Вы можете настроить ссылку Active Directory по LDAP/IWA для выполнения проверки подлинности пользователя с помощью функции Directories Management путем определения ссылки на Active Directory для выполнения проверки подлинности пользователей всех арендаторов, а также выбора пользователей и групп для синхронизации с каталогом Directories Management.

Об этой задаче

Сведения и инструкции относительно использования OpenLDAP со службой управления каталогами см. в разделе Настройка подключения к каталогу OpenLDAP.

Необходимые условия

  • Соединитель Соединитель установлен, и код активации активирован.

  • На странице «Атрибуты пользователя» выберите обязательные атрибуты по умолчанию и добавьте дополнительные атрибуты. См. раздел Выбор атрибутов для синхронизации с каталогом.

  • Список групп и пользователей Active Directory, которые нужно синхронизировать из Active Directory.

  • Для подключения к Active Directory по протоколу LDAP необходимо указать такую информацию, как базовое имя домена, имя домена привязки и пароль имени домена привязки.

  • Для встроенной проверки подлинности Windows в Active Directory необходимо указать такую информацию, как адрес и пароль UPN пользователя привязки домена.

  • Если доступ к Active Directory устанавливается по SSL, необходима копия сертификата SSL.

  • Для Active Directory (встроенная проверка подлинности Windows), если у вас есть настроенная служба Active Directory в нескольких лесах и локальная группа домена содержит участников из доменов в различных лесах, убедитесь, что пользователь привязки добавлен в группу администраторов домена, в котором находится локальная группа домена. Если этого не сделать, данных участников не будет в локальной группе домена.

  • Войдите в консоль vRealize Automation в качестве администратора арендатора.

Процедура

  1. Выберите Администрирование > Управление каталогами > Каталоги.
  2. Щелкните элемент Добавить каталог и выберите пункт Добавить Active Directory по LDAP/IWA.
  3. На странице «Добавить каталог» укажите IP-адрес для сервера Active Directory в текстовом поле Имя каталога.
  4. Выберите соответствующий коммуникационный протокол Active Directory с помощью переключателей под текстовым полем Имя каталога.

    Параметр

    Описание

    проверка подлинности Windows

    Выберите Active Directory (встроенная проверка подлинности Windows)

    LDAP

    Выберите Active Directory по LDAP.

  5. Настройте соединитель, синхронизирующий пользователей Active Directory с каталогом VMware Directories Management в разделе «Синхронизация каталогов и проверка подлинности».

    Параметр

    Описание

    Соединитель синхронизации

    Выберите соответствующий соединитель для использования в системе. Каждое устройство vRealize Automation содержит соединитель по умолчанию. Если вам требуется помощь при выборе соединителя, обратитесь к системному администратору.

    Проверка подлинности

    Нажмите соответствующий переключатель, чтобы обозначить, выполняет ли выбранный соединитель проверку подлинности.

    Атрибут поиска каталогов

    Выберите соответствующий атрибут учетной записи, который содержит имя пользователя. VMware рекомендует использовать атрибут sAMAccount вместо атрибута userPrincipleName. Если для операций синхронизации используется атрибут userPrincipleName, то при интеграции со сторонним программным обеспечением, для которой требуется указать имя пользователя, могут возникать ошибки.

    Примечание:

    Если при работе с глобальным каталогом, который указан путем установки флажка Этот каталог содержит глобальный каталог в области «Расположение сервера», выбран атрибут sAMAccountName, то пользователи не смогут выполнить вход в систему.

  6. Введите соответствующую информацию в текстовом поле «Расположение сервера», если выбран протокол Active Directory по LDAP, или в текстовом поле «Сведения о присоединении к домену», если выбран протокол Active Directory (встроенная проверка подлинности Windows)

    Параметр

    Описание

    Поле «Расположение сервера» отображается, когда выбран параметр «Active Directory по LDAP»

    • Если необходимо использовать функцию поиска места расположения службы DNS для размещения доменов Active Directory, установите флажок Этот каталог поддерживает расположение службы DNS.

    • Если указанная служба Active Directory не использует функцию поиска места расположения службы DNS, снимите флажок рядом с полем Этот каталог поддерживает расположение службы DNS в поле «Расположение сервера» и введите имя узла сервера Active Directory, а также номер порта в соответствующих текстовых полях.

      Установите флажок Этот каталог содержит глобальный каталог, если связанный экземпляр Active Directory использует глобальный каталог. Глобальный каталог содержит представление всех объектов в каждом из доменов в лесу доменов Active Directory.

    • Если для Active Directory требуется доступ по SSL, установите флажок Этому каталогу требуются все подключения для использования SSL под заголовком «Сертификаты» и предоставьте сертификат SSL для Active Directory.

    Поле «Сведения о присоединении к домену» отображается, когда выбран параметр «Active Directory (встроенная проверка подлинности Windows)»

    Введите соответствующие учетные данные в текстовых полях Имя домена, Имя администратора домена и Пароль администратора домена.

  7. В разделе «Сведения о привязке пользователя» введите соответствующие учетные данные, чтобы упростить синхронизацию каталогов.

    Для Active Directory по LDAP:

    Параметр

    Описание

    Базовое имя домена

    Введите базовое различающееся имя для поиска пользователя. Например, cn=users,dc=corp,dc=local.

    Имя домена привязки

    Введите различающееся имя для привязки. Например, cn=fritz infra,cn=users,dc=corp,dc=local

    Для Active Directory (встроенная проверка подлинности Windows):

    Параметр

    Описание

    Имя UPN пользователя привязки домена

    Введите имя участника-пользователя для пользователя, который может выполнить проверку подлинности домена. Например, UserName@example.com.

    Пароль имени домена привязки

    Введите пароль пользователя привязки.

  8. Щелкните Проверить подключение, чтобы проверить подключение к настроенному каталогу.

    Эта кнопка не появляется, если выбрана опция «Active Directory (встроенная проверка подлинности Windows)».

  9. Нажмите Сохранить и Далее.

    Появляется страница «Выбрать домены» со списком доменов.

  10. Просмотрите и обновите домены, перечисленные для подключения Active Directory.
    • Для Active Directory (встроенная проверка подлинности Windows) выберите домены, которые необходимо связать с этим подключением к Active Directory.

    • Доступный домен для Active Directory по LDAP отмечен галочкой.

      Примечание:

      В случае добавления доверенного домена после создания каталога новый доверенный домен служба автоматически не обнаруживает. Чтобы служба смогла обнаружить домен, соединитель соединитель должен отсоединиться от домена, а затем снова присоединиться к нему. После того как соединитель снова присоединится к домену, доверенный домен появится в списке.

  11. Щелкните Далее.
  12. Убедитесь, что имена атрибутов каталога Directories Management сопоставляются с нужными атрибутами Active Directory.

    Если имена атрибутов каталога отображаются неправильно, выберите нужный атрибут Active Directory в раскрывающемся меню.

  13. Нажмите кнопку Далее.
  14. Щелкните Добавить, чтобы выбрать группы, которые должны синхронизироваться из Active Directory с каталогом.

    Если при добавлении группы из Active Directory ее участников нет в списке пользователей, они будут добавлены. При синхронизации группы все пользователи, для которых группа «Пользователи домена» в Active Directory не является основной, не синхронизируются.

    Примечание:

    Система проверки подлинности пользователей Directories Management импортирует данные из Active Directory при добавлении групп и пользователей, при этом быстродействие системы ограничивается возможностями Active Directory. В результате операции импорта могут продолжаться очень долго в зависимости от количества добавляемых пользователей и групп. Для уменьшения вероятности появления задержек или проблем сократите количество групп и пользователей и выберите только те из них, которые требуются для работы системы vRealize Automation.

    При уменьшении производительности системы или возникновении ошибок закройте все ненужные приложения и убедитесь, что для службы Active Directory в системе выделен соответствующий объем памяти. Если проблема не исчезает, увеличьте соответствующим образом объем памяти, выделенной для Active Directory. Для систем с большим количеством пользователей и групп может понадобиться увеличить объем памяти, выделенной Active Directory, до 24 ГБ.

  15. Щелкните Далее.
  16. Щелкните Добавить, чтобы добавить дополнительных пользователей. Например, введите CN-username,CN=Users,OU-myUnit,DC=myCorp,DC=com.

    Для исключения пользователей щелкните Добавить, чтобы создать фильтр для исключения некоторых типов пользователей. Вы выбираете атрибут пользователя для фильтрации, правило запроса и значение.

  17. Щелкните Далее.
  18. Посмотрите на странице, сколько пользователей и групп синхронизируются с каталогом.

    Если нужно изменить пользователей и группы, щелкните ссылки «Изменить».

    Примечание:

    Необходимо указать различающиеся имена пользователей, которые включены в базовое различающееся имя, заданное ранее. Если различающееся имя пользователя не соответствует базовому различающемуся имени, данные пользователей с этим различающимся именем будут синхронизироваться, но сами пользователи не смогут выполнить вход.

  19. Щелкните Отправить в Workspace, чтобы начать синхронизацию с каталогом.

Результат

Подключение к Active Directory установлено, а выбранные пользователи и группы добавлены в каталог. Теперь можно назначить пользователям и группам соответствующие роли vRealize Automation, выбрав Администрирование > Пользователи и группы > Пользователи и группы каталога. Дополнительные сведения см. в разделе Назначение ролей пользователям или группам.

Дальнейшие действия

Если среда vRealize Automation настроена для обеспечения высокой доступности, необходимо специально настроить управление каталогами для обеспечения высокой доступности. См. раздел Настройка службы управления каталогами для обеспечения высокой доступности.

  • Настройте методы проверки подлинности. После синхронизации пользователей и групп с каталогом, если для проверки подлинности также используется соединитель, в нем можно настроить дополнительные методы проверки подлинности. Если поставщиком удостоверений для проверки подлинности является сторонняя организация, настройте этого поставщика в соединителе.

  • Проанализируйте политику доступа по умолчанию. Политика доступа по умолчанию настроена так, чтобы все устройства во всех сетевых диапазонах могли получать доступ к веб-браузеру с заданным временем ожидания сеанса (восемь часов) или получать доступ к клиентскому приложению с временем ожидания сеанса 2160 часов (или 90 дней). Политику доступа по умолчанию можно изменить, а при добавлении веб-приложений в каталог можно создать новые политики доступа.

  • Примените пользовательскую фирменную символику на консоли администрирования, на страницах пользовательского портала и на экране входа в систему.