После развертывания экземпляра VMware Identity Manager используйте мастер установки, чтобы задать пароли и выбрать базу данных. Затем необходимо настроить подключение к каталогу Active Directory или LDAP.

Убедитесь, что при запуске мастера установки используется полное имя узла. Не вводите IP-адрес в качестве имени.

Необходимые условия

  • Компьютер VMware Identity Manager включен.
  • Внешняя база данных настроена, и доступны сведения о подключении к ней. Прежде чем запустить мастер установки, убедитесь, что указана правильная конфигурация базы данных. Дополнительные сведения см. в разделе Создание базы данных службы VMware Identity Manager.
  • Перед созданием каталога ознакомьтесь с требованиями и ограничениями в разделе Интеграция каталога с VMware Identity Manager.
  • Доступны сведения о каталоге Active Directory или каталоге LDAP.
  • Если настроены несколько лесов Active Directory, а в локальной группе домена есть участники, принадлежащие к доменам в разных лесах, пользователя с различающимся имением для подключения, указанного на странице каталога VMware Identity Manager, необходимо добавить​в группу администраторов домена, к которому относится локальная группа. Если не сделать этого, эти участники не будут входить в локальную группу домена.
  • Составлен список пользовательских атрибутов, которые нужно использовать в качестве фильтров, а также список групп и пользователей для добавления в VMware Identity Manager.

    Имена групп сразу синхронизируются с каталогом. Участники группы не синхронизируются, пока группе не будут предоставлены права на использование ресурсов или пока добавлены в правило политики. Во время первоначальной настройки необходимо добавить пользователей, которым нужно пройти проверку подлинности перед настройкой права группы.

Процедура

  1. Перейдите к URL-адресу VMware Identity Manager, который отображался после завершения установки. Введите полное доменное имя (FQDN). Например, https://имя_узла.example.com.
  2. Примите сертификат, если отобразится запрос.
    Можно обновить сертификат после первоначальной настройки.
  3. На странице «Начало работы» щелкните Продолжить.
  4. На странице «Задать пароли» установите пароли для следующих учетных записей администраторов, которые используются для управления устройством, а затем щелкните Продолжить.
    Учетная запись
    Администратор устройства Задайте пароль для пользователя admin. Это имя пользователя нельзя изменить. Учетная запись admin используется для управления настройками устройства.
    Важно!: Пароль пользователя admin должен состоять не менее чем из 6 символов.
    Привилегированный пользователь устройства Задайте пароль для привилегированного пользователя. У привилегированного пользователя есть все права на использование устройства.
    Удаленные пользователи Задайте пароль SSH-пользователя, который используется для удаленного входа на устройство с подключением по протоколу SSH.
  5. На странице «Выбрать базу данных» выберите базу данных, которую необходимо использовать.
    • При использовании внешней базы данных выберите значение Внешняя база данных и введите сведения о подключении, имя пользователя и пароль для нее. Чтобы убедиться в возможности подключения VMware Identity Manager к базе данных, щелкните Протестировать соединение.

      После проверки подключения щелкните Продолжить.

    • Если используется внутренняя база данных, щелкните Продолжить.
      Примечание: Внутреннюю базу данных не рекомендуется использовать в рабочих средах.
    Теперь подключение к базе данных настроено, и база данных будет инициализирована. По завершении процесса откроется страница Настройка завершена.
  6. Выберите ссылку Войти в консоль администрирования на странице Настройка завершена, чтобы войти в консоль VMware Identity Manager и настроить подключение к каталогу Active Directory или LDAP.
  7. Войдите в консоль VMware Identity Manager, используя учетную запись Администратор и заданный пароль.
    При входе от имени локального администратора появится страница «Каталоги». Прежде чем добавить каталог, ознакомьтесь с требованиями и ограничениями в документе Интеграция каталога с VMware Identity Manager.
  8. Откройте вкладку Управление учетными данными и доступом.
  9. Щелкните Настройка > Атрибуты пользователя, чтобы выбрать атрибуты для синхронизации с каталогом.
    Атрибуты по умолчанию будут перечислены в списке, в котором можно выбрать обязательные. Если отметить атрибут в качестве обязательного, только пользователи с этим атрибутом будут синхронизироваться со службой. Кроме того, можно добавить другие атрибуты.
    Важно!: После создания каталога атрибут уже нельзя сделать обязательным. Такие атрибуты необходимо выбрать сейчас.

    Кроме того, учитывайте, что настройки на странице «Атрибуты пользователя» применяются ко всем каталогам службы. Прежде чем отметить атрибут в качестве обязательного, оцените его влияние на другие каталоги. Если отметить атрибут в качестве обязательного, пользователи без этого атрибута не будут синхронизироваться со службой.

  10. Нажмите кнопку Сохранить.
  11. Откройте вкладку Управление учетными данными и доступом.
  12. На странице «Каталоги» щелкните Добавить каталог и выберите команду Добавить каталог Active Directory с помощью LDAP или IWA или Добавить каталог LDAP в зависимости от типа интегрируемого каталога.
    Кроме того, можно создать в службе локальный каталог. Дополнительные сведения об использовании локальных каталогов см. в разделе #GUID-FF1F0D8B-F68E-41CE-B2F7-733F32B82665.
  13. При использовании Active Directory выполните следующие шаги.
    1. а. Введите имя каталога, создаваемого в VMware Identity Manager, а затем его тип (Active Directory с протоколом LDAP или Active Directory (встроенная проверка подлинности Windows)).
    2. б. Предоставьте сведения о подключении.
      Параметр Описание
      Active Directory с протоколом LDAP
      1. В поле Синхронизируйте соединитель выберите соединитель, который необходимо использовать для синхронизации пользователей и групп Active Directory с каталогом VMware Identity Manager.

        Компонент соединителя всегда доступен в службе VMware Identity Manager по умолчанию. Этот соединитель отображается в раскрывающемся списке. Если для высокой доступности установлены несколько устройств VMware Identity Manager, компонент соединителя каждого из них будет в этом списке.

      2. В поле Проверка подлинности выберите значение Да, если необходимо использовать этот каталог Active Directory, чтобы проверять подлинность пользователей.

        Если для проверки подлинности пользователей необходимо применять сторонний поставщик удостоверений, выберите значение Нет. После настройки подключения Active Directory для синхронизации пользователей и групп перейдите на страницу Управление учетными данными и доступом > Управление > Поставщики удостоверений, чтобы добавить сторонний поставщик удостоверений для проверки подлинности.

      3. В поле Атрибут поиска каталогов выберите атрибут учетной записи, который содержит имя пользователя.
      4. Если в Active Directory используется поиск данных о расположении служб DNS, выберите приведенные ниже параметры.
        • В разделе Расположение сервера установите флажок Данный каталог поддерживает поиск размещения службы DNS.
        • Если для Active Directory требуется шифрование STARTTLS, в разделе Сертификаты установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола SSL, а также скопируйте и вставьте сертификат корневого центра сертификации Active Directory в поле Сертификат SSL.

          Убедитесь, что сертификат находится в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.

          Примечание: Если для Active Directory требуется протокол STARTTLS, а сертификат не предоставлен, создать каталог невозможно.
      5. Если в Active Directory не используется поиск данных о расположении служб DNS, выберите приведенные ниже параметры.
        • Убедитесь, что в разделе Расположение сервера не установлен флажок Данный каталог поддерживает поиск размещения службы DNS, и введите имя узла сервера и номер порта Active Directory.

          Чтобы настроить каталог в качестве глобального каталога, изучите раздел о средах с одним лесом Active Directory и несколькими доменами в главе «Среды Active Directory» документа Интеграция каталога с VMware Identity Manager.

        • Если для Active Directory требуется доступ по протоколу SSL, в разделе Сертификаты установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола SSL, а также скопируйте и вставьте сертификат корневого центра сертификации Active Directory в поле Сертификат SSL.

          Убедитесь, что сертификат находится в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.

          Примечание: Если для Active Directory требуется протокол SSL, а сертификат не предоставлен, создать каталог невозможно.
      6. В разделе Разрешить изменение паролей выберите параметр Включить функцию изменения паролей, если необходимо разрешить пользователям сбрасывать свои пароли на странице входа в VMware Identity Manager, когда срок действия пароля истечет или если администратор Active Directory сбросит пароль пользователя.
      7. В поле Базовое различающееся имя введите различающееся имя, с которого будет начинаться поиск учетных записей. Например, OU=myUnit, DC=myCorp, DC=com.
      8. В поле Различающееся имя для подключения введите учетную запись с правом поиска пользователей. Например, CN=binduser,OU=myUnit,DC=myCorp,DC=com.
        Примечание: Рекомендуется использовать учетную запись пользователя различающегося имени для подключения с паролем без срока действия.
      9. После ввода пароля подключения щелкните Протестировать соединение, чтобы проверить, может ли каталог подключиться к Active Directory.
      Active Directory (служба проверки подлинности, встроенная в Windows)
      1. В поле Синхронизируйте соединитель выберите соединитель, который необходимо использовать для синхронизации пользователей и групп Active Directory с каталогом VMware Identity Manager.

        Компонент соединителя всегда доступен в службе VMware Identity Manager по умолчанию. Этот соединитель отображается в раскрывающемся списке. Если для высокой доступности установлены несколько устройств VMware Identity Manager, компонент соединителя каждого из них будет в этом списке.

      2. Если необходимо использовать этот каталог Active Directory для проверки подлинности пользователей, в поле Проверка подлинности выберите значение Да.

        Если для проверки подлинности пользователей необходимо применять сторонний поставщик удостоверений, выберите значение Нет. После настройки подключения Active Directory для синхронизации пользователей и групп перейдите на страницу Управление учетными данными и доступом > Управление > Поставщики удостоверений, чтобы добавить сторонний поставщик удостоверений для проверки подлинности.

      3. В поле Атрибут поиска каталогов выберите атрибут учетной записи, который содержит имя пользователя.
      4. Если для Active Directory требуется шифрование STARTTLS, в разделе Сертификаты установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола STARTTLS, а также скопируйте и вставьте сертификат корневого центра сертификации Active Directory в поле Сертификат SSL.

        Убедитесь, что сертификат находится в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.

        Если в каталоге несколько доменов, добавьте сертификаты корневого центра сертификации для всех доменов по отдельности.

        Примечание: Если для Active Directory требуется протокол STARTTLS, а сертификат не предоставлен, создать каталог невозможно.
      5. Введите доменное имя Active Directory для присоединения. Введите имя и пароль пользователя, у которого есть право на присоединение к домену. Дополнительные сведения см. в разделе «Разрешения, необходимые для присоединения к домену» в документе Интеграция каталога с VMware Identity Manager.
      6. В разделе Разрешить изменение паролей выберите параметр Включить функцию изменения паролей, если необходимо разрешить пользователям сбрасывать свои пароли на странице входа в VMware Identity Manager, когда срок действия пароля истечет или если администратор Active Directory сбросит пароль пользователя.
      7. В разделе Сведения о пользователе подключения введите имя и пароль пользователя подключения, который имеет разрешение на создание запросов пользователям и группам для требуемых доменов. В качестве имени пользователя введите имя sAMAccountName, например jdoe. Если домен пользователя подключения отличается от указанного выше в поле «Присоединится к домену», введите имя пользователя sAMAccountName@domain, где domain — это полное доменное имя. Например, [email protected].
        Примечание: Рекомендуется использовать учетную запись пользователя подключения с паролем без срока действия.
    3. в. Нажмите Сохранить и Далее.
      Откроется страница со списком доменов.
  14. При использовании каталогов LDAP выполните следующие шаги.
    1. а. Предоставьте сведения о подключении.
      Параметр Описание
      Имя каталога Имя для каталога, создаваемого в VMware Identity Manager.
      Синхронизация службы каталогов и проверка подлинности
      1. В поле Синхронизируйте соединитель выберите соединитель, который необходимо использовать для синхронизации пользователей и групп каталога LDAP с каталогом VMware Identity Manager.

        Компонент соединителя всегда доступен в службе VMware Identity Manager по умолчанию. Этот соединитель отображается в раскрывающемся списке. Если для высокой доступности установлены несколько устройств VMware Identity Manager, компонент соединителя каждого из них будет в этом списке.

        В отдельном соединителе для каталога LDAP нет необходимости. Соединитель может поддерживать несколько каталогов, будь то каталоги Active Directory или LDAP.

      2. В поле Проверка подлинности выберите значение Да, если необходимо использовать этот каталог LDAP, чтобы проверять подлинность пользователей.

        Если для проверки подлинности пользователей необходимо применять сторонний поставщик удостоверений, выберите Нет. После подключения к каталогу для синхронизации пользователей и групп перейдите на страницу Управление учетными данными и доступом > Управление > Поставщики удостоверений, чтобы добавить сторонний поставщик удостоверений для проверки подлинности.

      3. В поле Атрибут поиска каталога укажите атрибут каталога LDAP, который будет использоваться в качестве имени пользователя. Если необходимого атрибута нет в списке, выберите параметр Пользовательский и введите имя атрибута. Например, cn.
      Расположение сервера Введите имя узла и номер порта узла сервера каталога LDAP. В качестве узла сервера можно указать полное доменное имя или IP-адрес. Например, myLDAPserver.example.com или 100.00.00.0.

      При наличии серверного кластера за средством балансировки нагрузки введите вместо этого сведения о средстве балансировки нагрузки.

      Настройка LDAP Укажите фильтры и атрибуты поиска LDAP, которые VMware Identity Manager следует использовать для создания запроса каталога LDAP. Значения по умолчанию указываются, исходя из данных основной схемы LDAP.

      Запросы LDAP

      • Получить группы: поисковой фильтр для получения объектов группы.

        Например, (objectClass=group).

      • Получить пользователя подключения: фильтр поиска для получения объекта пользователя подключения, то есть пользователя, который может подключаться к каталогу.

        Например, (objectClass=person).

      • Получить пользователя: поисковой фильтр, позволяющий получать данные пользователей, которых необходимо синхронизировать.

        Например, (&(objectClass=user)(objectCategory=person)).

      Атрибуты

      • Состав: атрибут, который используется в каталоге LDAP для определения участников группы.

        Например, member.

      • Универсальный уникальный идентификатор объекта: атрибут, который используется в каталоге LDAP для определения универсального уникального идентификатора пользователя и группы.

        Например, entryUUID.

      • Различающееся имя: атрибут, который используется в каталоге LDAP для определения различающегося имени пользователя или группы.

        Например, entryDN.

      Сертификаты Если необходимо настроить получение доступа к каталогу LDAP с использованием SSL, выберите параметр Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола SSL, а затем скопируйте и вставьте сертификат SSL из корневого центра сертификации, настроенного для сервера каталога LDAP. Убедитесь, что сертификат находится в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.
      Сведения о пользователе подключения Базовое различающееся имя: введите различающееся имя, с которого будет начинаться поиск. Например, cn=users,dc=example,dc=com.
      Различающееся имя для подключения — введите имя пользователя, которое следует использовать для подключения к каталогу LDAP.
      Примечание: Рекомендуется использовать учетную запись пользователя различающегося имени для подключения с паролем без срока действия.

      Пароль для базового различающегося имени — введите пароль для пользователя с различающимся именем для подключения.

    2. б. Чтобы проверить подключение к серверу каталога LDAP, щелкните Протестировать соединение.
      Если не удастся установить подключение, проверьте введенные сведения и внесите соответствующие изменения.
    3. в. Нажмите Сохранить и Далее.
      Откроется страница, на которой указан домен.
  15. Указанный домен каталога LDAP изменить нельзя.
    Для Active Directory с протоколом LDAP указанные домены изменить нельзя.

    Для Active Directory (встроенная проверка подлинности Windows) выберите домены, которые необходимо связать с этим подключением к Active Directory.

    Примечание: В случае добавления доверенного домена после создания каталога новый доверенный домен служба автоматически не обнаруживает. Чтобы служба смогла обнаружить домен, соединитель соединитель должен отсоединиться от домена, а затем снова присоединиться к нему. После того как соединитель снова присоединится к домену, доверенный домен появится в списке.

    Нажмите кнопку Далее.

  16. Убедитесь, что имена атрибутов VMware Identity Manager сопоставлены с соответствующими атрибутами Active Directory или LDAP и при необходимости внесите изменения.
    Важно!: При интеграции каталога LDAP необходимо указать сопоставление для атрибута домена.
  17. Нажмите кнопку Далее.
  18. Выберите группы в каталоге Active Directory или LDAP, которые должны синхронизироваться с каталогом VMware Identity Manager.
    Параметр Описание
    Укажите различающиеся имена групп Чтобы выбрать группы, укажите одно или несколько различающихся имен и выберите под ними группы.
    1. а.Щелкните знак + и укажите различающееся имя группы. Например, CN=users,DC=example,DC=company,DC=com.
      Важно!: Следует указывать различающиеся имена групп, которые имеют базовое различающееся имя, введенное вами ранее. Если различающееся имя группы не соответствует базовому различающемуся имени, данные пользователей из группы с этим различающимся именем будут синхронизироваться, но сами пользователи не смогут выполнить вход.
    2. б.Щелкните Поиск групп.

      В столбце Число синхронизируемых групп указывается количество групп с заданным различающимся именем.

    3. в.Если необходимо выбрать все группы, которым назначено это различающееся имя, щелкните Выбрать все. В противном случае щелкните Выбрать и выберите конкретные группы для синхронизации.
      Примечание: Если в каталоге LDAP есть несколько групп с одинаковыми именами, в VMware Identity Manager необходимо указать для них уникальные имена. Имя можно изменить при выборе группы.
    Примечание: При синхронизации группы все пользователи, для которых группа «Пользователи домена» в Active Directory не является основной, не синхронизируются.
    Синхронизировать участников вложенных групп

    Параметр Синхронизировать участников вложенных групп включен по умолчанию. Когда этот параметр включен, все пользователи, которые принадлежат непосредственно к выбранной группе, а также к вложенным группам этой группы, синхронизируются. Обратите внимание, что синхронизируются не вложенные группы, а только пользователи, принадлежащие к ним. В каталоге VMware Identity Manager эти пользователи будут участниками родительской группы, выбранной для синхронизации.

    Если параметр Синхронизировать участников вложенных групп отключен, то при указании группы для синхронизации все пользователи, которые принадлежат непосредственно к ней, будут синхронизированы. Пользователи, которые принадлежат к вложенным группам этой группы, не синхронизируются. Отключение этого параметра может потребоваться в больших конфигурациях Active Directory, где навигация по дереву групп требует значительных объемов ресурсов и времени. Но перед тем как его отключить, убедитесь, что выбраны все группы, пользователей которых необходимо синхронизировать.

  19. Нажмите кнопку Далее.
  20. При необходимости укажите дополнительных пользователей для синхронизации.
    Так как участники группы не синхронизируются с каталогом, пока группе не будут предоставлены права на доступ к приложению или пока она не будет добавлена в правило политики доступа, добавьте всех пользователей, которым нужно пройти проверку подлинности, перед настройкой прав группы.
    1. а. Щелкните знак + и введите различающиеся имена пользователей. Например, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      Важно!: Следует указывать различающиеся имена пользователей, которые имеют базовое различающееся имя, введенное вами ранее. Если различающееся имя пользователя не соответствует базовому различающемуся имени, данные пользователей с этим различающимся именем будут синхронизироваться, но сами пользователи не смогут выполнить вход.
    2. б. (Необязательно.) Чтобы удалить пользователей, щелкните фильтр, позволяющий исключить некоторые типы пользователей.
      Вы выбираете атрибут пользователя для фильтрации, правило запроса и значение.
  21. Нажмите кнопку Далее.
  22. На этой странице можно просмотреть расписание синхронизации и узнать, сколько пользователей и групп будет синхронизироваться с каталогом.

    Чтобы внести изменения в список пользователей и групп или интервал синхронизации, щелкните ссылки Изменить.

  23. Щелкните команду Синхронизировать каталог, чтобы запустить синхронизацию каталогов.

Результаты

Примечание: Если возникнет ошибка сети и уникальное имя узла нельзя будет разрешить, используя обратный поиск DNS, процесс настройки будет остановлен. Проблемы сети необходимо исправить, а виртуальную машину перезагрузить. Затем можно продолжить развертывание. Новые сетевые настройки будут доступны только после перезагрузки виртуального устройства.

Дальнейшие действия

Дополнительные сведения о настройке средства балансировки нагрузки или конфигурации с высоким уровнем доступности см. в разделе Дополнительная конфигурация для устройства VMware Identity Manager ..