Этот тип каталога создается, если планируется подключение к среде Active Directory с одним доменом. Если используется каталог Active Directory по LDAP, соединитель связывается с Active Directory, используя простую привязку проверки подлинности.
Необходимые условия
- Составьте список групп и пользователей Active Directory для синхронизации из Active Directory.
- Убедитесь, что указаны необходимые атрибуты по умолчанию, и добавьте дополнительные атрибуты в определение атрибутов пользователя.
- Убедитесь в том, что у вас есть необходимые учетные данные пользователя для добавления каталога.
Процедура
- Щелкните элемент Управление удостоверениями и арендаторами на панели управления «Мои службы».
- Перейдите на вкладку «Управление каталогами», щелкните элемент Каталоги.
- Щелкните элемент Добавить каталог и выберите пункт Добавить Active Directory по LDAP.
- На вкладке Данные каталога:
Поля Описание Сведения о каталоге Введите действительное имя каталога. Синхронизация службы каталогов и проверка подлинности Выберите соединитель для синхронизации с Active Directory. Соединитель — это компонент службы VMware Identity Manager, который синхронизирует данные пользователей и групп между Active Directory и службой VMware Identity Manager. При использовании в качестве поставщика удостоверений он также выполняет проверку подлинности пользователей. Каждый узел устройства VMware Identity Manager по умолчанию содержит компонент соединителя. При необходимости выделенный соединитель можно также развернуть в процессе глобального горизонтального масштабирования среды.
Проверка подлинности включена Если требуется, чтобы соединитель выполнял проверку подлинности, выберите Да. Можно указать, выполняет ли выбранный соединитель проверку подлинности. Если для проверки подлинности пользователей используется сторонний поставщик удостоверений, выберите Нет.
Атрибут поиска каталогов В раскрывающемся меню выберите атрибут учетной записи, который содержит имя пользователя. Расположение сервера Установите флажок Каталог поддерживает расположение службы DNS. - Если для Active Directory требуется доступ по SSL/TLS, в разделе Сертификаты установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола STARTTLS или SSL, а также скопируйте и вставьте сертификаты контроллеров домена промежуточного (если используется) и корневого центра сертификации в текстовое поле Сертификат SSL. Сначала введите сертификат промежуточного, а затем корневого центра сертификации. Убедитесь, что каждый сертификат создан в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE. Если у контроллеров домена имеются сертификаты от нескольких промежуточных и корневых центров сертификации, введите по очереди все цепочки сертификатов промежуточного и корневого ЦС. Если для Active Directory требуется доступ по протоколу SSL/TLS, а сертификаты не предоставлены, создать каталог невозможно.
- Если использовать расположение службы DNS не требуется, убедитесь, что флажок Каталог поддерживает расположение службы DNS снят, и введите имя узла и номер порта сервера Active Directory.
Сертификаты Если для Active Directory требуется доступ по SSL/TLS, в разделе Сертификаты установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола SSL, а также скопируйте и вставьте сертификат контроллера домена промежуточного (если используется) и корневого центра сертификации в текстовом поле Сертификат SSL. Сначала введите сертификат промежуточного, а затем корневого центра сертификации. Убедитесь, что сертификат создан в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE. Если для Active Directory требуется доступ по протоколу SSL/TLS, а сертификат не предоставлен, создать каталог невозможно.
Сведения о пользователе подключения - Базовое DN — введите различающееся имя, чтобы начать поиск учетной записи. Например, OU=myUnit,DC=myCorp, DC=com. Базовое DN используется для проверки подлинности. Проверить подлинность могут только пользователи с базовым DN. DN групп и пользователей, которые будут заданы позже для синхронизации, должны соответствовать этому базовому DN.
- DN пользователя привязки — введите сведения об учетной записи. Например, CN=binduser,OU=myUnit,DC=myCorp, DC=com. Используйте учетную запись пользователя привязки с паролем без срока действия.
- Пароль привязки: нажмите кнопку Проверить подключение, чтобы убедиться, что каталог может подключиться к Active Directory.
- Нажмите кнопку Создать и перейти далее.
Для Active Directory по LDAP домены отмечаются галочкой.
- На вкладке Данные выбранного домена выберите домен и нажмите кнопку Далее.
- Чтобы сопоставить атрибут каталога с Active Directory, на вкладке Сопоставление атрибутов выберите необходимый атрибут и нажмите кнопку Сохранить и перейти далее.
- На вкладке Выбор группы укажите сведения о DN группы для синхронизации Active Directory с каталогом VMware Identity Manager и нажмите кнопку Далее.
Для синхронизации с каталогом можно также выбрать все группы Active Directory, которые уже доступны в списке.
- а. Чтобы выбрать группы, нажмите кнопку Добавить различающееся имя группы и укажите одно или несколько DN групп. Выберите под ними группы. Укажите DN групп, которые соответствуют базовому DN, введенному в текстовом поле «Базовое DN» на странице «Добавление каталога». Если DN группы не соответствует базовому DN, пользователи с таким DN будут синхронизироваться, но не смогут выполнить вход.
- б. Нажмите кнопку Найти группы. В столбце Действия указано количество групп, найденных для данного DN. Чтобы выбрать все группы с данным DN, щелкните Выбрать все или щелкните номер и выберите конкретные группы для синхронизации. При синхронизации группы все пользователи, для которых группа «Пользователи домена» в Active Directory не является основной, не синхронизируются.
- в. Выберите параметр Синхронизировать участников вложенных групп.
- На вкладке Выбор пользователя введите сведения о DN пользователя и нажмите кнопку Далее.
Администратор пакета — это пользователь в Active Directory, который выступает в качестве администратора для развернутых продуктов пакета, журналов и таблицы AD.
- Выберите параметр Синхронизировать участников вложенных групп и укажите администраторов пакета.
Если этот параметр включен, синхронизируются все пользователи, которые принадлежат как непосредственно к выбранной группе, так и к ее вложенным группам, если группа имеет на это право. Обратите внимание, что синхронизируются не вложенные группы, а только пользователи, принадлежащие к ним. В каталоге VMware Identity Manager эти пользователи станут членами родительской группы, которая выбрана для синхронизации. Если параметр «Синхронизировать участников вложенных групп» отключен, то при выборе группы для синхронизации синхронизируются все пользователи, которые принадлежат непосредственно к ней. Пользователи, которые принадлежат к вложенным группам этой группы, не синхронизируются. Отключение этого параметра полезно для больших конфигураций Active Directory, где навигация по дереву групп требует значительных ресурсов и времени. Но перед тем как его отключить, убедитесь, что выбраны все группы, пользователей которых необходимо синхронизировать.
- Нажмите кнопку Сохранить и перейти далее. На странице Выбор пользователя нажмите кнопку Добавить пользователя и укажите DN пользователей, которых нужно синхронизировать. Укажите DN пользователей, соответствующие базовому DN, введенному в текстовом поле «Базовое DN» на странице «Добавление каталога». Если DN пользователя не соответствует базовому DN, пользователи с таким DN будут синхронизироваться, но не смогут выполнить вход. Нажмите кнопку Сохранить и перейти далее.
- Просмотрите вкладку Пробное выполнение, прочитайте сводку и нажмите кнопку Синхронизировать и завершить, чтобы начать синхронизацию с каталогом. Будет установлено подключение к Active Directory, а имена пользователей и групп из Active Directory синхронизируются с каталогом VMware Identity Manager.
- Нажмите кнопку Отправить.
- Чтобы изменить, щелкните значок Изменить определенного каталога Active Directory в списке. Любые дополненные сведения добавляются в конфигурацию в VMware Identity Manager. Однако если в процессе редактирования что-либо удаляется, то конфигурация удаляется только из иерархии vRealize Suite Lifecycle Manager, но не из VMware Identity Manager.
- Для удаления щелкните значок Удалить определенного каталога Active Directory в списке. При удалении каталог Active Directory удаляется только из иерархии vRealize Suite Lifecycle Manager, но не из VMware Identity Manager.