежат непосредственно к выбранной группе, а также к вложенным группам этой группы, синхронизируются. Обратите внимание, что синхронизируются не вложенные группы, а только пользователи, принадлежащие к ним. В каталоге VMware Identity Manager эти пользователи будут участниками родительской группы, выбранной для синхронизации.

Если параметр Синхронизировать участников вложенных групп отключен, то при указании группы для синхронизации все пользователи, которые принадлежат непосредственно к ней, будут синхронизированы. Пользователи, которые принадлежат к вложенным группам этой группы, не синхронизируются. Отключение этого параметра может потребоваться в больших конфигурациях Active Directory, где навигация по дереву групп требует значительных объемов ресурсов и времени. Но перед тем как его отключить, убедитесь, что выбраны все группы, пользователей которых необходимо синхронизировать.

Нажмите кнопку Далее.
При необходимости укажите дополнительных пользователей для синхронизации.
1. Щелкните знак + и введите различающиеся имена пользователей. Например, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
  
  Важно:
  Следует указывать различающиеся имена пользователей, которые имеют базовое различающееся имя, введенное вами ранее. Если различающееся имя пользователя не соответствует базовому различающемуся имени, данные пользователей с этим различающимся именем будут синхронизироваться, но сами пользователи не смогут выполнить вход.
2. (Необязательно.) Чтобы удалить пользователей, щелкните фильтр, позволяющий исключить некоторые типы пользователей.
  
  Вы выбираете атрибут пользователя для фильтрации, правило запроса и значение.
Нажмите кнопку Далее.
На этой странице можно просмотреть расписание синхронизации и узнать, сколько пользователей и групп синхронизируются с каталогом.

Чтобы внести изменения в список пользователей и групп или интервал синхронизации, щелкните ссылки Изменить.
Щелкните Синхронизировать каталоги, чтобы начать синхронизацию в каталог.

Результат

Подключение к Active Directory устанавливается, а пользователи и группы синхронизируются с Active Directory в каталог VMware Identity Manager. У пользователя различающегося имени для подключения есть роль администратора в VMware Identity Manager по умолчанию.

Дальнейшие действия

При создании каталога, который поддерживает поиск размещения службы DNS, создается файл domain_krb.properties, куда автоматически добавляется список контроллеров домена. Просмотрите файл, чтобы проверить или изменить список контроллеров домена. См. раздел Выбор контроллера домена (файл domain_krb.properties).
Настройте методы проверки подлинности. После синхронизации пользователей и групп с каталогом, если для проверки подлинности также используется соединитель, в нем можно настроить дополнительные методы проверки подлинности. Если поставщиком удостоверений для проверки подлинности является сторонняя организация, настройте этого поставщика в соединителе.
Проанализируйте политику доступа по умолчанию. Политика доступа по умолчанию настроена так, чтобы все устройства во всех сетевых диапазонах могли получать доступ к веб-браузеру с заданным временем ожидания сеанса (восемь часов) или получать доступ к клиентскому приложению с временем ожидания сеанса 2160 часов (или 90 дней). Политику доступа по умолчанию можно изменить, а при добавлении веб-приложений в каталог можно создать новые политики доступа.
Примените пользовательскую фирменную символику на консоли администрирования, на страницах пользовательского портала и на экране входа в систему.