Настроить подключение к каталогу OpenLDAP можно с помощью службы управления каталогами.

Несмотря на то что существует несколько разных протоколов LDAP, только протокол OpenLDAP был протестирован и утвержден для использования службой управления каталогами vRealize Automation.

Для интеграции каталога LDAP необходимо создать соответствующий каталог Directories Management и синхронизировать пользователей и группы из каталога LDAP с каталогом Directories Management. Для последующих обновлений можно настроить регулярное расписание синхронизации.

Кроме того, следует выбрать атрибуты LDAP, которые нужно синхронизировать для пользователей, и сопоставить их с атрибутами Directories Management.

Конфигурация каталогов LDAP может быть настроена на основе схем по умолчанию или пользовательских схем. Можно также определить пользовательские атрибуты. Чтобы дать Directories Management возможность запрашивать каталог LDAP и получать объекты пользователей или групп, необходимо указать поисковые фильтры и имена атрибутов LDAP, применимых к каталогу LDAP.

В частности, необходимо указать следующие сведения.

  • Поисковые фильтры LDAP для получения групп и пользователей, а также пользователя подключения.
  • Имена атрибутов LDAP для членства в группе, идентификатора UUID и различающегося имени
Примечание: Служба управления каталогами использует для запросов LDAP размер страницы по умолчанию, равный 1500. При настройке подключения к каталогу OpenLDAP необходимо включить простое расширение для контроля результатов на странице для OpenLDAP, чтобы ограничить количество отображаемых результатов. Неправильное использование этого расширения может привести к ошибкам синхронизации пользователей и групп.

Необходимые условия

  • Проверьте конфигурацию на странице атрибутов пользователя и добавьте дополнительные атрибуты, которые нужно синхронизировать. При создании каталога атрибуты Directories Management будут сопоставлены с каталогом LDAP. Эти атрибуты будут синхронизированы для пользователей в каталоге.
    Примечание: При изменении атрибутов пользователя учтите влияние на другие каталоги в службе. Если планируется добавить каталоги Active Directory и LDAP, не отмечайте никакие атрибуты в качестве обязательных (кроме userName). Параметры на странице «Атрибуты пользователя» применяются ко всем каталогам службы. Если атрибут обозначен как обязательный, пользователи без этого атрибута не будут синхронизироваться со службой Directories Management.
  • Учетная запись пользователя с различающимся именем для подключения. Рекомендуется использовать учетную запись пользователя различающегося имени для подключения с паролем без срока действия.
  • В каталоге LDAP универсальный уникальный идентификатор объекта пользователей и групп должен быть указан в текстовом формате.
  • В каталоге LDAP для всех пользователей и групп должен быть указан атрибут domain.

    Этот атрибут сопоставляется с атрибутом domain в Directories Management при создании каталога Directories Management.

  • В именах пользователей не должно быть пробелов. Если имя пользователя содержит пробел, пользователь синхронизируется, но права для него становятся недоступны.
  • При использовании проверки подлинности с помощью сертификата пользователи должны указать значения для атрибута userPrincipalName, а также атрибуты адреса электронной почты.

Процедура

  1. Выберите Администрирование > Управление каталогами > Каталоги.
  2. Выберите команду Добавить каталог, затем — Добавить каталог LDAP.
  3. Введите необходимые сведения на странице «Добавить каталог LDAP».
    Параметр Описание
    Имя каталога Введите имя для каталога Directories Management.
    Синхронизация службы каталогов и проверка подлинности
    1. В поле Синхронизируйте соединитель выберите соединитель, который необходимо использовать для синхронизации пользователей и групп каталога LDAP с каталогом Directories Management.

      Компонент соединителя всегда доступен в службе Directories Management по умолчанию. Этот соединитель отображается в раскрывающемся списке. Если для высокой доступности установлены несколько устройств Directories Management, компонент соединителя каждого из них будет в этом списке.

      В отдельном соединителе для каталога LDAP нет необходимости. Соединитель может поддерживать несколько каталогов, будь то каталоги Active Directory или LDAP.

    2. Если необходимо использовать этот каталог LDAP для проверки подлинности пользователей, в поле Проверка подлинности выберите значение Да.

      Если для проверки подлинности пользователей необходимо применять сторонний поставщик удостоверений, выберите Нет. После подключения к каталогу для синхронизации пользователей и групп перейдите на страницу Администрирование > Управление каталогами > Поставщики удостоверений, чтобы добавить сторонний поставщик удостоверений для проверки подлинности.

    3. Для большинства конфигураций следует оставить выбранный по умолчанию вариант Пользовательский в текстовом поле Атрибут поиска каталога. В поле Пользовательский атрибут поиска каталога укажите атрибут каталога LDAP, который будет использоваться в качестве имени пользователя и группы. Этот атрибут позволяет идентифицировать объекты, например пользователей и группы, на сервере LDAP. Например, cn.
    4. Если необходимо использовать поиск расположения служб DNS для Active Directory, установите следующие параметры.
      • В разделе «Расположение сервера» (Server Location) установите флажок Данный каталог поддерживает поиск размещения службы DNS.

        Служба управления каталогами найдет и использует оптимальные контроллеры домена. Если не требуется использовать выбор оптимизированных контроллеров домена, переходите к шагу e.

      • Если для Active Directory требуется шифрование STARTTLS, в разделе «Сертификаты» (Certificates) установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола SSL, а также скопируйте и вставьте сертификат корневого центра сертификации Active Directory в текстовом поле «Сертификат SSL» (SSL Certificate).
        Убедитесь, что сертификат создан в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.
        Примечание: Если для Active Directory требуется протокол STARTTLS, а сертификат не предоставлен, создать каталог невозможно.
    5. Если не требуется использовать поиск расположения служб DNS для Active Directory, установите следующие параметры.
      • Убедитесь, что в разделе «Расположение сервера» (Server Location) не установлен флажок Данный каталог поддерживает поиск размещения службы DNS, и введите имя узла сервера и номер порта Active Directory. Сведения о том, как настроить каталог в качестве глобального каталога, см. в разделе «Среда Active Directory с несколькими доменами и одним лесом» (Multi-Domain Single-Forest Active Directory) в Среды Active Directory.
      • Если для Active Directory требуется доступ по протоколу SSL, в разделе «Сертификаты» (Certificates) установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола SSL, а также скопируйте и вставьте сертификат корневого центра сертификации Active Directory в поле «Сертификат SSL» (SSL Certificate).
        Убедитесь, что сертификат создан в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.
        Примечание: Если для Active Directory требуется протокол STARTTLS, а сертификат не предоставлен, создать каталог невозможно.
    Расположение сервера

    Введите имя узла и номер порта узла сервера каталога LDAP. В качестве узла сервера можно указать полное доменное имя или IP-адрес. Например, myLDAPserver.example.com или 100.00.00.0.

    При наличии серверного кластера за средством балансировки нагрузки введите вместо этого сведения о средстве балансировки нагрузки.

    Настройка LDAP Укажите фильтры и атрибуты поиска LDAP, которые Directories Management следует использовать для создания запроса каталога LDAP. Значения по умолчанию указываются, исходя из данных основной схемы LDAP.

    Запросы с фильтрацией

    • Группы: поисковый фильтр для получения объектов группы.

      Например, (objectClass=group).

    • Пользователь подключения: поисковый фильтр для получения объекта пользователя подключения, то есть пользователя, который может подключаться к каталогу.

      Например, (objectClass=person).

    • Пользователи: поисковый фильтр для получения данных пользователей, которые необходимо синхронизировать.

      Например, (&(objectClass=user)(objectCategory=person)).

    Атрибуты

    • Состав: атрибут, который используется в каталоге LDAP для определения участников группы.

      Например, member.

    • Универсальный уникальный идентификатор объекта: атрибут, который используется в каталоге LDAP для определения универсального уникального идентификатора пользователя и группы.

      Например, entryUUID.

    • Различающееся имя: атрибут, который используется в каталоге LDAP для определения различающегося имени пользователя или группы.

      Например, entryDN.

    Сертификаты Если для каталога LDAP требуется доступ с использованием SSL, установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола SSL. Затем скопируйте сертификат SSL из корневого центра сертификации, настроенного для сервера каталога LDAP, и вставьте в текстовое поле Сертификат SSL. Убедитесь, что сертификат находится в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.

    Если в каталоге есть несколько доменов, поочередно добавьте сертификаты корневого центра сертификации для всех доменов.

    Далее убедитесь, что в поле Порт сервера в разделе «Расположение сервера» на данной странице правильно указан номер порта.

    Сведения о пользователе подключения

    Базовое различающееся имя: введите различающееся имя, с которого будет начинаться поиск. Например, cn=users,dc=example,dc=com.

    Все соответствующие пользователи должны относиться к базовому различающемуся имени. В противном случае пользователь не сможет войти в систему, даже если он является членом группы, которая относится к базовому различающемуся имени.

    Различающееся имя для подключения — введите различающееся имя, которое следует использовать для подключения к каталогу LDAP. Можно вводить и имена пользователей, однако для большинства развертываний наиболее подходящим вариантом является различающееся имя.
    Примечание: Рекомендуется использовать учетную запись пользователя различающегося имени для подключения с паролем без срока действия.

    Пароль для базового различающегося имени — введите пароль для пользователя с различающимся именем для подключения.

  4. Чтобы проверить подключение к серверу каталога LDAP, щелкните Протестировать соединение.
    Если не удастся установить подключение, проверьте введенные сведения и внесите соответствующие изменения.
  5. Нажмите Сохранить и Далее.
  6. Проверьте, правильно ли указан домен на странице «Выбор доменов», затем щелкните элемент Далее
  7. На странице «Сопоставление атрибутов» убедитесь, что атрибуты Directories Management сопоставлены с правильными атрибутами LDAP.

    Эти атрибуты будут синхронизированы для пользователей.

    Важно!: Необходимо указать сопоставление для атрибута domain.

    На странице «Атрибуты пользователя» можно добавить атрибуты в список.

  8. Нажмите кнопку Далее.
  9. Щелкните знак +, чтобы выбрать группы для синхронизации между каталогом LDAP и каталогом Directories Management на странице «Выбор групп (пользователей) для синхронизации».

    Если в каталоге LDAP есть несколько групп с одинаковыми именами, на странице групп необходимо указать для них уникальные имена.

    Если при добавлении группы из Active Directory ее участников нет в списке пользователей, они будут добавлены. При синхронизации группы все пользователи, для которых группа «Пользователи домена» в Active Directory не является основной, не синхронизируются.

    Параметр Синхронизировать участников вложенных групп включен по умолчанию. Когда этот параметр включен, все пользователи, которые принадлежат непосредственно к выбранной группе, а также к вложенным группам этой группы, синхронизируются. Обратите внимание, что синхронизируются не вложенные группы, а только пользователи, принадлежащие к ним. В каталоге Directories Management эти пользователи будут участниками группы верхнего уровня, выбранной для синхронизации. Иерархические элементы ниже выбранной группы удаляются, а пользователи всех уровней отображаются в Directories Management в составе выбранной группы.

    Если этот параметр отключен, то при указании группы для синхронизации все пользователи, которые принадлежат к ней непосредственно, синхронизируются. Пользователи, которые принадлежат к вложенным группам этой группы, не синхронизируются. Отключение этого параметра полезно для больших конфигураций каталога, где навигация по дереву групп требует значительных объемов ресурсов и времени. Но перед тем как его отключить, убедитесь, что выбраны все группы, пользователей которых необходимо синхронизировать.

    Примечание: Система проверки подлинности пользователей Directories Management импортирует данные из Active Directory при добавлении групп и пользователей, при этом быстродействие системы ограничивается возможностями Active Directory. В результате операции импорта могут продолжаться очень долго в зависимости от количества добавляемых пользователей и групп. Для уменьшения вероятности появления задержек или проблем сократите количество групп и пользователей и выберите только те из них, которые требуются для работы системы vRealize Automation.

    При снижении производительности системы или возникновении ошибок закройте все ненужные приложения и убедитесь, что для службы управления каталогами в системе выделен соответствующий объем памяти. Если проблема не исчезает, увеличьте соответствующим образом объем памяти, выделенной для данной службы. Если в системе много пользователей и групп, возможно, понадобится увеличить этот объем до 24 ГБ.

  10. Нажмите кнопку Далее.
  11. Щелкните +, чтобы добавить дополнительных пользователей. Например, введите CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

    Здесь можно добавлять как организационные единицы, так и отдельных пользователей.

    Можно создать фильтр, чтобы исключить отдельные типы пользователей. Выберите атрибут пользователя для фильтрации, правило запроса и значение.

  12. Нажмите кнопку Далее.
  13. На этой странице можно просмотреть расписание синхронизации по умолчанию и узнать, сколько пользователей и групп будет синхронизироваться с каталогом.

    Чтобы внести изменения в список пользователей и групп или интервал синхронизации, щелкните ссылки Изменить.

  14. Щелкните команду Синхронизировать каталог, чтобы запустить синхронизацию каталогов.

Результаты

Устанавливается подключение к каталогу LDAP, а пользователи и группы каталога LDAP синхронизируются с каталогом Directories Management.

Теперь можно назначить пользователям и группам соответствующие роли vRealize Automation, выбрав Администрирование > Пользователи и группы > Пользователи и группы каталога. Дополнительные сведения см. в разделе Назначение ролей пользователям или группам.