Корпоративный каталог LDAP можно интегрировать с VMware Identity Manager для синхронизации пользователей и групп из каталога LDAP со службой VMware Identity Manager.

Для интеграции каталога LDAP необходимо создать соответствующий каталог VMware Identity Manager и синхронизировать пользователей и группы из каталога LDAP с каталогом VMware Identity Manager. Для последующих обновлений можно настроить регулярное расписание синхронизации.

Кроме того, следует выбрать атрибуты LDAP, которые нужно синхронизировать для пользователей, и сопоставить их с атрибутами VMware Identity Manager.

Конфигурация каталога LDAP может быть выполнена на основе стандартных или пользовательских схем. Она также может иметь настраиваемые атрибуты. Чтобы дать VMware Identity Manager возможность запрашивать каталог LDAP и получать объекты пользователей или групп, необходимо указать поисковые фильтры и имена атрибутов LDAP, применимых к каталогу LDAP.

В частности, необходимо указать следующие сведения.

  • Поисковые фильтры LDAP для получения групп и пользователей, а также пользователя подключения.
  • Имена атрибутов LDAP для членства в группе, идентификатора UUID и различающегося имени или аналогичного атрибута

К интеграции каталогов LDAP применяются определенные ограничения. См. раздел Ограничения интеграции каталогов LDAP.

Необходимые условия

  • Просмотрите атрибуты на странице Управление учетными данными и доступом > Настройка > Атрибуты пользователя и добавьте дополнительные атрибуты, которые нужно синхронизировать. При создании каталога атрибуты VMware Identity Manager сопоставляются с каталогом LDAP. Они синхронизируются для пользователей в каталоге.
    Примечание: При изменении атрибутов пользователя учтите влияние на другие каталоги в службе. Если планируется добавить каталоги Active Directory и LDAP, не отмечайте никакие атрибуты в качестве обязательных (кроме userName, который можно отметить в качестве обязательного). Параметры на странице «Атрибуты пользователя» применяются ко всем каталогам службы. Если атрибут обозначен как обязательный, пользователи без этого атрибута не будут синхронизироваться со службой VMware Identity Manager.
  • Учетная запись пользователя с различающимся именем для подключения. Рекомендуется использовать учетную запись пользователя с привязкой DN и паролем без срока действия.
  • В каталоге LDAP универсальный уникальный идентификатор объекта пользователей и групп должен быть указан в текстовом формате.
  • В каталоге LDAP для всех пользователей и групп должен быть указан атрибут domain.

    Этот атрибут сопоставляется с атрибутом domain в VMware Identity Manager при создании каталога VMware Identity Manager.

  • В именах пользователей не должно быть пробелов. Если имя пользователя содержит пробел, пользователь синхронизируется, но права для него становятся недоступны.
  • При использовании проверки подлинности с помощью сертификата пользователи должны указать значения для атрибута userPrincipalName, а также атрибуты адреса электронной почты.

Процедура

  1. В консоли VMware Identity Manager выберите вкладку Управление учетными данными и доступом.
  2. На странице «Каталоги» щелкните Добавить папку и выберите элемент Добавить каталог LDAP.
  3. Введите необходимые сведения на странице «Добавить каталог LDAP».
    Параметр Описание
    Имя каталога Имя каталога VMware Identity Manager.
    Синхронизация службы каталогов и проверка подлинности
    1. а.В текстовом поле Синхронизируйте соединитель выберите соединитель, который необходимо использовать для синхронизации пользователей и групп каталога LDAP с каталогом VMware Identity Manager.

      В отдельном соединителе для каталога LDAP нет необходимости. Соединитель может поддерживать несколько каталогов, будь то каталоги Active Directory или LDAP. Информацию о сценариях, для которых требуются дополнительные соединители, см. в документе Установка и настройка VMware Identity Manager.

    2. б.Если необходимо использовать этот каталог LDAP для проверки подлинности пользователей, в текстовом поле Проверка подлинности выберите значение Да.

      Если для проверки подлинности пользователей необходимо применять сторонний поставщик удостоверений, выберите Нет. После подключения к каталогу для синхронизации пользователей и групп перейдите на страницу Управление учетными данными и доступом > Управление > Поставщики удостоверений, чтобы добавить сторонний поставщик удостоверений для проверки подлинности.

    3. в.В текстовом поле Атрибут поиска каталога укажите атрибут каталога LDAP, который будет использоваться в качестве имени пользователя. Если атрибут отсутствует в списке, выберите параметр Настраиваемый и введите имя настраиваемого атрибута, который будет использоваться для пользователей и групп. Например, cn.
    Расположение сервера Введите имя узла и номер порта узла сервера каталога LDAP. В качестве узла сервера можно указать полное доменное имя или IP-адрес. Например, myLDAPserver.example.com или 100.00.00.0.

    При наличии серверного кластера за средством балансировки нагрузки введите вместо этого сведения о средстве балансировки нагрузки.

    Настройка LDAP Укажите фильтры и атрибуты поиска LDAP, которые VMware Identity Manager следует использовать для создания запроса каталога LDAP. Значения по умолчанию указываются, исходя из данных основной схемы LDAP.

    Фильтрация запросов

    • Группы: поисковый фильтр для получения объектов группы.

      Например, (objectClass=groupOfNames)

    • Пользователь подключения: поисковый фильтр для получения объекта пользователя подключения, то есть пользователя, который может подключаться к каталогу.

      Например, (objectClass=person).

    • Пользователи: поисковый фильтр для получения данных пользователей, которые необходимо синхронизировать.

      Например, (&(objectClass=user)(objectCategory=person)).

    Атрибуты

    • Состав: атрибут, который используется в каталоге LDAP для определения участников группы.

      Например, member.

    • Универсальный уникальный идентификатор объекта: атрибут, который используется в каталоге LDAP для определения универсального уникального идентификатора объекта пользователя или группы.

      Например, entryUUID.

    • Различающееся имя: (необязательно) атрибут, который используется в каталоге LDAP для определения различающегося имени пользователя или группы.

      Например, dn.

      По умолчанию атрибут различающегося имени используется для уникального определения объектов пользователей и групп. Если в схеме LDAP отсутствует атрибут различающегося имени, выберите параметр Включить дополнительную настройку LDAP и введите значения, которые будут использоваться для идентификации групп и пользователей.

    • Включить дополнительную настройку LDAP. установите этот флажок, чтобы просматривать параметры дополнительной настройки LDAP. Используйте дополнительную настройку, если в схеме LDAP отсутствует атрибут различающегося имени или в ней используется posixGroups.
      • Фильтр группы: значение, которое следует использовать для запроса и идентификации групп. Это значение является обязательным, если в схеме LDAP отсутствует атрибут различающегося имени.

        Например, cn

      • Фильтр пользователей: значение, которое следует использовать для запроса и идентификации пользователей. Это значение является обязательным, если в схеме LDAP отсутствует атрибут различающегося имени.

        Например, uid

      • Фильтр сопоставления членства пользователей: (необязательно) этот параметр обычно требуется для каталогов LDAP, использующих posixGroups. Фильтр сопоставления членства пользователей используется для запроса и идентификации пользователей, полученных от атрибута членства.

        Например, uidNumber

    Сертификаты Если необходимо получение доступа к каталогу LDAP с использованием SSL, установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола SSL, а затем скопируйте и вставьте в текстовое поле сертификат SSL из корневого центра сертификации, настроенного для сервера каталога LDAP. Убедитесь, что сертификат находится в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.
    Сведения о пользователе подключения Базовое различающееся имя: введите различающееся имя, с которого будет начинаться поиск. Например, cn=users,dc=example,dc=com.
    Различающееся имя для подключения — введите имя пользователя, которое следует использовать для подключения к каталогу LDAP.
    Примечание: Рекомендуется использовать учетную запись пользователя с привязкой DN и паролем без срока действия.

    Пароль пользователя подключения — введите пароль пользователя с различающимся именем для подключения.

  4. Чтобы проверить подключение к серверу каталога LDAP, щелкните Протестировать соединение.
    Если не удастся установить подключение, проверьте введенные сведения и внесите соответствующие изменения.
  5. Нажмите Сохранить и Далее.
  6. На странице «Домены» убедитесь, что указан правильный домен, а затем нажмите кнопку Далее.
  7. На странице «Сопоставление атрибутов» убедитесь, что атрибуты VMware Identity Manager сопоставлены с правильными атрибутами LDAP.

    Эти атрибуты будут синхронизированы для пользователей.

    Важно!: Необходимо указать сопоставление для атрибута domain.

    На странице «Атрибуты пользователя» можно добавить атрибуты в список.

  8. Нажмите кнопку Далее.
  9. На странице «Группы» щелкните + для выбора групп, которые необходимо синхронизировать из каталога LDAP с каталогом VMware Identity Manager.

    При добавлении групп их имена синхронизируются с каталогом. Пользователи, входящие в группу, не синхронизируются с каталогом, пока группе не будет предоставлено право на доступ к приложению или имя группы не будет добавлено в правило политики доступа.

    Если в каталоге LDAP есть несколько групп с одинаковыми именами, на странице групп необходимо указать для них уникальные имена.

    Параметр Синхронизировать пользователей вложенных групп включен по умолчанию. Когда этот параметр включен, все пользователи, которые принадлежат непосредственно к выбранной группе, а также к вложенным группам этой группы, синхронизируются. Обратите внимание, что если у группы есть соответствующие права, синхронизируются не вложенные группы, а только пользователи, принадлежащие к ним. В каталоге VMware Identity Manager эти пользователи будут участниками группы верхнего уровня, выбранной для синхронизации. По факту иерархические элементы ниже выбранной группы удаляются, а пользователи всех уровней отображаются в VMware Identity Manager в составе выбранной группы.

    Если этот параметр отключен, то при указании группы для синхронизации все пользователи, которые принадлежат к ней непосредственно, синхронизируются. Пользователи, которые принадлежат к вложенным группам этой группы, не синхронизируются. Отключение этого параметра полезно для больших конфигураций каталога, где навигация по дереву групп требует значительных объемов ресурсов и времени. Но перед тем как его отключить, убедитесь, что выбраны все группы, пользователей которых необходимо синхронизировать.

  10. Нажмите кнопку Далее.
  11. Щелкните +, чтобы добавить пользователей. Например, введите CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
    Так как участники группы не синхронизируются с каталогом, пока группе не будут предоставлены права на доступ к приложению или пока она не будет добавлена в правило политики доступа, добавьте всех пользователей, которым нужно пройти проверку подлинности, перед настройкой прав группы.

    Чтобы удалить пользователей, щелкните фильтр, позволяющий исключить некоторые типы пользователей. Вы выбираете атрибут пользователя для фильтрации, правило запроса и значение.

    Нажмите кнопку Далее.

  12. На этой странице можно просмотреть расписание синхронизации по умолчанию и узнать, сколько имен пользователей и групп будет синхронизироваться с каталогом.

    Чтобы внести изменения в список пользователей и групп или интервал синхронизации, щелкните ссылки Изменить.

  13. Щелкните команду Синхронизировать каталог, чтобы запустить синхронизацию каталогов.

Результаты

Устанавливается подключение к каталогу LDAP, а имена пользователей и групп каталога LDAP синхронизируются с каталогом VMware Identity Manager. У пользователя различающегося имени для подключения есть роль администратора в VMware Identity Manager по умолчанию.