К интеграции каталогов LDAP применяются следующие ограничения.
Интегрировать можно только каталог LDAP одного домена.
Чтобы интегрировать несколько доменов из каталога LDAP, необходимо создать дополнительные каталоги VMware Identity Manager (по одному для каждого домена).
VMware Identity Manager поддерживает только те реализации OpenLDAP, которые поддерживают поисковые запросы с подкачкой. Все запросы VMware Identity Manager к серверу каталогов подкачиваются постранично. Если служба каталогов не поддерживает запросы с подкачкой, VMware Identity Manager невозможно синхронизировать пользователей.
Следующие методы проверки подлинности не поддерживаются каталогами LDAP в VMware Identity Manager.
проверка подлинности с помощью Kerberos
Адаптивная проверка подлинности RSA
ADFS в качестве стороннего поставщика удостоверений.
SecurID
Проверка подлинности Radius с использованием Vasco и сервера SMS Passcode.
Нельзя присоединиться к домену LDAP.
Интеграция с Horizon или опубликованными ресурсами Citrix для каталогов LDAP в VMware Identity Manager не поддерживается.
В именах пользователей не должно быть пробелов. Если имя пользователя содержит пробел, пользователь синхронизируется, но права для него становятся недоступны.
Если планируется добавить каталоги Active Directory и LDAP, не отмечайте никакие атрибуты в качестве обязательных на странице «Атрибуты пользователя» (кроме userName, который можно отметить в качестве обязательного). Параметры на странице «Атрибуты пользователя» применяются ко всем каталогам службы. Если атрибут обозначен как обязательный, пользователи без этого атрибута не будут синхронизироваться со службой VMware Identity Manager.
Если в каталоге LDAP есть несколько групп с одинаковыми именами, в службе VMware Identity Manager необходимо указать для них уникальные имена. Указать имена можно при выборе групп для синхронизации.
Параметр, с помощью которого можно разрешить пользователям сбросить просроченные пароли, недоступен.
