Этот тип каталога создается в том случае, если планируется подключение к среде Active Directory с несколькими доменами. Соединитель связывается с Active Directory с использованием встроенной проверки подлинности Windows.
Необходимые условия
Убедитесь в том, что у вас есть необходимые учетные данные пользователя для добавления каталога.
Процедура
- Щелкните элемент Управление удостоверениями и арендаторами на панели управления «Мои службы».
- Перейдите на вкладку «Управление каталогами», щелкните элемент Каталоги.
- Щелкните элемент Добавить каталог и выберите пункт Добавить Active Directory по IWA.
- На вкладке Данные каталога:
Поля Описание Сведения о каталоге Введите действительное имя каталога. Синхронизация службы каталогов и проверка подлинности Выберите соединитель для синхронизации с Active Directory. Соединитель — это компонент службы VMware Identity Manager, который синхронизирует данные пользователей и групп между Active Directory и службой VMware Identity Manager. Он позволяет выполнить аутентификацию пользователей. Каждый узел устройства VMware Identity Manager по умолчанию содержит компонент соединителя. При необходимости выделенный соединитель можно также развернуть в процессе глобального горизонтального масштабирования среды. Проверка подлинности включена Можно указать, выполняет ли выбранный соединитель проверку подлинности. Если для проверки подлинности пользователей используется сторонний поставщик удостоверений, выберите Нет.
Атрибут поиска каталогов В раскрывающемся меню выберите атрибут поиска. Сертификаты - Если для Active Directory требуется доступ по SSL/TLS, в разделе Сертификаты установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола STARTTLS, а также скопируйте и вставьте сертификаты контроллеров доменов промежуточного (если используется) и корневого центра сертификации в текстовом поле Сертификат SSL. Сначала введите сертификат промежуточного, а затем корневого центра сертификации. Убедитесь, что каждый сертификат создан в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE. Если у контроллеров доменов имеются сертификаты от нескольких промежуточных и корневых центров сертификации, введите по очереди все цепочки сертификатов промежуточных и корневых ЦС. Если для Active Directory требуется доступ по протоколу SSL/TLS, а сертификаты не предоставлены, создать каталог невозможно.
Сведения о присоединении к домену Введите имя домена, имя администратора и пароль домена. Сведения о пользователе подключения - Введите имя пользователя привязки и пароль привязки пользователя привязки, у которого есть разрешение на запрос пользователей и групп для нужного домена. Введите имя пользователя в формате sAMAccountName@domain, где domain — это полное доменное имя. Используйте учетную запись пользователя привязки с паролем без срока действия.
- Нажмите кнопку Создать и перейти далее.
Можно выбрать домены, связанные с подключением к Active Directory.
- На вкладке Данные выбранного домена выберите домен и нажмите кнопку Отправить и перейти далее.
Active Directory с IWA также заполняет список доменов, которые при необходимости можно выбирать или изменять.
- Чтобы проверить, что имена атрибутов каталога VMware Identity Manager сопоставляются с правильными атрибутами Active Directory, на вкладке Сопоставление атрибутов выберите необходимый атрибут и нажмите кнопку Отправить и перейти далее.
- На вкладке Выбор группы введите сведения о DN группы и нажмите кнопку Далее.
Чтобы выбрать группы, нажмите кнопку Добавить различающееся имя группы, укажите одно или несколько DN групп и выберите под ними группы. Укажите DN групп, которые соответствуют базовому DN, введенному в текстовом поле «Базовое DN» в разделе «Добавление каталога». Если DN группы не соответствует базовому DN, пользователи с таким DN будут синхронизироваться, но вход будет невозможен.
При синхронизации группы все пользователи, для которых группа «Пользователи домена» в Active Directory не является основной, не синхронизируются.
- а. Выберите параметр Синхронизировать участников вложенных групп.
- На вкладке Выбор пользователя введите сведения о DN пользователя и нажмите кнопку Далее.
Примечание: Если этот параметр включен, синхронизируются все пользователи, которые принадлежат как непосредственно к выбранной группе, так и к ее вложенным группам, если группа имеет соответствующее разрешение. Обратите внимание, что синхронизируются не вложенные группы, а только пользователи, принадлежащие к ним. В каталоге VMware Identity Manager эти пользователи становятся членами родительской группы, которая выбрана для синхронизации. Если параметр Синхронизировать участников вложенных групп отключен, то при выборе группы для синхронизации синхронизируются все пользователи, которые принадлежат непосредственно к ней. Пользователи, которые принадлежат к вложенным группам этой группы, не синхронизируются. Отключение этого параметра полезно для больших конфигураций Active Directory, где навигация по дереву групп требует значительных ресурсов и времени. Но перед тем как его отключить, убедитесь, что выбраны все группы, пользователей которых необходимо синхронизировать.Администратор пакета — это пользователь в Active Directory, который выступает в качестве администратора для развернутых продуктов пакета, журналов и таблицы AD.
- На вкладке Пробное выполнение прочитайте сводку.
- Нажмите кнопку Синхронизировать и завершить, чтобы начать синхронизацию с каталогом. Будет установлено подключение к Active Directory, а имена пользователей и групп из Active Directory синхронизируются с каталогом VMware Identity Manager.
- Нажмите кнопку Отправить.
- Чтобы изменить, щелкните значок Изменить определенного каталога Active Directory в списке. Любые дополненные сведения добавляются в конфигурацию в VMware Identity Manager. Однако если в процессе редактирования что-либо удаляется, то удалить конфигурацию можно только из иерархии vRealize Suite Lifecycle Manager, но не из VMware Identity Manager.
- Для удаления щелкните значок Удалить определенного каталога Active Directory в списке. Удалить каталог Active Directory можно только из иерархии vRealize Suite Lifecycle Manager, но не из VMware Identity Manager.