您可以透過身分識別目錄管理設定 OpenLDAP 目錄連線。

執行這項作業的原因和時機

儘管有數個不同的 LDAP 通訊協定,但 OpenLDAP 是唯一已測試且核准與 vRealize Automation 身分識別目錄管理搭配使用的通訊協定。

若要整合您的 LDAP 目錄,您必須建立對應的 Directories Management 目錄,並將使用者和群組從 LDAP 目錄同步至 Directories Management 目錄。您可以設定定期的同步排程以進行後續更新。

您也可以選取要為使用者同步的 LDAP 屬性,並將其對應至 Directories Management 屬性。

您的 LDAP 目錄組態可能是以預設結構描述為基礎,或您可能已建立自訂結構描述。您可能也定義了自訂屬性。若要讓 Directories Management 能夠查詢您的 LDAP 目錄以取得使用者或群組物件,您必須提供適用於 LDAP 目錄的 LDAP 搜尋篩選器和屬性名稱。

特別是,您必須提供下列資訊。

  • 用以取得群組、使用者和繫結使用者的 LDAP 搜尋篩選器

  • 群組成員資格的 LDAP 屬性名稱、UUID 和辨別名稱

先決條件

  • 檢閱 [使用者屬性] 頁面中的組態,然後新增您要同步的任何其他屬性。在建立目錄時,您會將 Directories Management 屬性對應至 LDAP 目錄屬性。這些屬性將會針對目錄中的使用者進行同步。

    備註︰

    當您對使用者屬性進行變更時,請考量這對服務中的其他目錄有何影響。如果您預計要同時新增 Active Directory 和 LDAP 目錄,請確保您未將 userName 以外的任何屬性標示為必要。[使用者屬性] 頁面上的設定會套用至服務中的所有目錄。如果屬性標示為必要,不具該屬性的使用者將不會同步至 Directories Management 服務。

  • 繫結 DN 使用者帳戶。建議您使用繫結 DN 使用者帳戶與不會到期的密碼。

  • 在您的 LDAP 目錄中,使用者和群組的 UUID 必須採用純文字格式。

  • 在您的 LDAP 目錄中,所有的使用者和群組都必須要有網域屬性。

    在建立 Directories Management 目錄時,您會將此屬性對應至 Directories Management 網域屬性。

  • 使用者名稱不可包含空格。如果使用者名稱包含空格,則系統仍會同步使用者,但使用者將不具有權利。

  • 如果您使用憑證驗證,則使用者必須要有 userPrincipalName 的值,以及電子郵件地址屬性。

程序

  1. 選取管理 > 身分識別目錄管理 > 目錄
  2. 按一下新增目錄,然後選取新增 LDAP 目錄
  3. 在 [新增 LDAP 目錄] 頁面中輸入必要資訊。

    選項

    說明

    目錄名稱

    輸入 Directories Management 目錄的名稱。

    目錄同步與驗證

    1. 同步連接器欄位中,選取要用來將使用者和群組從 LDAP 目錄同步至 Directories Management 目錄的連接器。

      依預設,Directories Management 服務隨時附有可用的連接器元件。此連接器會顯示在下拉式清單中。如果您為了實現高可用性而安裝多個 Directories Management 應用裝置,每個連接器元件均會顯示在清單中。

      您不需要為單一 LDAP 目錄使用個別的連接器。無論這些目錄是 Active Directory 還是 LDAP 目錄,一個連接器可支援多個目錄。

    2. 驗證欄位中,如果您想要使用此 LDAP 目錄來驗證使用者,請選取

      如果您想要使用第三方身分識別提供者來驗證使用者,請選取。在新增要用來同步使用者和群組的目錄連線後,請前往管理 > 身分識別目錄管理 > 身分識別提供者頁面,新增用於驗證的第三方身分識別提供者。

    3. 對於大多數組態,保持選取目錄搜尋屬性文字方塊中的自訂預設值。在自訂目錄搜尋屬性欄位中,指定要用於使用者和群組名稱的 LDAP 目錄屬性。此屬性用於從 LDAP 伺服器唯一識別實體,例如使用者和群組。例如 cn

    伺服器位置

    輸入 LDAP Directory 伺服器主機和連接埠號碼。對於伺服器主機,您可以指定完整網域名稱或 IP 位址。例如 myLDAPserver.example.com100.00.00.0

    如果在負載平衡器後方有伺服器叢集,請改為輸入負載平衡器資訊。

    LDAP 組態

    指定可讓 Directories Management 用來查詢您的 LDAP 目錄的 LDAP 搜尋篩選器和屬性。系統會根據核心 LDAP 結構描述提供預設值。

    篩選器查詢

    • 群組:用來取得群組物件的搜尋篩選器。

      例如:(objectClass=group)

    • 繫結使用者:用來取得繫結使用者物件 (即,可繫結至目錄的使用者) 的搜尋篩選器。

      例如:(objectClass=person)

    • 使用者:用來取得所要同步之使用者的搜尋篩選器。

      例如:(&(objectClass=user)(objectCategory=person))

    屬性

    • 成員資格:在您的 LDAP 目錄中用來定義群組成員的屬性。

      例如:member

    • 物件 UUID:在您的 LDAP 目錄中用來定義使用者或群組之 UUID 的屬性。

      例如:entryUUID

    • 辨別名稱:在您的 LDAP 目錄中用於使用者或群組之辨別名稱的屬性。

      例如:entryDN

    憑證

    如果您的 LDAP 目錄需要透過 SSL 存取,請選取此目錄需要所有連線以使用 SSL 核取方塊。然後,將 LDAP 目錄伺服器的根 CA SSL 憑證複製並貼至 SSL 憑證文字方塊。確認憑證為 PEM 格式且包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 文字行。

    最後,確保在此頁面的 [伺服器位置] 區段中,於伺服器連接埠欄位中指定正確的連接埠號碼。

    繫結使用者詳細資料

    基準 DN:輸入要從中開始搜尋的 DN。例如,cn=users,dc=example,dc=com

    所有適用的使用者均必須位於 [基本 DN] 下方。如果某特定使用者沒有位於 [基本 DN] 下方,該使用者將無法登入,即使他是 [基本 DN] 下方群組的成員亦如此。

    繫結 DN:輸入要用來繫結至 LDAP 目錄的 DN。您也可以輸入使用者名稱,但是 DN 更適用於大多數部署。

    備註︰

    建議您使用繫結 DN 使用者帳戶與不會到期的密碼。

    繫結 DN 密碼:輸入繫結 DN 使用者的密碼。

  4. 若要測試 LDAP 目錄伺服器的連線,請按一下測試連線

    如果連線失敗,請檢查您所輸入的資訊,並進行適當的變更。

  5. 按一下儲存 & 下一步
  6. 確認在 [選取網域] 頁面中選取正確的網域,然後按下一步
  7. 在 [對應屬性] 頁面中,確認 Directories Management 屬性已對應至正確的 LDAP 屬性。

    這些屬性將會針對使用者進行同步。

    重要事項︰

    您必須指定網域屬性的對應。

    您可以在 [使用者屬性] 頁面中,將屬性新增至清單。

  8. 下一步
  9. 在 [選取您要同步的群組 (使用者)] 頁面上,按一下 + 選取您要從 LDAP 目錄同步至 Directories Management 目錄的群組。

    如果您的 LDAP 目錄中有多個具有相同名稱的群組,您必須在群組頁面中為其指定唯一名稱。

    從 Active Directory 新增群組時,會新增不在使用者清單中的該群組成員。同步群組時,在 Active Directory 中未使用網域使用者做為其主要群組的任何使用者,皆不會進行同步。

    依預設會啟用同步巢狀群組成員選項。啟用此選項時,系統會同步直接屬於您選取群組的所有使用者,以及屬於其下巢狀群組的所有使用者。請注意,系統不會對巢狀群組進行同步;只會對屬於巢狀群組的使用者進行同步。在 Directories Management 目錄中,這些使用者會顯示為選為同步之群組的最上層群組成員。實際上,所選群組下的階層將會扁平化,而所有層級中的使用者都會在 Directories Management 中顯示為所選群組的成員。

    如果停用此選項,則指定要同步的群組時,會對直接屬於該群組的所有使用者進行同步。系統不會對屬於其下方巢狀群組的使用者進行同步。停用此選項,對於周遊群組樹狀結構會耗用大量資源和時間的大型目錄組態,將有所幫助。如果您停用此選項,請確保您選取您要同步其使用者的所有群組。

    備註︰

    Directories Management使用者驗證系統會在新增群組和使用者時從 Active Directory 匯入資料,且系統速度受 Active Directory 功能的限制。因此,匯入作業可能需要大量時間,具體視要新增的群組和使用者數目而定。為了盡可能地減少可能出現的延遲或問題,請將群組和使用者的數目限制為僅 vRealize Automation 作業需要的群組和使用者。

    如果系統效能降低或發生錯誤,請關閉任何不需要的應用程式,並確保系統已配置適當的記憶體給身分識別目錄管理。如果問題持續存在,請根據需要增加身分識別目錄管理記憶體配置。對於具有大量使用者和群組的系統,您可能需要將身分識別目錄管理記憶體配置最多增加至 24 GB。

  10. 下一步
  11. 按一下 + 以新增其他使用者。例如,輸入 CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com

    您可以在此處新增組織單位以及個別使用者。

    您可以建立篩選器以排除某些類型的使用者。選取要做為篩選依據的使用者屬性、查詢規則及值。

  12. 下一步
  13. 檢閱頁面以查看將同步至目錄的使用者和群組數目,以及檢視預設同步排程。

    若要對使用者和群組或同步頻率進行變更,請按一下編輯連結。

  14. 按一下同步目錄以啟動目錄同步。

結果

LDAP 目錄的連線隨即建立,且使用者和群組會從 LDAP 目錄同步至 Directories Management 目錄。

現在您可以透過選取管理 > 使用者和群組 > 目錄使用者和群組,來將使用者和群組指派給適當的 vRealize Automation 角色。如需詳細資訊,請參閱將角色指派至目錄使用者或群組