當您匯入存放於另一台機器的使用者帳戶資訊時,必須定義用於從來源機器匯入使用者帳戶的準則。

新增或編輯驗證來源的位置

您可以新增或編輯驗證來源,方法是選取管理 > 驗證來源,然後按一下新增圖示。按一下編輯圖示即可編輯驗證來源。

表格 1. 驗證來源 新增使用者和群組的匯入來源

選項

說明

來源顯示名稱

您指派給驗證來源的名稱。

來源類型

備註︰

您在來源類型下拉式方塊中選取的選項,決定了這個對話方塊中所提供的選項。

指出目錄服務存取技術的類型,該技術用於存取使用者帳戶資料庫所在的來源機器。有兩種資料庫類型:LDAP 和單一登入。選項包括:

  • [SSO SAML]:網頁瀏覽器單一登入的 XML 標準,可讓使用者執行多個應用程式的單一登入。

  • [Open LDAP]:獨立於平台的通訊協定,提供存取其他機器上 LDAP 資料庫以匯入使用者帳戶的權限。

  • [Active Directory]:Microsoft 目錄存取技術,用於在 Windows 機器上從 LDAP 資料庫匯入使用者帳戶。vRealize Operations Manager 支援 Windows Server 2003 SP2 或 Windows Server 2009 及更新版本。

  • [其他]:指定任何其他的 LDAP 型目錄服務 (如 Novel 或 OpenDJ),用於從 Linux Mac 機器上的 LDAP 資料庫匯入使用者帳戶。

表格 2. 驗證來源:新增使用者和群組匯入的來源 - 選取 SSO SAML 時的可用選項

名稱

說明

主機

單一登入使用者伺服器所在主機機器的名稱或 IP 位址。

連接埠

單一登入接聽連接埠。預設值為 443。

使用者名稱

可登入單一登入主機的使用者帳戶名稱。

密碼

可登入單一登入主機的使用者帳戶密碼。

授予管理員角色給 vRealize Operations Manager 以利日後進行設定?

在建立單一登入來源之時,隨即會在單一登入伺服器建立新的 vRealize Operations Manager 使用者帳戶。

  • 選取將管理員角色授予 vRealize Operations Manager,以便在 vRealize Operations Manager 設定有所變更時,用管理員角色來設定 SSO 來源。

  • 如果您選取,並且 vRealize Operations Manager 設定已變更,在您重新登錄 SSO 來源之前,SSO 使用者將無法登入。

是否自動重新導向至 vRealize Operations 單一登入 URL?

在您設定單一登入來源後,使用者即會重新導向至 vCenter SSO 伺服器。

  • 選取,即會將使用者重新導向至單一登入伺服器進行驗證。

  • 如果選取,使用者必須透過 vRealize Operations Manager 登入頁面登入。

新增目前來源後匯入單一登入使用者群組?

當您設定好單一登入來源時,將使用者和使用者群組匯入 vRealize Operations Manager,以便單一登入使用者能使用其單一登入權限來存取系統。

  • 如果您選取,精靈會將您導向 [匯入使用者群組] 頁面,以便您在完成設定 SSO 來源後立即匯入使用者群組。

  • 如果您要匯入使用者帳戶,或在稍後匯入使用者群組,請選取

進階

如果您的系統使用負載平衡器,請輸入負載平衡器的 IP 位址。

測試

使用提供的認證測試主機是否可連線。

表格 3. 驗證來源:新增使用者和群組匯入的來源 - 選取 Open LDAPActive Directory其他時的可用選項

選項

說明

整合模式基本設定

套用基本設定,以整合 LDAP 匯入來源與 vRealize Operations Manager 的執行個體。

使用基本整合模式,以使 vRealize Operations Manager 探索 LDAP 資料庫所在的主機,以及設定用於搜尋使用者的基本辨別名稱 (基本 DN)。提供 vRealize Operations Manager 用來填入主機和基本 DN 詳細資料的網域和子網域名稱,以及可登入 LDAP 主機的使用者的名稱和密碼。

在基本模式下,vRealize Operations Manager 嘗試從 DNS 伺服器擷取主機和連接埠,以及透過已啟用 SSL/TLS 之伺服器的喜好設定為網域取得全域類別和網域控制器。

  • 網域/子網域。LDAP 使用者帳戶的網域資訊。

  • 使用 SSL/TLS。選取後,當您從 LDAP 資料庫匯入使用者時,vRealize Operations Manager 會使用安全通訊端層/傳輸層安全性 (SSL/TLS) 通訊協定來提供安全通訊。無需安裝 SSL/TLS 憑證。相反,vRealize Operations Manager 會提示您檢視和確認指紋,並接受 LDAP 伺服器憑證。接受該憑證後,LDAP 通訊會繼續進行。

  • 使用者名稱。可登入 LDAP 主機的使用者帳戶名稱。

  • 重設密碼。重設可以登入 LDAP 主機之使用者帳戶的密碼。

  • 針對已設定的群組自動同步化使用者成員資格。選取後,可讓 vRealize Operations Manager 將已匯入的 LDAP 使用者對應至使用者群組。

  • 主機。LDAP 使用者資料庫所在主機的名稱或 IP 位址。

  • 連接埠。用於匯入的連接埠。如果未使用 SSL/TLS,則使用連接埠 389,或者如果正在使用 SSL/TLS,則使用連接埠 636,或者選擇其他連接埠號碼。全域目錄連接埠即為適用於非 SSL/TLS 的 3268 以及適用於 SSL/TLS 的 3269。

  • 基本辨別名稱。用於使用者搜尋的基本辨別名稱。vRealize Operations Manager 將只會找到基本 DN 下的使用者。基本 DN 是已匯入的使用者辨別名稱 (DN) 的基礎項目,該辨別名稱是使用者名稱的基本項目,不需要其他相關資訊,如使用者帳戶的完整路徑或包括相關網域元件。儘管 vRealize Operations Manager 會填入基本辨別名稱,管理員仍必須在儲存 LDAP 組態之前驗證基本辨別名稱。

  • 一般名稱。用於識別使用者名稱的 LDAP 屬性。Active Directory 的預設屬性為 userPrincipalName

整合模式進階設定

套用進階設定,以整合 LDAP 匯入來源與 vRealize Operations Manager 的執行個體。

使用進階整合模式手動提供主機名和基本辨別名稱 (基本 DN),以使 vRealize Operations Manager 匯入使用者。提供可登入 LDAP 主機的使用者名稱和密碼。

  • 主機。LDAP 使用者資料庫所在主機的名稱或 IP 位址。

  • 使用 SSL/TLS。選取後,當您從 LDAP 資料庫匯入使用者時,vRealize Operations Manager 會使用安全通訊端層/傳輸層安全性 (SSL/TLS) 通訊協定來提供安全通訊。無需安裝 SSL/TLS 憑證。相反,vRealize Operations Manager 會提示您檢視和確認指紋,並接受 LDAP 伺服器憑證。接受該憑證後,LDAP 通訊會繼續進行。

  • 基本辨別名稱。用於使用者搜尋的基本辨別名稱。vRealize Operations Manager 將只會找到基本 DN 下的使用者。基本 DN 是已匯入的使用者辨別名稱 (DN) 的基礎項目,該辨別名稱是使用者名稱的基本項目,不需要其他相關資訊,如使用者帳戶的完整路徑或包括相關網域元件。儘管 vRealize Operations Manager 會填入基本辨別名稱,管理員仍必須在儲存 LDAP 組態之前驗證基本辨別名稱。

  • 使用者名稱。可登入 LDAP 主機的使用者帳戶名稱。

  • 重設密碼。重設可以登入 LDAP 主機之使用者帳戶的密碼。

  • 針對已設定的群組自動同步化使用者成員資格。選取後,可讓 vRealize Operations Manager 將已匯入的 LDAP 使用者對應至使用者群組。

  • 一般名稱。用於識別使用者名稱的 LDAP 屬性。Active Directory 的預設屬性為 userPrincipalName

  • 連接埠。用於匯入的連接埠。如果未使用 SSL/TLS,則使用連接埠 389,或者如果正在使用 SSL/TLS,則使用連接埠 636,或者選擇其他連接埠號碼。全域目錄連接埠即為適用於非 SSL/TLS 的 3268 以及適用於 SSL/TLS 的 3269。

搜尋準則

顯示搜尋準則設定。

雖然 vRealize Operations Manager 填入部分搜尋準則,但是,管理員必須根據 LDAP 類型的內容驗證設定,以確保設定正確。

  • 群組搜尋準則。用於尋找 LDAP 群組的搜尋準則。如果不包括此準則,則 vRealize Operations Manager 會使用預設搜尋參數:(|(objectClass=group)(objectClass=groupOfNames))

  • 成員屬性。包含成員清單的群組物件的屬性名稱。如果不包括此屬性,則依預設,vRealize Operations Manager 會使用成員。

  • 使用者搜尋準則。用於使用成員欄位以尋找和快取 LDAP 使用者的搜尋準則。以 (|(key1=value1)(key2=value2)) 格式輸入多組 key=value 對。如果不包括此準則,則 vRealize Operations Manager 會分別搜尋每個使用者。此作業可能需要額外的時間才能完成。

  • 成員比對欄位。與來自群組物件之成員項目相符的使用者物件的屬性名稱。如果不包括此屬性名稱,vRealize Operations Manager 會將成員項目視為辨別名稱。

  • LDAP 內容屬性。vRealize Operations Manager 套用到 LDAP 內容環境的屬性。輸入多組 key=value 對,並以逗點分隔,如 java.naming.referral=ignore,java.naming.ldap.deleteRDNfalse

測試

使用提供的認證測試主機是否可連線。雖然測試連線成功,但是,使用搜尋功能的使用者在 LDAP 來源中必須具有讀取權限。

此測試不確保 [基本 DN] 或 [一般名稱] 項目的準確性。