Необходимо интегрировать корпоративный каталог с VMware Identity Manager для синхронизации пользователей и групп из корпоративного каталога со службойVMware Identity Manager.

Поддерживаются следующие типы каталогов.

  • Active Directory с протоколом LDAP
  • Active Directory, встроенный механизм проверки подлинности Windows.
  • Каталог LDAP.

Необходимые условия

  • Ознакомьтесь с требованиями и ограничениями в документе Интеграция каталога с VMware Identity Manager.
  • Доступны сведения о каталоге LDAP или Active Directory.
  • Если настроены несколько лесов Active Directory, а в локальной группе домена есть участники, принадлежащие к доменам в разных лесах, пользователя с различающимся имением для подключения, указанного на странице каталога VMware Identity Manager, необходимо добавить​в группу администраторов домена, к которому относится локальная группа. Если не сделать этого, эти участники не будут входить в локальную группу домена.
    Примечание: Служба VMware Identity Manager должна быть настроена на запуск от имени пользователя домена Windows для использования Active Directory с несколькими лесами.
  • Составлен список пользовательских атрибутов, которые нужно использовать в качестве фильтров, а также список групп для добавления в VMware Identity Manager.

Процедура

  1. Войдите в консоль VMware Identity Manager, используя учетную запись Администратор и заданный пароль.
    Выполнен вход в систему в качестве локального администратора. Отобразится страница «Каталоги». Прежде чем добавить каталог, ознакомьтесь с требованиями и ограничениями в документе Интеграция каталога с VMware Identity Manager.
  2. Откройте вкладку Управление учетными данными и доступом.
  3. Щелкните Настройка > Атрибуты пользователя, чтобы выбрать атрибуты для синхронизации с каталогом.
    Атрибуты по умолчанию будут перечислены в списке, в котором можно выбрать обязательные. Если отметить атрибут в качестве обязательного, только пользователи с этим атрибутом будут синхронизироваться со службой. Кроме того, можно добавить другие атрибуты.
    Важно!: После создания каталога атрибут уже нельзя сделать обязательным. Такие атрибуты необходимо выбрать сейчас.

    Обратите внимание, что параметры на странице «Атрибуты пользователя» применяются ко всем каталогам службы. Прежде чем отметить атрибут в качестве обязательного, оцените его влияние на другие каталоги. Если отметить атрибут в качестве обязательного, пользователи без этого атрибута не будут синхронизироваться со службой.

    Важно!: Если планируется синхронизировать ресурсы XenApp с VMware Identity Manager, необходимо сделать distinguishedName обязательным атрибутом.
  4. Нажмите кнопку Сохранить.
  5. Откройте вкладку Управление учетными данными и доступом.
  6. На странице «Каталоги» щелкните Добавить каталог и выберите команду Добавить каталог Active Directory с помощью LDAP или IWA или Добавить каталог LDAP в зависимости от типа интегрируемого каталога.
    Кроме того, можно создать в службе локальный каталог. Дополнительные сведения об использовании локальных каталогов см. в руководстве по администрированию VMware Identity Manager.
  7. При использовании Active Directory выполните следующие шаги.
    1. а. Введите имя каталога, создаваемого в VMware Identity Manager, а затем его тип (Active Directory с протоколом LDAP или Active Directory (встроенная проверка подлинности Windows)).
    2. б. Предоставьте сведения о подключении.
      Параметр Описание
      Active Directory с протоколом LDAP
      1. В поле Синхронизируйте соединитель выберите соединитель, который необходимо использовать для синхронизации пользователей и групп Active Directory с каталогом VMware Identity Manager.

        Компонент соединителя всегда доступен в службе VMware Identity Manager по умолчанию. Этот соединитель отображается в раскрывающемся меню. Если для высокой доступности установлены несколько устройств VMware Identity Manager, компонент соединителя каждого из них будет в этом списке.

      2. В текстовом поле Проверка подлинности выберите значение Да, если необходимо использовать этот каталог Active Directory, чтобы проверять подлинность пользователей.

        Если для проверки подлинности пользователей необходимо применять сторонний поставщик удостоверений, выберите значение Нет. После настройки подключения Active Directory для синхронизации пользователей и групп перейдите на страницу Управление учетными данными и доступом > Управление > Поставщики удостоверений, чтобы добавить сторонний поставщик удостоверений для проверки подлинности.

      3. В текстовом поле Атрибут поиска каталогов выберите атрибут учетной записи, который содержит имя пользователя.
      4. Если в Active Directory используется поиск данных о расположении служб DNS, выберите приведенные ниже параметры.
        • В разделе Расположение сервера установите флажок Данный каталог поддерживает поиск размещения службы DNS.
        • Если для Active Directory требуется шифрование STARTTLS, в разделе Сертификаты установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола SSL, а также скопируйте и вставьте сертификат корневого центра сертификации Active Directory в текстовом поле Сертификат SSL.

          Убедитесь, что сертификат находится в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.

          Примечание: Если для Active Directory требуется протокол STARTTLS, а сертификат не предоставлен, создать каталог невозможно.
      5. Если в Active Directory не используется поиск данных о расположении служб DNS, выберите приведенные ниже параметры.
        • Убедитесь, что в разделе Расположение сервера не установлен флажок Данный каталог поддерживает поиск размещения службы DNS, и введите имя узла сервера и номер порта Active Directory.

          Чтобы настроить каталог в качестве глобального каталога, изучите раздел о средах с одним лесом Active Directory и несколькими доменами в главе «Среды Active Directory» документа Интеграция каталога с VMware Identity Manager.

        • Если для Active Directory требуется доступ по протоколу SSL, в разделе Сертификаты установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола SSL, а также скопируйте и вставьте сертификат корневого центра сертификации Active Directory в текстовом поле Сертификат SSL.

          Убедитесь, что сертификат находится в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.

          Примечание: Если для Active Directory требуется протокол SSL, а сертификат не предоставлен, создать каталог невозможно.
      6. В разделе Разрешить изменение паролей выберите параметр Включить функцию изменения паролей, если необходимо разрешить пользователям сбрасывать свои пароли на странице входа в VMware Identity Manager, когда срок действия пароля истечет или если администратор Active Directory сбросит пароль пользователя.
      7. В текстовом поле Базовое различающееся имя введите различающееся имя, с которого будет начинаться поиск учетных записей. Например, OU=myUnit, DC=myCorp, DC=com.
      8. В текстовом поле Различающееся имя для подключения введите учетную запись с правом поиска пользователей. Например, CN=binduser,OU=myUnit,DC=myCorp,DC=com.
        Примечание: Рекомендуется использовать учетную запись пользователя с привязкой DN и паролем без срока действия.
      9. После ввода пароля подключения щелкните Протестировать соединение, чтобы проверить, может ли каталог подключиться к Active Directory.
      Active Directory (встроенная проверка подлинности Windows)
      1. В поле Синхронизируйте соединитель выберите соединитель, который необходимо использовать для синхронизации пользователей и групп Active Directory с каталогом VMware Identity Manager.

        Компонент соединителя всегда доступен в службе VMware Identity Manager по умолчанию. Этот соединитель отображается в раскрывающемся списке. Если для высокой доступности установлены несколько устройств VMware Identity Manager, компонент соединителя каждого из них будет в этом списке.

      2. Если необходимо использовать этот каталог Active Directory для проверки подлинности пользователей, в текстовом поле Проверка подлинности выберите значение Да.

        Если для проверки подлинности пользователей необходимо применять сторонний поставщик удостоверений, выберите значение Нет. После настройки подключения Active Directory для синхронизации пользователей и групп перейдите на страницу Управление учетными данными и доступом > Управление > Поставщики удостоверений, чтобы добавить сторонний поставщик удостоверений для проверки подлинности.

      3. В текстовом поле Атрибут поиска каталогов выберите атрибут учетной записи, который содержит имя пользователя.
      4. Если для Active Directory требуется шифрование STARTTLS, в разделе Сертификаты установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола STARTTLS, а также скопируйте и вставьте сертификат корневого центра сертификации Active Directory в текстовом поле Сертификат SSL.

        Убедитесь, что сертификат находится в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.

        Если в каталоге несколько доменов, добавьте сертификаты корневого центра сертификации для всех доменов по отдельности.

        Примечание: Если для Active Directory требуется протокол STARTTLS, а сертификат не предоставлен, создать каталог невозможно.
      5. В разделе Разрешить изменение паролей выберите параметр Включить функцию изменения паролей, если необходимо разрешить пользователям сбрасывать свои пароли на странице входа в VMware Identity Manager, когда срок действия пароля истечет или если администратор Active Directory сбросит пароль пользователя.
      6. Заполните поле Имя участника-пользователя подключения для пользователя, который может выполнять проверку подлинности в домене. Например, имя_пользователя@example.com.
        Примечание: Рекомендуется использовать учетную запись пользователя с привязкой DN и паролем без срока действия.
      7. Введите пароль пользователя с различающимся именем для подключения.
    3. в. Нажмите Сохранить и Далее.
      Откроется страница со списком доменов.
  8. При использовании каталогов LDAP выполните следующие шаги.
    1. а. Предоставьте сведения о подключении.
      Параметр Описание
      Имя каталога Имя для каталога, создаваемого в VMware Identity Manager.
      Синхронизация службы каталогов и проверка подлинности
      1. В текстовом поле Синхронизируйте соединитель выберите соединитель, который необходимо использовать для синхронизации пользователей и групп каталога LDAP с каталогом VMware Identity Manager.

        Компонент соединителя всегда доступен в службе VMware Identity Manager по умолчанию. Этот соединитель отображается в раскрывающемся списке. Если для высокой доступности установлены несколько устройств VMware Identity Manager, компонент соединителя каждого из них будет в этом списке.

        В отдельном соединителе для каталога LDAP нет необходимости. Соединитель может поддерживать несколько каталогов, будь то каталоги Active Directory или LDAP.

      2. В текстовом поле Проверка подлинности выберите значение Да, если необходимо использовать этот каталог LDAP, чтобы проверять подлинность пользователей.

        Если для проверки подлинности пользователей необходимо применять сторонний поставщик удостоверений, выберите Нет. После подключения к каталогу для синхронизации пользователей и групп перейдите на страницу Управление учетными данными и доступом > Управление > Поставщики удостоверений, чтобы добавить сторонний поставщик удостоверений для проверки подлинности.

      3. В текстовом поле Атрибут поиска каталога укажите атрибут каталога LDAP, который будет использоваться в качестве имени пользователя. Если необходимого атрибута нет в списке, выберите параметр Пользовательский и введите имя атрибута. Например, cn.
      Расположение сервера Введите имя узла и номер порта узла сервера каталога LDAP. В качестве узла сервера можно указать полное доменное имя или IP-адрес. Например, myLDAPserver.example.com или 100.00.00.0.

      При наличии серверного кластера за средством балансировки нагрузки введите вместо этого сведения о средстве балансировки нагрузки.

      Настройка LDAP Укажите фильтры и атрибуты поиска LDAP, которые VMware Identity Manager следует использовать для создания запроса каталога LDAP. Значения по умолчанию указываются, исходя из данных основной схемы LDAP.

      Запросы LDAP

      • Получить группы: поисковой фильтр для получения объектов группы.

        Например, (objectClass=group).

      • Получить пользователя подключения: фильтр поиска для получения объекта пользователя подключения, то есть пользователя, который может подключаться к каталогу.

        Например, (objectClass=person).

      • Получить пользователя: поисковой фильтр, позволяющий получать данные пользователей, которых необходимо синхронизировать.

        Например, (&(objectClass=user)(objectCategory=person)).

      Атрибуты

      • Состав: атрибут, который используется в каталоге LDAP для определения участников группы.

        Например, member.

      • Универсальный уникальный идентификатор объекта: атрибут, который используется в каталоге LDAP для определения универсального уникального идентификатора пользователя и группы.

        Например, entryUUID.

      • Различающееся имя: атрибут, который используется в каталоге LDAP для определения различающегося имени пользователя или группы.

        Например, entryDN.

      Сертификаты Если необходимо настроить получение доступа к каталогу LDAP с использованием SSL, выберите параметр Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола SSL, а затем скопируйте и вставьте сертификат SSL из корневого центра сертификации, настроенного для сервера каталога LDAP. Убедитесь, что сертификат находится в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.
      Сведения о пользователе подключения Базовое различающееся имя: введите различающееся имя, с которого будет начинаться поиск. Например, cn=users,dc=example,dc=com.
      Различающееся имя для подключения — введите имя пользователя, которое следует использовать для подключения к каталогу LDAP.
      Примечание: Рекомендуется использовать учетную запись пользователя с привязкой DN и паролем без срока действия.

      Пароль для базового различающегося имени — введите пароль для пользователя с различающимся именем для подключения.

    2. б. Чтобы проверить подключение к серверу каталога LDAP, щелкните Протестировать соединение.
      Если не удастся установить подключение, проверьте введенные сведения и внесите соответствующие изменения.
    3. в. Нажмите Сохранить и Далее.
      Откроется страница, на которой указан домен.
  9. Указанный домен каталога LDAP изменить нельзя.
    Для Active Directory с протоколом LDAP указанные домены изменить нельзя.

    Для Active Directory (встроенная проверка подлинности Windows) выберите домены, которые необходимо связать с этим подключением к Active Directory.

    Примечание: В случае добавления доверенного домена после создания каталога новый доверенный домен служба автоматически не обнаруживает. Чтобы служба смогла обнаружить домен, соединитель соединитель должен отсоединиться от домена, а затем снова присоединиться к нему. После того как соединитель снова присоединится к домену, доверенный домен появится в списке.

    Нажмите кнопку Далее.

  10. Убедитесь, что имена атрибутов VMware Identity Manager сопоставлены с соответствующими атрибутами Active Directory или LDAP и при необходимости внесите изменения.
    Важно!: При интеграции каталога LDAP необходимо указать сопоставление для атрибута домена.
  11. Нажмите кнопку Далее.
  12. Выберите группы в каталоге Active Directory или LDAP, которые должны синхронизироваться с каталогом VMware Identity Manager.
    Параметр Описание
    Укажите различающиеся имена групп Чтобы выбрать группы, укажите одно или несколько различающихся имен и выберите под ними группы.
    1. а.Щелкните знак + и укажите различающееся имя группы. Например, CN=users,DC=example,DC=company,DC=com.
      Важно!: Следует указывать различающиеся имена групп, которые имеют базовое различающееся имя, введенное вами ранее. Если различающееся имя группы не соответствует базовому различающемуся имени, данные пользователей из группы с этим различающимся именем будут синхронизироваться, но сами пользователи не смогут выполнить вход.
    2. б.Щелкните Поиск групп.

      В столбце Число синхронизируемых групп указывается количество групп с заданным различающимся именем.

    3. в.Если необходимо выбрать все группы, которым назначено это различающееся имя, щелкните Выбрать все. В противном случае щелкните Выбрать и выберите конкретные группы для синхронизации.
      Примечание: Если в каталоге LDAP есть несколько групп с одинаковыми именами, в VMware Identity Manager необходимо указать для них уникальные имена. Имя можно изменить при выборе группы.
    Примечание: При синхронизации группы все пользователи, для которых группа «Пользователи домена» в Active Directory не является основной, не синхронизируются.
    Синхронизировать участников вложенных групп

    Параметр Синхронизировать участников вложенных групп включен по умолчанию. Когда этот параметр включен, все пользователи, которые принадлежат непосредственно к выбранной группе, а также к вложенным группам этой группы, синхронизируются. Обратите внимание, что синхронизируются не вложенные группы, а только пользователи, принадлежащие к ним. В каталоге VMware Identity Manager эти пользователи будут участниками родительской группы, выбранной для синхронизации.

    Если параметр Синхронизировать участников вложенных групп отключен, то при указании группы для синхронизации все пользователи, которые принадлежат непосредственно к ней, будут синхронизированы. Пользователи, которые принадлежат к вложенным группам этой группы, не синхронизируются. Отключение этого параметра может потребоваться в больших конфигурациях Active Directory, где навигация по дереву групп требует значительных объемов ресурсов и времени. Но перед тем как его отключить, убедитесь, что выбраны все группы, пользователей которых необходимо синхронизировать.

  13. Нажмите кнопку Далее.
  14. При необходимости укажите дополнительных пользователей для синхронизации.
    1. а. Щелкните знак + и введите различающиеся имена пользователей. Например, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      Важно!: Следует указывать различающиеся имена пользователей, которые имеют базовое различающееся имя, введенное вами ранее. Если различающееся имя пользователя не соответствует базовому различающемуся имени, пользователи с этим различающимся именем будут синхронизироваться, но не смогут войти.
    2. б. (Необязательно.) Чтобы удалить пользователей, щелкните фильтр, позволяющий исключить некоторые типы пользователей.
      Вы выбираете атрибут пользователя для фильтрации, правило запроса и значение.
  15. Нажмите кнопку Далее.
  16. На этой странице можно просмотреть расписание синхронизации и узнать, сколько пользователей и групп будет синхронизироваться с каталогом.

    Чтобы внести изменения в список пользователей и групп или интервал синхронизации, щелкните ссылки Изменить.

  17. Щелкните команду Синхронизировать каталог, чтобы запустить синхронизацию каталогов.

Результаты

Примечание: Если возникнет ошибка сети и уникальное имя узла нельзя будет разрешить, используя обратный поиск DNS, процесс настройки будет остановлен. Проблемы сети необходимо исправить, а виртуальную машину перезагрузить. Затем можно продолжить развертывание. Новые сетевые настройки будут доступны только после перезагрузки виртуального устройства.

Дальнейшие действия

Дополнительные сведения о настройке средства балансировки нагрузки или конфигурации с высоким уровнем доступности см. в разделе Развертывание компьютера VMware Identity Manager , защищенного подсистемой балансировки нагрузки.

Для приложений организации можно настроить каталог ресурсов, а затем предоставить пользователям доступ к этим ресурсам. Кроме того, можно настроить другие ресурсы, в том числе View, ThinApp и приложения Citrix. См. раздел Настройка ресурсов в VMware Identity Manager.