如果您計劃連線至單一 Active Directory 網域環境,可以建立此目錄類型。對於 Active Directory Over LDAP 目錄類型,連接器將使用簡單繫結驗證繫結至 Active Directory。
必要條件
- 列出要從 Active Directory 進行同步的 Active Directory 群組和使用者。
- 確認您已指定所需的預設屬性,並在使用者屬性定義中新增其他屬性。
- 確認您擁有新增目錄所需的使用者認證。
程序
- 按一下 [我的服務] 儀表板上的身分識別和承租人管理。
- 導覽至 [目錄管理] 索引標籤,然後按一下目錄。
- 按一下新增目錄,然後選取新增 Active Directory Over LDAP。
- 在目錄詳細資料索引標籤中:
欄位 說明 目錄資訊 輸入有效的目錄名稱。 目錄同步與驗證 選取要與 Active Directory 進行同步的連接器。連接器是 VMware Identity Manager 服務元件,用於在 Active Directory 與 VMware Identity Manager 服務之間同步使用者和群組資料。 當用作身分識別提供者時,會一併驗證使用者。每個 VMware Identity Manager 應用裝置節點都包含預設的連接器元件。如果需要,專用連接器也可透過全域環境擴充進行部署。
已啟用驗證 如果希望連接器執行驗證,請選取是。 可以指示所選連接器是否會一併執行驗證。如果您要使用第三方身分識別提供者來驗證使用者,請按一下否。
目錄搜尋屬性 從包含使用者名稱的下拉式功能表中選取帳戶屬性。 伺服器位置 選取目錄支援 DNS 服務位置核取方塊。 - 如果 Active Directory 要求透過 SSL/TLS 進行存取,請在憑證區段中選取目錄要求所有連線使用 STARTTLS 或 SSL 核取方塊,然後將網域控制站的中繼憑證 (如果使用) 和根 CA 憑證複製並貼到 SSL 憑證文字方塊中。請先輸入中繼 CA 憑證,然後輸入根 CA 憑證。確保每個憑證採用 PEM 格式且包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。如果網域控制站具有來自多個中繼憑證和根憑證授權機構的憑證,請逐一輸入所有中繼憑證-根 CA 憑證鏈結。如果 Active Directory 要求透過 SSL/TLS 進行存取但您未提供憑證,則無法建立目錄。
- 如果您不想使用 DNS 服務位置,請確認目錄支援 DNS 服務位置核取方塊未選取,然後輸入 Active Directory 伺服器主機名稱和連接埠號碼。
憑證 如果 Active Directory 要求透過 SSL/TLS 進行存取,請在憑證區段中選取目錄要求所有連線使用 SSL 核取方塊,然後將網域控制站的中繼憑證 (如果使用) 和根 CA 憑證複製並貼到 SSL 憑證文字方塊中。請先輸入中繼 CA 憑證,然後輸入根 CA 憑證。確保憑證採用 PEM 格式且包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。如果 Active Directory 要求透過 SSL/TLS 進行存取但您未提供憑證,則無法建立目錄。
繫結使用者詳細資料 - 基本 DN - 輸入要開始帳戶搜尋的 DN。例如,OU=myUnit,DC=myCorp, DC=com。基本 DN 可用於進行驗證。只有 [基本 DN] 下的使用者才能驗證。請確保稍後指定用於同步的群組 DN 和使用者 DN 位於此 [基本 DN] 下。
- 繫結使用者 DN - 輸入帳戶詳細資料。例如,CN=binduser,OU=myUnit,DC=myCorp, DC=com。使用具有未到期密碼的繫結使用者帳戶。
- 繫結密碼:按一下測試連線,以確認目錄可以連線至 Active Directory。
- 按一下建立並移至下一步。
對於 Active Directory Over LDAP,所列的網域均帶有一個核取記號。
- 在網域選取項目詳細資料索引標籤中,選取網域,然後按下一步。
- 若要將目錄屬性對應到 Active Directory,請在對應屬性索引標籤中選取所需的屬性,然後按一下儲存並移至下一步。
- 在群組選取項目索引標籤中,若要從 Active Directory 同步至 VMware Identity Manager 目錄,請指定群組 DN 詳細資料,然後按下一步。
此外,也可以選取清單中已有的所有 Active Directory 群組以同步至目錄。
- 若要選取群組,請按一下新增群組辨別名稱,然後指定一或多個群組 DN。選取其下的群組。指定群組 DN,使其位於 [新增目錄] 頁面之 [基本 DN] 文字方塊中輸入的 [基本 DN] 下。如果群組 DN 在 [基本 DN] 之外,則來自該 DN 的使用者仍會進行同步,但將無法登入。
- 按一下尋找群組。動作資料行列出了位於 DN 中的群組數目。若要選取 DN 內的所有群組,請按一下全選,或按一下數字並選取要同步的特定群組。當您同步群組時,不會同步沒有網域使用者做為 Active Directory 中的主要群組的任何使用者。
- 選取同步巢狀群組成員選項。
- 在使用者選取項目索引標籤中,輸入使用者 DN 詳細資料,然後按下一步。
套件管理員是 Active Directory 中的使用者名稱,其作為已部署套件產品、記錄和 AD 資料表的管理員使用者。
- 選取同步巢狀群組成員選項,然後輸入套件管理員。
啟用此選項後,當系統為群組授權時,會同步直接屬於所選群組的所有使用者以及屬於該群組下的巢狀群組的所有使用者。請注意,系統不會對巢狀群組進行同步;只會對屬於巢狀群組的使用者進行同步。在 VMware Identity Manager 目錄中,這些使用者將成為選取進行同步之父系群組的成員。如果 [同步巢狀群組成員] 選項已停用,則指定要同步的群組時,將對直接屬於該群組的所有使用者進行同步。系統不會對屬於其下方巢狀群組的使用者進行同步。對於周遊群組樹狀結構會耗用大量資源和時間的大型 Active Directory 組態來說,停用此選項非常有用。如果您停用此選項,請確保您選取您要同步其使用者的所有群組。
- 按一下儲存並移至下一步。在使用者選取項目頁面中,按一下新增使用者並指定要同步的使用者 DN。指定使用者 DN,使其位於 [新增目錄] 頁面之 [基本 DN] 文字方塊中輸入的 [基本 DN] 下。如果使用者 DN 在 [基本 DN] 之外,則來自該 DN 的使用者仍會進行同步,但將無法登入。按一下儲存並移至下一步。
- 檢閱試執行檢查索引標籤,讀取摘要,然後按一下同步並完成以開始同步至目錄。此時將建立與 Active Directory 的連線,且使用者和群組名稱會從 Active Directory 同步至 VMware Identity Manager 目錄。
- 按一下提交。
- 若要編輯,請按一下 Active Directory 清單中特定 Active Directory 上的編輯圖示。任何新增的資訊將會附加到 VMware Identity Manager 上的組態。但是,透過編輯進行的任何移除操作只會從 vRealize Suite Lifecycle Manager 詳細目錄中移除組態,而不會從 VMware Identity Manager 中移除。
- 若要刪除,請按一下 Active Directory 清單中特定 Active Directory 上的刪除圖示。刪除動作只會從 vRealize Suite Lifecycle Manager 詳細目錄中刪除 Active Directory,而不會從 VMware Identity Manager 中刪除。