Настроить подключение к каталогу OpenLDAP можно с помощью службы управления каталогами.
Несмотря на то что существует несколько разных протоколов LDAP, только протокол OpenLDAP был протестирован и утвержден для использования службой управления каталогами vRealize Automation.
Для интеграции каталога LDAP необходимо создать соответствующий каталог Directories Management и синхронизировать пользователей и группы из каталога LDAP с каталогом Directories Management. Для последующих обновлений можно настроить регулярное расписание синхронизации.
Кроме того, следует выбрать атрибуты LDAP, которые нужно синхронизировать для пользователей, и сопоставить их с атрибутами Directories Management.
Конфигурация каталогов LDAP может быть настроена на основе схем по умолчанию или пользовательских схем. Можно также определить пользовательские атрибуты. Чтобы дать Directories Management возможность запрашивать каталог LDAP и получать объекты пользователей или групп, необходимо указать поисковые фильтры и имена атрибутов LDAP, применимых к каталогу LDAP.
В частности, необходимо указать следующие сведения.
- Поисковые фильтры LDAP для получения групп и пользователей, а также пользователя подключения.
- Имена атрибутов LDAP для членства в группе, идентификатора UUID и различающегося имени
Необходимые условия
- Проверьте конфигурацию на странице атрибутов пользователя и добавьте дополнительные атрибуты, которые нужно синхронизировать. При создании каталога атрибуты Directories Management будут сопоставлены с каталогом LDAP. Эти атрибуты будут синхронизированы для пользователей в каталоге.
Примечание: При изменении атрибутов пользователя учтите влияние на другие каталоги в службе. Если планируется добавить каталоги Active Directory и LDAP, не отмечайте никакие атрибуты в качестве обязательных (кроме userName). Параметры на странице «Атрибуты пользователя» применяются ко всем каталогам службы. Если атрибут обозначен как обязательный, пользователи без этого атрибута не будут синхронизироваться со службой Directories Management.
- Учетная запись пользователя с различающимся именем для подключения. Рекомендуется использовать учетную запись пользователя различающегося имени для подключения с паролем без срока действия.
- В каталоге LDAP универсальный уникальный идентификатор объекта пользователей и групп должен быть указан в текстовом формате.
- В каталоге LDAP для всех пользователей и групп должен быть указан атрибут domain.
Этот атрибут сопоставляется с атрибутом domain в Directories Management при создании каталога Directories Management.
- В именах пользователей не должно быть пробелов. Если имя пользователя содержит пробел, пользователь синхронизируется, но права для него становятся недоступны.
- При использовании проверки подлинности с помощью сертификата пользователи должны указать значения для атрибута userPrincipalName, а также атрибуты адреса электронной почты.
Процедура
Результаты
Теперь можно назначить пользователям и группам соответствующие роли vRealize Automation, выбрав . Дополнительные сведения см. в разделе Назначение ролей пользователям или группам.