Установка и настройка VMware Identity Manager...50 Гбайт 50 Гбайт 50 Гбайт 100 Гбайт 100 Гбайт Требования к конфигурации

Установка и настройкаVMware Identity Manager

VMware Identity Manager 2.8

Установка и настройка VMware Identity Manager

2 VMware Inc.

Самая последняя техническая документация доступна на веб-сайте VMware:

https://docs.vmware.com/ru/

Также на веб-сайте VMware доступны последние обновления продуктов.

Все замечания по данной документации отправляйте по адресу:

[email protected]

(c) VMware Inc., 2013–2017. Все права защищены. Информация об авторских правах и товарных знаках.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

https://docs.vmware.com/ru/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Содержание

Об установке и настройке VMware Identity Manager 7

1. Подготовка к установке VMware Identity Manager 9

Требования к конфигурации системы и сети 11Подготовка к развертыванию VMware Identity Manager 15

Создание DNS-записей и IP-адресов 15Параметры базы данных при использовании с VMware Identity Manager 16Подключение к корпоративному каталогу 16Контрольные списки развертывания 17

Программа улучшения качества программного обеспечения 18

2. Развертывание VMware Identity Manager 19

Установка OVA-файла VMware Identity Manager 19(Необязательно.) Добавление пулов IP-адресов 21Настройка параметров VMware Identity Manager 22Настройка параметров прокси-сервера для средства «» VMware Identity Manager 31Ввод лицензионного ключа 32

3. Управление параметрами конфигурации системы устройства 33

Изменение параметров конфигурации устройства 34Подключение к базе данных 35

Настройка базы данных Microsoft SQL 35Настройка базы данных Oracle 36Администрирование внутренней базы данных 37Настройка VMware Identity Manager для использования внешней базы данных 38

Использование сертификатов SSL 38Использование центра открытых сертификатов 39Добавление сертификатов SSL 40

Изменение URL-адреса службы VMware Identity Manager 41Изменение URL-адреса соединителя 41Включение сервера Syslog 42Сведения о файле журнала 42

Сбор сведений журнала 43Управление паролями устройства 43Настройка параметров SMTP 44

4. Интеграция с корпоративным каталогом 45

Важные понятия, относящиеся к интеграции каталогов 46Интеграция с Active Directory 47

Среды Active Directory 47Выбор контроллера домена (файл domain_krb.properties) 49

VMware Inc. 3

Управление атрибутами пользователя, синхронизируемыми из Active Directory 54Разрешения, необходимые для присоединения к домену 55Настройка подключения Active Directory к службе 56Включение изменения просроченных паролей для пользователей Active Directory 62

Интеграция с каталогами LDAP 63Ограничения интеграции каталогов LDAP 63Интеграция каталога LDAP со службой 64

Добавление каталога после настройки аварийного переключения и резервирования 69

5. Использование локальных каталогов 71

Создание локального каталога 73Установка атрибутов пользователя на глобальном уровне 73Создание локального каталога 74Связывание локального каталога с поставщиком удостоверений 76

Изменение параметров локального каталога 77Удаление локального каталога 79

6. Дополнительная конфигурация для устройства

VMware Identity Manager . 81Использование подсистемы балансировки нагрузки или обратного прокси-сервера для

обеспечения внешнего доступа к VMware Identity Manager 81Применение корневого сертификата средства VMware Identity Manager в средстве

балансировки нагрузки 83Применение корневого сертификата средства балансировки нагрузки в

VMware Identity Manager 84Настройка параметров прокси-сервера для средства «» VMware Identity Manager 85

Настройка аварийного переключения и резервирования в одном центре обработки данных 86Рекомендуемое количество узлов в кластере VMware Identity Manager 86Изменение полного доменного имени VMware Identity Manager на полное доменное имя

балансировки нагрузки 87Клонирование виртуального устройства 88Назначение нового IP-адреса для клонированного виртуального устройства 89Включение синхронизации каталога на другом экземпляре в случае отказа 91

Развертывание VMware Identity Manager в резервном центре обработки данных дляобеспечения резервирования и аварийного переключения 92Настройка резервного центра обработки данных 94Аварийное переключение на резервный центр обработки данных 101Возврат в основной центр обработки данных 103Преобразование резервного центра обработки данных в основной 103Обновление VMware Identity Manager без простоев 104

7. Установка дополнительных устройств соединителя 105

Создание кода активации для соединителя 106Развертывание OVA-файла Соединитель 106Настройка параметров Соединитель 107


4 VMware Inc.

8. Подготовка к использованию проверки подлинности Kerberos наустройствах с ОС iOS 109Принятие решений перед настройкой KDC 110Инициализация центра распространения ключей в устройстве 111Создание общедоступных DNS-записей для центра распространения ключей (KDC) со

встроенной проверкой подлинности с помощью Kerberos 111

9. Устранение неполадок при установке и настройке 113

Пользователям не удается запустить приложения, или в средах с балансировкой нагрузкиприменяется неправильный метод проверки подлинности 113

После синхронизации каталога в группе не отображаются пользователи 114Устранение неполадок в Elasticsearch и RabbitMQ 114

Указатель 117

Содержание

VMware Inc. 5


6 VMware Inc.

Об установке и настройкеVMware Identity Manager

В руководстве по установке и настройке VMware Identity Manager содержатся сведения о процессеустановки и настройки устройства VMware Identity Manager. После установки можно использоватьконсоль администрирования, чтобы назначить пользователям права на доступ из несколькихуправляемых устройств к приложениям организации, включая приложения Windows, приложения,предоставляемые по модели «Программное обеспечение как услуга», а также виртуальныекомпьютеры View или Horizon. В руководстве также объясняется, как настроить развертывание дляобеспечения высокой доступности.

Целевая аудиторияЭта информация предназначена для администраторов VMware Identity Manager. Эти сведенияпредназначены для опытных администраторов систем Windows и Linux, знакомых с технологиямиVMware, в частности vCenter™, ESX™, vSphere® и View™, и принципами организации сети, а такжеумеющих работать с серверами Active Directory, базами данных, процедурами резервногокопирования и восстановления, серверами SMTP и NTP. SUSE Linux 11 представляет собой базовуюоперационную систему для виртуального устройства. Если планируется внедрять эти компоненты,пригодятся также знания о других технологиях, таких как VMware ThinApp® и RSA SecurID.

VMware Inc. 7


8 VMware Inc.

Подготовка к установкеVMware Identity Manager 1

Чтобы выполнить задачи по развертыванию и настройке VMware Identity Manager, нужно выполнитьпредварительные требования, развернуть OVA-файл VMware Identity Manager и завершить установкув мастере установки VMware Identity Manager.

VMware Inc. 9

Рисунок 1‑1. Диаграмма архитектуры типичных развертываний VMware Identity Manager

Ноутбук

ПК

Ноутбук

ПК

HTTPS (443)

HTTPS(443)

ДМЗ

HTTPS (443)

Корпоративная зона

VDI (HTML)

VDI (PCoIP/RDP)

VMware Identity Manager va

Полное доменное имя VMware Identity Manager:myidentitymanager.mycompany.com

HTTPSPCoIP

Сервер подключений

View

Службы DNS/NTP

RSASecurID

Службы каталоговили AD

Внешняябаза данных

РепозиторийThinApp

СерверCitrix

Обратный прокси-сервер

TCP/UDP (88) — только для iOS

AirWatchREST API

TCP/UDP (88) — только для iOS

Внутреннее средство балансировки нагрузкиmyidentitymanager.mycompany.com

мобильные устройства

Интернет

Корпоративные пользователи

ЛВС

Примечание. Если планируется включить проверку подлинности с использованием сертификатаили смарт-карты, используйте в средстве балансировки нагрузки сквозной режим, при которомпротокол SSL используется и после прохождения трафика через средство балансировки нагрузки, ане только до него. При такой конфигурации подтверждение SSL происходит между соединителем(компонентом VMware Identity Manager) и клиентом.

Примечание. В зависимости от расположения развертывания AirWatch API-интерфейсы RESTAirWatch могут находиться в облаке или в локальной среде.

В эту главу входят следующие темы:

n Требования к конфигурации системы и сети, на стр. 11

n Подготовка к развертыванию VMware Identity Manager, на стр. 15

n Программа улучшения качества программного обеспечения, на стр. 18


10 VMware Inc.

Требования к конфигурации системы и сетиВ этом разделе рассматривается развертывание в целом, в том числе подход к интеграции ресурсов,выбор момента для принятия решений об оборудовании, ресурсах и требования к сети.

Поддерживаемые версии vSphere и ESXПоддерживаются следующие версии vSphere и ESX Server:

n версия 5.0 с обновлением 2 (U2) и более новые версии

n версия 5.1 и более новые версии



Примечание. Обязательно включите синхронизацию времени на уровне узлов ESX с помощьюсервера NTP. В противном случае между виртуальными устройствами будет накапливаться разницаво времени.

При развертывании нескольких виртуальных устройств на разных узлах рекомендуется отключитьпараметр синхронизации времени с узлом и настроить сервер NTP непосредственно на каждомвиртуальном устройстве, чтобы исключить возникновение такой разницы.

Требования к оборудованиюУбедитесь в том, что соблюдены все требования по количеству виртуальных устройствVMware Identity Manager и ресурсов, выделенных для каждого из устройств.

Числопользователей До 1 000 1 000–10 000 10 000–25 000 25 000–50 000 50 000–100 000

Число серверовVMware IdentityManager

1 сервер 3 сервера сбалансировкойнагрузки

3 сервера сбалансировкойнагрузки



Числопроцессоров (насервер)

2 процессора 2 процессора 4 процессора 8 процессоров 8 процессоров

ОЗУ (на сервер) 6 Гбайт 6 Гбайт 8 Гбайт 16 Гбайт 32 Гбайт

Пространство надиске (на сервер)

60 Гбайт 100 Гбайт 100 Гбайт 100 Гбайт 100 Гбайт

При установке дополнительных внешних виртуальных устройств-соединителей необходимоубедиться в том, что соблюдены следующие требования.


Число серверовсоединителей

1 сервер 2 сервера сбалансировкойнагрузки




Числопроцессоров (насервер)

2 процессора 4 процессора 4 процессора 4 процессора 4 процессора

Глава 1 Подготовка к установке VMware Identity Manager

VMware Inc. 11


ОЗУ (на сервер) 6 Гбайт 6 Гбайт 8 Гбайт 16 Гбайт 16 Гбайт

Пространство надиске (на сервер)


Требования к базе данныхНастройте параметры VMware Identity Manager для сохранения и сортировки данных серверов вовнешней базе данных. Внутренняя база данных PostgreSQL встроена в виртуальное устройство, но еене рекомендуется использовать в рабочей среде.

Дополнительные сведения о поддерживаемых версиях баз данных и конфигурациях пакетовобновления см. в таблицах совместимости продуктов VMware по адресу http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

К внешней базе данных SQL Server предъявляются следующие требования.


Процессор 2 процессора 2 процессора 4 процессора 8 процессоров 8 процессоров

ОЗУ 4 Гбайт 4 Гбайт 8 Гбайт 16 Гбайт 32 Гбайт

Дисковоепространство


Требования к конфигурации сети

Компонент Минимальные требования

DNS-запись и IP-адрес IP-адрес и DNS-запись

Порт брандмауэра Убедитесь, что порт 443 брандмауэра входящего трафика открыт дляподключения пользователей за пределами сети к экземпляру средстваVMware Identity Manager или средству балансировки нагрузки.

Обратный прокси-сервер Разверните обратный прокси-сервер, например Access Policy Manager от F5, вдемилитаризованной зоне, чтобы разрешить пользователям получатьбезопасный удаленный доступ к порталу пользователейVMware Identity Manager.

Требования к портамПорты, используемые в конфигурации сервера , описаны здесь. Развертывание может включать всебя только часть этих портов. Вот два возможных сценария:

n Для синхронизации пользователей и групп из Active Directory VMware Identity Managerнеобходимо подключиться к Active Directory.

n Для синхронизации с помощью ThinApp диспетчер VMware Identity Manager долженприсоединиться к домену Active Directory и подключиться к общему ресурсу в репозиторииThinApp.


12 VMware Inc.

https://www.vmware.com/resources/compatibility/sim/interop_matrix.php

Порт Портал Источник Место назначения Описание

443 HTTPS Средство балансировкинагрузки

Виртуальное устройствоVMware Identity Manager

443 HTTPS Виртуальное устройствоVMware Identity Manager


443 HTTPS Браузеры Виртуальное устройствоVMware Identity Manager


vapp-updates.vmware.com Доступ к серверуобновления

8443 HTTPS Браузеры Виртуальное устройствоVMware Identity Manager

Портадминистратора

25 SMTP Виртуальное устройствоVMware Identity Manager

SMTP Порт для передачиисходящей почты

38963632683269

LDAPLDAPSMSFT-GCMSFT-GC-SSL


Active Directory Здесь приведенызначения поумолчанию. Этипортынастраиваются.

445 TCP Виртуальное устройствоVMware Identity Manager

Репозиторий VMware ThinApp Доступ крепозиториюThinApp

5500 UDP Виртуальное устройствоVMware Identity Manager

Система RSA SecurID Отображаетсязначение поумолчанию. Этотпортнастраивается.

53 TCP/UDP Виртуальное устройствоVMware Identity Manager

Сервер DNS Для каждоговиртуальногоустройства долженбыть настроендоступ к серверуDNS через порт 53и разрешенвходящий SSH-трафик черезпорт 22

88, 464, 135 TCP/UDP Виртуальное устройствоVMware Identity Manager

Контроллер домена

9300–9400 TCP Виртуальное устройствоVMware Identity Manager


Используется длязадач аудита

54328 UDP

1433, 5432,1521

TCP Виртуальное устройствоVMware Identity Manager

База данных По умолчанию дляMicrosoft SQLиспользуетсяпорт 1433.По умолчанию дляOracle используетсяпорт 1521

443 Виртуальное устройствоVMware Identity Manager

Сервер View Доступ к серверуView


VMware Inc. 13

Порт Портал Источник Место назначения Описание

80, 443 TCP Виртуальное устройствоVMware Identity Manager

Сервер Citrix Integration Broker Подключение кCitrix IntegrationBroker. Параметрпорта зависит оттого, установлен лисертификат насервере IntegrationBroker.


AirWatch REST API Для проверкисоответствияустройстватребованиям ипроверкиподлинности спомощью пароляAirWatch CloudConnector (прииспользовании).

88 TCP/UDP Мобильное устройство iOS Виртуальное устройствоVMware Identity Manager

Порт используетсядля трафикаKerberos междуустройством iOS ивстроеннымцентром KDC.

5262 TCP Мобильное устройствоAndroid

Прокси-служба AirWatchHTTPS

Клиент AirWatchTunnel направляеттрафик на прокси-сервер HTTPS дляустройств Android.

Active DirectoryVMware Identity Manager поддерживает Active Directory в Windows 2008, 2008 R2, 2012 и 2012 R2. Нафункциональном уровне домена и леса поддерживается Windows 2003 и более новые версии этойОС.

Поддерживаемые веб-браузеры для доступа к консолиадминистрирования

Консоль администрирования VMware Identity Manager представляет собой веб-приложение, котороеиспользуется для управления арендатором. Получить доступ к консоль администрирования можно спомощью следующих браузеров:

n Internet Explorer 11 для систем Windows.

n Google Chrome версии 42.0 или более новых версий для систем Windows и Mac.

n Mozilla Firefox версии 40 или более новых версий для систем Windows и Mac.

n Safari 6.2.8 и более новые версии для систем Mac.

Примечание. В Internet Explorer 11 должны быть включены JavaScript и использование файловcookie для проверки подлинности с помощью VMware Identity Manager.


14 VMware Inc.

Поддерживаемые браузеры для доступа к порталу Workspace ONEКонечные пользователи могут получить доступ к порталу Workspace ONE с помощью следующихбраузеров.

n Mozilla Firefox (новейшая версия)

n Google Chrome (новейшая версия)

n Safari (новейшая версия)

n Internet Explorer 11

n Microsoft Edge

n Google Chrome и встроенный браузер на устройствах с Android

n Safari на устройствах с iOS.

Примечание. В Internet Explorer 11 должны быть включены JavaScript и использование файловcookie для проверки подлинности с помощью VMware Identity Manager.

Подготовка к развертыванию VMware Identity ManagerПеред развертыванием VMware Identity Manager необходимо подготовить среду. В частности, следуетзагрузить файл OVA для VMware Identity Manager, создать DNS-записи, а также получить IP-адреса.

Необходимые условия

Прежде чем приступить к установке VMware Identity Manager, выполните предварительные задачи.

n Чтобы развернуть виртуальное устройство VMware Identity Manager, понадобится один илинесколько серверов ESX Server.

Примечание. Дополнительные сведения о поддерживаемых версиях vSphere и ESX Server см. втаблицах совместимости продуктов VMware по адресуhttp://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

n Для развертывания файла OVA и удаленного доступа к развернутому виртуальному устройствудля настройки сети необходим клиент VMware vSphere Client или веб-клиент vSphere Web Client.

n Загрузите OVA-файл VMware Identity Manager с веб-сайта VMware.

Создание DNS-записей и IP-адресовDNS-запись и статический IP-адрес должны быть доступными для виртуального устройства средства«» VMware Identity Manager. Так как администрирование DNS-записями и IP-адресами в разныхкомпаниях осуществляется по-разному, перед началом установки необходимо отправить запрос наполучение DNS-записи и IP-адресов, которые нужно использовать.

Настройка обратного просмотра необязательна. При реализации обратного просмотра необходимоопределить на сервере DNS запись PTR. Это позволит виртуальным устройствам использоватьправильные настройки сети.

Обратившись к администратору сети, можно использовать следующие образцы DNS-записей.Замените эти образцы сведениями из вашей среды. В этом примере показана DNS-запись и IP-адресдля перенаправления.


VMware Inc. 15

Таблица 1‑1. Пример DNS-записи и IP-адреса для перенаправления

Доменное имя Тип ресурса IP-адрес

myidentitymanager.company.com A 10.28.128.3

В этом примере показана DNS-запись и IP-адрес для обратного перенаправления.

Таблица 1‑2. Пример DNS-записи и IP-адреса для обратного перенаправления

IP-адрес Тип ресурса Имя узла

10.28.128.3 PTR myidentitymanager.company.com

После настройки DNS убедитесь, что обратный просмотр DNS настроен правильно. Например, спомощью команды виртуального устройства host IPaddress можно выполнить поиск имени всистеме DNS.

Использование сервера DNS на базе ОС Linux или UnixЕсли используется сервер DNS на базе ОС Linux или Unix и планируется присоединение средства «»VMware Identity Manager к домену Active Directory, для каждого контроллера домена Active Directoryнеобходимо создать соответствующие записи расположения службы (SRV).

Примечание. При наличии подсистемы балансировки нагрузки с виртуальным IP-адресом (VIP)перед DNS-серверами следует учитывать, что VMware Identity Manager не поддерживаетиспользование VIP. При необходимости можно указать несколько DNS-серверов через запятую.

Параметры базы данных при использовании с VMware Identity ManagerНастройте VMware Identity Manager с внешней базой данных, чтобы хранить и упорядочивать данныесервера. Внутренняя база данных PostgreSQL встроена в устройство, но ее не рекомендуетсяиспользовать в рабочей среде.

Чтобы использовать внешнюю базу данных, администратор баз данных должен сначала подготовитьпустую внешнюю базу данных и схему, а затем подключиться к ней с помощью мастера установки.Лицензированные пользователи могут использовать сервер базы данных Oracle или Microsoft SQL,чтобы создать среду внешней базы данных высокой доступности. См. раздел Подключение к базеданных, на стр. 35.

Подключение к корпоративному каталогуВ VMware Identity Manager для проверки подлинности пользователей и управления имииспользуется инфраструктура корпоративных каталогов. VMware Identity Manager можноинтегрировать в среду Active Directory, которая состоит из одного домена Active Directory, несколькихдоменов в одном лесу Active Directory или нескольких доменов в нескольких лесах Active Directory.Пользователи также могут интегрировать VMware Identity Manager с каталогом LDAP. Чтобысинхронизировать пользователей и группы, необходимо подключить виртуальное устройствоVMware Identity Manager к каталогу.

Каталог должен быть доступен в той же локальной сети, что и виртуальное устройствоVMware Identity Manager.

Дополнительные сведения см. в разделе Глава 4, Интеграция с корпоративным каталогом, на стр. 45.


16 VMware Inc.

Контрольные списки развертыванияКонтрольный список развертывания можно использовать, чтобы собрать необходимую информациюдля установки виртуального устройства VMware Identity Manager.

Информация для полного доменного имениТаблица 1‑3. Контрольный список для полного доменного имени

Информация, которую нужно собрать Укажите информацию

Полное доменное имя VMware Identity Manager

Информация о сети для виртуального устройства VMware Identity ManagerТаблица 1‑4. Контрольный список информации о сети


IP-адрес Необходимо использовать статический IP-адрес, в DNS-имени которого нужно определить запись PTR и A.

Имя DNS для этого виртуального устройства

Адрес шлюза по умолчанию

Префикс или маска подсети

Сведения о каталогеVMware Identity Manager поддерживает интеграцию со средами Active Directory или каталогомLDAP.

Таблица 1‑5. Контрольный список для информации по контроллеру домена Active Directory


Имя сервера Active Directory

Доменное имя Active Directory

Базовое различающееся имя

Для Active Directory с протоколом LDAP: имяпользователя и пароль для различающегося имени дляподключения

Для Active Directory с встроенной проверкойподлинности Windows: имя пользователя и парольучетной записи, имеющей права для присоединениякомпьютеров к домену.

Таблица 1‑6. Контрольный список для сервера каталога LDAP


Имя сервера или IP-адрес каталога LDAP

Номер порта сервера каталога LDAP

Базовое различающееся имя

Имя пользователя и пароль для различающегосяимени для подключения


VMware Inc. 17

Таблица 1‑6. Контрольный список для сервера каталога LDAP (продолжение)


Фильтры поиска LDAP для объектов групп,пользователей и пользователей подключений

Имена атрибутов LDAP для членства, идентификатораUUID-объекта и различающегося имени

Сертификаты SSLСертификат SSL можно добавить после развертывания виртуального устройстваVMware Identity Manager.

Таблица 1‑7. Контрольный список сертификата SSL


сертификат SSL

Закрытый ключ

Лицензионный ключТаблица 1‑8. Контрольный список по информации о лицензионном ключе VMware Identity Manager


Лицензионный ключ

Примечание. Информация о лицензионном ключе вводится в консоли администрирования настранице Настройки устройства > Лицензия после завершения установки.

Внешняя база данныхТаблица 1‑9. Контрольный список по внешней базе данных


Имя узла базы данных

Порт

Имя пользователя

Пароль

Программа улучшения качества программного обеспеченияПри установке виртуального устройства VMware Identity Manager можно принять участие впрограмме улучшения качества программного обеспечения VMware.

Если вы участвуете в этой программе, VMware собирает анонимные данные о развертывании, чтобылучше удовлетворять требованиям пользователей. Данные, идентифицирующие организацию, несобираются.

Перед сбором данных VMware делает анонимными все поля со сведениями об организации.

Примечание. Если для сети настроен доступ к Интернету через прокси-сервер HTTP, чтобыотправить эти сведения, на виртуальном устройстве VMware Identity Manager необходимо настроитьпараметры прокси-сервера. См. раздел Настройка параметров прокси-сервера для средства «»VMware Identity Manager, на стр. 31.


18 VMware Inc.

РазвертываниеVMware Identity Manager 2

Чтобы развернуть VMware Identity Manager, выполните развертывание на основе шаблона OVF спомощью vSphere Client или vSphere Web Client, включите виртуальное устройствоVMware Identity Manager и выполните настройку.

После развертывания виртуального устройства VMware Identity Manager с помощью мастеранастройки выполните настройку среды VMware Identity Manager.

Используйте информацию в контрольном списке развертывания для завершения установки. См.раздел Контрольные списки развертывания, на стр. 17.


n Установка OVA-файла VMware Identity Manager, на стр. 19

n (Необязательно.) Добавление пулов IP-адресов, на стр. 21

n Настройка параметров VMware Identity Manager, на стр. 22

n Настройка параметров прокси-сервера для средства «» VMware Identity Manager, на стр. 31

n Ввод лицензионного ключа, на стр. 32

Установка OVA-файла VMware Identity ManagerРазверните файл OVA VMware Identity Manager с помощью клиента vSphere Client илиvSphere Web Client. Файл OVA можно загрузить и развернуть из локального расположения,доступного для vSphere Client, или развернуть, используя URL-адрес в Интернете.

Примечание. Если используется веб-клиент vSphere Web Client, воспользуйтесь для развертыванияфайла OVA браузером Firefox или Chrome. Не используйте Internet Explorer.


Изучены сведения в разделе Глава 1, Подготовка к установке VMware Identity Manager, на стр. 9.

Процедура

1. Загрузите OVA-файл VMware Identity Manager с портала My VMware.

2. Войдите в клиент vSphere Client или веб-клиент vSphere Web Client.

3. Выберите Файл > Развернуть шаблон OVF.

VMware Inc. 19

4. В мастере создания развертывания шаблона OVF укажите следующую информацию.

Страница Описание

Источник Перейдите к расположению пакета OVA или введите допустимыйURL-адрес.

Сведения о шаблоне OVF Просмотрите сведения о продукте, в том числе требования к версиями размеру.

Лицензионное соглашение сконечным пользователем

Ознакомьтесь с условиями лицензионного соглашения и нажмитекнопку Принимаю.

Имя и расположение Введите имя виртуального устройства VMware Identity Manager. Имядолжно быть уникальным в пределах папки иерархии и содержать неболее 80 символов. Имена следует вводить с учетом регистра.Выберите расположение для виртуального устройства.

Узел или кластер Выберите узел или кластер, на котором необходимо запуститьвиртуальное устройство.

Пул ресурсов Выберите пул ресурсов.

Хранилище Выберите место для хранения файлов виртуального устройства.Можно также выбрать профиль хранилища ВМ.

Формат диска Выберите формат диска для файлов. Для производственных средследует использовать формат выделения полного объема ресурсов.Для оценки и тестирования используйте формат динамическоговыделения ресурсов.В формате выделения полного объема ресурсов все пространство,необходимое для виртуального диска, выделяется во времяразвертывания. В формате динамического выделения ресурсовиспользуется только такой объем дискового пространства, которыйнеобходим для начальных операций.

Сопоставление сетей Сопоставьте сети, используемые в VMware Identity Manager, с сетямив иерархии.


20 VMware Inc.


Свойства а) В поле Часовой пояс выберите правильный часовой пояс.б) Флажок Программа улучшения качества программного

обеспечения установлен по умолчанию. В рамках этойпрограммы VMware собирает анонимные данные оразвертывании, чтобы лучше удовлетворять требованиямпользователей. Снимите флажок, чтобы данные не собирались.

в) Введите имя узла в текстовом поле Имя узла (полное доменноеимя). Если оставить это поле пустым, для поиска имени узлабудет использоваться обратный поиск DNS.

г) Настройте свойства сети.n Чтобы настроить статический IP-адрес

VMware Identity Manager, заполните поля Шлюз поумолчанию, DNS, IP-адрес и Маска сети.Примечание. При наличии подсистемы балансировкинагрузки с виртуальным IP-адресом (VIP) перед DNS-серверами следует учитывать, что VMware Identity Manager неподдерживает использование VIP. При необходимости можноуказать несколько DNS-серверов через запятую.Важно. Если оставить хотя бы одно поле пустым, включаяполе Имя узла, будет использоваться протокол DHCP.

n Чтобы настроить протокол DHCP, оставьте адресные поляпустыми.

Примечание. Поля Доменное имя и Путь поиска домена неиспользуются. Их можно оставить пустыми.(Необязательно.) После установки VMware Identity Manager можнонастроить пулы IP-адресов. См. раздел (Необязательно.) Добавлениепулов IP-адресов, на стр. 21.

Готово к завершению Проверьте выбранные параметры и нажмите кнопку Готово. Развертывание может занять несколько минут в зависимости от скорости сети. Ход выполненияможно просмотреть в открывшемся диалоговом окне.

5. По завершении развертывания нажмите кнопку Закрыть в диалоговом окне выполнения.

6. Выберите развертываемое виртуальное устройство VMware Identity Manager, щелкните егоправой кнопкой мыши и выберите Питание > Включить.

Виртуальное устройство VMware Identity Manager инициализировано. Сведения можнопросмотреть на вкладке Консоль. После завершения инициализации виртуального устройствана экране консоли отобразится версия, IP-адрес и URL-адреса VMware Identity Manager, спомощью которых можно войти в веб-интерфейс VMware Identity Manager для завершениянастройки.

Следующие шаги

n (Необязательно.) Добавление пулов IP-адресов.

n Настройте параметры VMware Identity Manager, в том числе подключение к каталогуActive Directory или LDAP, и выберите пользователей и группы для синхронизации сVMware Identity Manager.

(Необязательно.) Добавление пулов IP-адресовВ VMware Identity Manager конфигурация сети с пулами IP-адресов необязательна. Пулы IP-адресовможно добавить вручную к виртуальному устройству VMware Identity Manager после его установки.

Чтобы назначить IP-адреса из пула в виртуальное устройство VMware Identity Manager, пулы IP-адресов действуют как серверы DHCP. Для использования пулов IP-адресов необходимо изменитьсвойства сети виртуального устройства, чтобы выбрать динамические параметры и настроить такиепараметры, как маска подсети, шлюз и DNS.

Глава 2 Развертывание VMware Identity Manager

VMware Inc. 21


Виртуальное устройство должно быть выключено.

Процедура

1. В vSphere Client или vSphere Web Client щелкните правой кнопкой мыши виртуальноеустройство VMware Identity Manager и выберите Изменить параметры.

2. Перейдите на вкладку Параметры.

3. В разделе Параметры vApp щелкните Дополнительно.

4. В разделе «Свойства» справа нажмите кнопку Свойства.

5. В диалоговом окне «Дополнительные свойства конфигурации» настройте такие клавиши:

n vami.DNS.WorkspacePortal

n vami.netmask0.WorkspacePortal

n vami.gateway.WorkspacePortal

а) Выберите одну из клавиш и щелкните Изменить.

б) В диалоговом окне «Изменение параметров свойства» рядом с полем Тип щелкнитеИзменить.

в) В диалоговом окне «Изменение типа свойства» выберите Динамическое свойство исоответствующее значение в раскрывающемся меню для параметров Маска подсети, Адресшлюза и DNS-серверы.

г) Щелкните ОК, а затем щелкните ОК еще раз.

д) Повторите эти действия для настройки каждой клавиши.

6. Включите виртуальное устройство.

Свойства настроены для использования пулов IP-адресов.


Настройте параметры VMware Identity Manager.

Настройка параметров VMware Identity ManagerПосле развертывания файла OVA VMware Identity Manager используйте мастер установки, чтобызадать пароли и выбрать базу данных. Затем необходимо настроить подключение к каталогуActive Directory или LDAP.


n Виртуальное устройство VMware Identity Manager включено.

n Если используется внешняя база данных, она должна быть настроена и должны быть доступнысведения о подключении к ней. Дополнительные сведения см. в разделе Подключение к базеданных, на стр. 35.

n Ознакомьтесь с требованиями и ограничениями в главах Глава 4, Интеграция с корпоративнымкаталогом, на стр. 45, Интеграция с Active Directory, на стр. 47, а также Интеграция каталогаLDAP со службой, на стр. 64.

n Доступны сведения о каталоге Active Directory или каталоге LDAP.


22 VMware Inc.

n Если настроены несколько лесов Active Directory, а в локальной группе домена есть участники,принадлежащие к доменам в разных лесах, пользователя с различающимся имением дляподключения, указанного на странице каталога VMware Identity Manager, необходимо добавитьвгруппу администраторов домена, к которому относится локальная группа. Если этого не сделано,в локальной группе домена эти участники будут отсутствовать.

n Составлен список пользовательских атрибутов, которые нужно использовать в качествефильтров, а также список групп для добавления в VMware Identity Manager.

Процедура

1. Перейдите по URL-адресу VMware Identity Manager, который отображается на синем экране навкладке Консоль. Например, https://имя_узла.example.com.

2. Примите сертификат, если отобразится запрос.

3. На странице «Начало работы» щелкните Продолжить.

4. На странице «Задать пароли» установите пароли для следующих учетных записейадминистраторов, которые используются для управления устройством, а затем щелкнитеПродолжить.

Учетная запись

Администратор устройства Задайте пароль для пользователя admin. Это имя пользователянельзя изменить. Учетная запись admin используется дляуправления настройками устройства.Важно. Пароль пользователя admin должен состоять не менеечем из 6 символов.

Привилегированный пользовательустройства

Задайте пароль для привилегированного пользователя. Упривилегированного пользователя есть все права наиспользование устройства.

Удаленные пользователи Задайте пароль SSH-пользователя, который используется дляудаленного входа на устройство с подключением по протоколуSSH.

5. На странице «Выбрать базу данных» выберите базу данных, которую необходимо использовать.

Дополнительные сведения см. в разделе Подключение к базе данных, на стр. 35.

n При использовании внешней базы данных выберите значение Внешняя база данных ивведите сведения о подключении, имя пользователя и пароль для нее. Чтобы убедиться ввозможности подключения VMware Identity Manager к базе данных, щелкнитеПротестировать соединение.

После проверки подключения щелкните Продолжить.

n Если используется внутренняя база данных, щелкните Продолжить.

Примечание. Внутреннюю базу данных не рекомендуется использовать в рабочих средах.

Теперь подключение к базе данных настроено, и база данных будет инициализирована. Позавершении процесса откроется страница Настройка завершена.

6. Выберите ссылку Войти в консоль администрирования на странице Настройка завершена,чтобы войти в консоль администрирования и настроить подключение к каталогу Active Directoryили LDAP.


VMware Inc. 23

7. Войдите в консоль администрирования, используя учетную запись Администратор и заданныйпароль.

Выполнен вход в систему в качестве локального администратора. Отобразится страница«Каталоги». Прежде чем добавить каталог, ознакомьтесь с требованиями и ограничениями вглавах Глава 4, Интеграция с корпоративным каталогом, на стр. 45, Интеграция сActive Directory, на стр. 47, а также Интеграция каталога LDAP со службой, на стр. 64.

8. Откройте вкладку Управление учетными данными и доступом.

9. Щелкните Настройка > Атрибуты пользователя, чтобы выбрать атрибуты для синхронизациис каталогом.

Атрибуты по умолчанию будут перечислены в списке, в котором можно выбрать обязательные.Если отметить атрибут в качестве обязательного, только пользователи с этим атрибутом будутсинхронизироваться со службой. Кроме того, можно добавить другие атрибуты.

Важно. После создания каталога атрибут уже нельзя сделать обязательным. Такие атрибутынеобходимо выбрать сейчас.

Кроме того, учитывайте, что настройки на странице «Атрибуты пользователя» применяются ковсем каталогам службы. Прежде чем отметить атрибут в качестве обязательного, оцените еговлияние на другие каталоги. Если отметить атрибут в качестве обязательного, пользователи безэтого атрибута не будут синхронизироваться со службой.

Важно. Если планируется синхронизировать ресурсы XenApp с VMware Identity Manager,необходимо сделать distinguishedName обязательным атрибутом.

10. Нажмите кнопку Сохранить.


12. На странице «Каталоги» щелкните Добавить каталог и выберите команду Добавить каталогActive Directory с помощью LDAP или IWA или Добавить каталог LDAP в зависимости оттипа интегрируемого каталога.

Кроме того, можно создать в службе локальный каталог. Дополнительные сведения обиспользовании локальных каталогов см. в разделе Глава 5, Использование локальных каталогов,на стр. 71.


24 VMware Inc.

13. При использовании Active Directory выполните следующие шаги.

а) Введите имя каталога, создаваемого в VMware Identity Manager, а затем его тип(Active Directory с протоколом LDAP или Active Directory (встроенная проверкаподлинности Windows)).

б) Предоставьте сведения о подключении.

Параметр Описание

Active Directory с протоколомLDAP

1. В поле Синхронизируйте соединитель выберитесоединитель, который необходимо использовать длясинхронизации пользователей и групп Active Directory скаталогом VMware Identity Manager.

Компонент соединителя всегда доступен в службеVMware Identity Manager по умолчанию. Этот соединительотображается в раскрывающемся списке. Если для высокойдоступности установлены несколько устройствVMware Identity Manager, компонент соединителя каждого изних будет в этом списке.

2. В поле Проверка подлинности выберите значение Да, еслинеобходимо использовать этот каталог Active Directory, чтобыпроверять подлинность пользователей.

Если для проверки подлинности пользователей необходимоприменять сторонний поставщик удостоверений, выберитезначение Нет. После настройки подключения Active Directoryдля синхронизации пользователей и групп перейдите настраницу Управление учетными данными и доступом >Управление > Поставщики удостоверений, чтобы добавитьсторонний поставщик удостоверений для проверкиподлинности.

3. В поле Атрибут поиска каталогов выберите атрибут учетнойзаписи, который содержит имя пользователя.

4. Если в Active Directory используется поиск данных орасположении служб DNS, выберите приведенные нижепараметры.n В разделе Расположение сервера установите флажок

Данный каталог поддерживает поиск размещенияслужбы DNS.

При создании каталога будет создан файлdomain_krb.properties, который автоматическизаполняется списком контроллеров домена. См. Выборконтроллера домена (файл domain_krb.properties), настр. 49.

n Если для Active Directory требуется шифрованиеSTARTTLS, в разделе Сертификаты установите флажокВсе подключения объектов, входящих в данныйкаталог, выполняются с использованием протоколаSSL, а также скопируйте и вставьте сертификат корневогоцентра сертификации Active Directory в поле СертификатSSL.

Убедитесь, что сертификат находится в формате PEM исодержит строки BEGIN CERTIFICATE и ENDCERTIFICATE.Примечание. Если для Active Directory требуетсяпротокол STARTTLS, а сертификат не предоставлен,создать каталог невозможно.

5. Если в Active Directory не используется поиск данных орасположении служб DNS, выберите приведенные нижепараметры.


VMware Inc. 25


n Убедитесь, что в разделе Расположение сервера неустановлен флажок Данный каталог поддерживаетпоиск размещения службы DNS, и введите имя узласервера и номер порта Active Directory.

Сведения о том, как настроить каталог в качествеглобального каталога, см. в разделе «Среда Active Directoryв нескольких доменах и одном лесу» в СредыActive Directory, на стр. 47.

n Если для Active Directory требуется доступ по протоколуSSL, в разделе Сертификаты установите флажок Всеподключения объектов, входящих в данный каталог,выполняются с использованием протокола SSL, а такжескопируйте и вставьте сертификат корневого центрасертификации Active Directory в поле Сертификат SSL.

Убедитесь, что сертификат находится в формате PEM исодержит строки BEGIN CERTIFICATE и ENDCERTIFICATE.Примечание. Если для Active Directory требуетсяпротокол SSL, а сертификат не предоставлен, создатькаталог невозможно.

6. В разделе Разрешить изменение паролей выберите параметрВключить функцию изменения паролей, если необходиморазрешить пользователям сбрасывать свои пароли на страницевхода в VMware Identity Manager, когда срок действия пароляистечет или если администратор Active Directory сброситпароль пользователя.

7. В поле Базовое различающееся имя введите различающеесяимя, с которого будет начинаться поиск учетных записей.Например, OU=myUnit, DC=myCorp, DC=com.

8. В поле Различающееся имя для подключения введитеучетную запись с правом поиска пользователей. Например,CN=binduser,OU=myUnit,DC=myCorp,DC=com.Примечание. Рекомендуется использовать учетную записьпользователя различающегося имени для подключения спаролем без срока действия.

9. После ввода пароля подключения щелкните Протестироватьсоединение, чтобы проверить, может ли каталогподключиться к Active Directory.

Active Directory (службапроверки подлинности,встроенная в Windows)

1. В поле Синхронизируйте соединитель выберитесоединитель, который необходимо использовать длясинхронизации пользователей и групп Active Directory скаталогом VMware Identity Manager.


2. Если необходимо использовать этот каталог Active Directoryдля проверки подлинности пользователей, в поле Проверкаподлинности выберите значение Да.

Если для проверки подлинности пользователей необходимоприменять сторонний поставщик удостоверений, выберитезначение Нет. После настройки подключения Active Directoryдля синхронизации пользователей и групп перейдите настраницу Управление учетными данными и доступом >Управление > Поставщики удостоверений, чтобы добавитьсторонний поставщик удостоверений для проверкиподлинности.


26 VMware Inc.

Параметр Описание3. В поле Атрибут поиска каталогов выберите атрибут учетной

записи, который содержит имя пользователя.4. Если для Active Directory требуется шифрование STARTTLS, в

разделе Сертификаты установите флажок Все подключенияобъектов, входящих в данный каталог, выполняются сиспользованием протокола STARTTLS, а также скопируйтеи вставьте сертификат корневого центра сертификацииActive Directory в поле Сертификат SSL.

Убедитесь, что сертификат находится в формате PEM исодержит строки BEGIN CERTIFICATE и END CERTIFICATE.

Если в каталоге несколько доменов, добавьте сертификатыкорневого центра сертификации для всех доменов поотдельности.Примечание. Если для Active Directory требуется протоколSTARTTLS, а сертификат не предоставлен, создать каталогневозможно.

5. Введите доменное имя Active Directory для присоединения.Введите имя и пароль пользователя, у которого есть право наприсоединение к домену. Дополнительные сведения см. вразделе Разрешения, необходимые для присоединения кдомену, на стр. 55.

6. В разделе Разрешить изменение паролей выберите параметрВключить функцию изменения паролей, если необходиморазрешить пользователям сбрасывать свои пароли на страницевхода в VMware Identity Manager, когда срок действия пароляистечет или если администратор Active Directory сброситпароль пользователя.

7. Заполните поле Имя участника-пользователя подключениядля пользователя, который может выполнять проверкуподлинности в домене. Например,имя_пользователя@example.com.Примечание. Рекомендуется использовать учетную записьпользователя различающегося имени для подключения спаролем без срока действия.

8. Введите пароль пользователя с различающимся именем дляподключения.

в) Нажмите Сохранить и Далее.

Откроется страница со списком доменов.


VMware Inc. 27

14. При использовании каталогов LDAP выполните следующие шаги.

а) Предоставьте сведения о подключении.


Имя каталога Имя для каталога, создаваемого в VMware Identity Manager.

Синхронизация службыкаталогов и проверкаподлинности

1. В поле Синхронизируйте соединитель выберитесоединитель, который необходимо использовать длясинхронизации пользователей и групп каталога LDAP скаталогом VMware Identity Manager.


В отдельном соединителе для каталога LDAP нетнеобходимости. Соединитель может поддерживать несколькокаталогов, будь то каталоги Active Directory или LDAP.

2. В поле Проверка подлинности выберите значение Да, еслинеобходимо использовать этот каталог LDAP, чтобы проверятьподлинность пользователей.

Если для проверки подлинности пользователей необходимоприменять сторонний поставщик удостоверений, выберитеНет. После подключения к каталогу для синхронизациипользователей и групп перейдите на страницу Управлениеучетными данными и доступом > Управление >Поставщики удостоверений, чтобы добавить стороннийпоставщик удостоверений для проверки подлинности.

3. В поле Атрибут поиска каталога укажите атрибут каталогаLDAP, который будет использоваться в качестве именипользователя. Если необходимого атрибута нет в списке,выберите параметр Пользовательский и введите имяатрибута. Например, cn.

Расположение сервера Введите имя узла и номер порта узла сервера каталога LDAP. Вкачестве узла сервера можно указать полное доменное имя или IP-адрес. Например, myLDAPserver.example.com или 100.00.00.0.При наличии серверного кластера за средством балансировкинагрузки введите вместо этого сведения о средстве балансировкинагрузки.

Настройка LDAP Укажите фильтры и атрибуты поиска LDAP, которыеVMware Identity Manager следует использовать для созданиязапроса каталога LDAP. Значения по умолчанию указываются,исходя из данных основной схемы LDAP.Запросы LDAPn Получить группы: поисковой фильтр для получения

объектов группы.

Например, (objectClass=group).n Получить пользователя подключения: фильтр поиска для

получения объекта пользователя подключения, то естьпользователя, который может подключаться к каталогу.

Например, (objectClass=person).n Получить пользователя: поисковой фильтр, позволяющий

получать данные пользователей, которых необходимосинхронизировать.

Например,(&(objectClass=user)(objectCategory=person)).

Атрибуты


28 VMware Inc.


n Состав: атрибут, который используется в каталоге LDAP дляопределения участников группы.

Например, member.n Универсальный уникальный идентификатор объекта:

атрибут, который используется в каталоге LDAP дляопределения универсального уникального идентификаторапользователя и группы.

Например, entryUUID.n Различающееся имя: атрибут, который используется в

каталоге LDAP для определения различающегося именипользователя или группы.

Например, entryDN.

Сертификаты Если необходимо настроить получение доступа к каталогу LDAP сиспользованием SSL, выберите параметр Все подключенияобъектов, входящих в данный каталог, выполняются сиспользованием протокола SSL, а затем скопируйте и вставьтесертификат SSL из корневого центра сертификации, настроенногодля сервера каталога LDAP. Убедитесь, что сертификат находится вформате PEM и содержит строки BEGIN CERTIFICATE и ENDCERTIFICATE.

Сведения о пользователеподключения

Базовое различающееся имя: введите различающееся имя, скоторого будет начинаться поиск. Например,cn=users,dc=example,dc=com.Различающееся имя для подключения — введите имяпользователя, которое следует использовать для подключения ккаталогу LDAP.Примечание. Рекомендуется использовать учетную записьпользователя различающегося имени для подключения с паролембез срока действия.Пароль для базового различающегося имени — введите парольдля пользователя с различающимся именем для подключения.

б) Чтобы проверить подключение к серверу каталога LDAP, щелкните Протестировать

соединение.

Если не удастся установить подключение, проверьте введенные сведения и внеситесоответствующие изменения.

в) Нажмите Сохранить и Далее.

Откроется страница, на которой указан домен.

15. Указанный домен каталога LDAP изменить нельзя.

Для Active Directory с протоколом LDAP указанные домены изменить нельзя.

Для Active Directory (встроенная проверка подлинности Windows) выберите домены, которыенеобходимо связать с этим подключением к Active Directory.

Примечание. В случае добавления доверенного домена после создания каталога новыйдоверенный домен служба автоматически не обнаруживает. Чтобы служба смогла обнаружитьдомен, соединитель соединитель должен отсоединиться от домена, а затем снова присоединитьсяк нему. После того как соединитель снова присоединится к домену, доверенный домен появится всписке.

Нажмите кнопку Далее.


VMware Inc. 29

16. Убедитесь, что имена атрибутов VMware Identity Manager сопоставлены с соответствующимиатрибутами Active Directory или LDAP и при необходимости внесите изменения.

Важно. При интеграции каталога LDAP необходимо указать сопоставление для атрибутадомена.

17. Нажмите кнопку Далее.

18. Выберите группы в каталоге Active Directory или LDAP, которые должны синхронизироваться скаталогом VMware Identity Manager.


Укажите различающиеся именагрупп

Чтобы выбрать группы, укажите одно или несколько различающихсяимен и выберите под ними группы.а) Щелкните знак + и укажите различающееся имя группы.

Например, CN=users,DC=example,DC=company,DC=com.Важно. Следует указывать различающиеся имена групп,которые имеют базовое различающееся имя, введенное вамиранее. Если различающееся имя группы не соответствуетбазовому различающемуся имени, данные пользователей изгруппы с этим различающимся именем будутсинхронизироваться, но сами пользователи не смогут выполнитьвход.

б) Щелкните Поиск групп.

В столбце Число синхронизируемых групп указываетсяколичество групп с заданным различающимся именем.

в) Если необходимо выбрать все группы, которым назначено эторазличающееся имя, щелкните Выбрать все. В противном случаещелкните Выбрать и выберите конкретные группы длясинхронизации.Примечание. Если в каталоге LDAP есть несколько групп содинаковыми именами, в VMware Identity Manager необходимоуказать для них уникальные имена. Имя можно изменить привыборе группы.

Примечание. При синхронизации группы все пользователи, длякоторых группа «Пользователи домена» в Active Directory не являетсяосновной, не синхронизируются.

Синхронизировать участниковвложенных групп

Параметр Синхронизировать участников вложенных группвключен по умолчанию. Когда этот параметр включен, всепользователи, которые принадлежат непосредственно к выбраннойгруппе, а также к вложенным группам этой группы,синхронизируются. Обратите внимание, что синхронизируются невложенные группы, а только пользователи, принадлежащие к ним. Вкаталоге VMware Identity Manager эти пользователи будутучастниками родительской группы, выбранной для синхронизации.Если параметр Синхронизировать участников вложенных группотключен, то при указании группы для синхронизации всепользователи, которые принадлежат непосредственно к ней, будутсинхронизированы. Пользователи, которые принадлежат квложенным группам этой группы, не синхронизируются. Отключениеэтого параметра может потребоваться в больших конфигурацияхActive Directory, где навигация по дереву групп требует значительныхобъемов ресурсов и времени. Но перед тем как его отключить,убедитесь, что выбраны все группы, пользователей которыхнеобходимо синхронизировать.



30 VMware Inc.

20. При необходимости укажите дополнительных пользователей для синхронизации.

а) Щелкните знак + и введите различающиеся имена пользователей. Например,CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

Важно. Следует указывать различающиеся имена пользователей, которые имеют базовоеразличающееся имя, введенное вами ранее. Если различающееся имя пользователя несоответствует базовому различающемуся имени, данные пользователей с этимразличающимся именем будут синхронизироваться, но сами пользователи не смогутвыполнить вход.

б) (Необязательно.) Чтобы удалить пользователей, щелкните фильтр, позволяющий исключитьнекоторые типы пользователей.

Вы выбираете атрибут пользователя для фильтрации, правило запроса и значение.


22. На этой странице можно просмотреть расписание синхронизации и узнать, сколькопользователей и групп будет синхронизироваться с каталогом.

Чтобы внести изменения в список пользователей и групп или интервал синхронизации,щелкните ссылки Изменить.

23. Щелкните команду Синхронизировать каталог, чтобы запустить синхронизацию каталогов.

Примечание. Если возникнет ошибка сети и уникальное имя узла нельзя будет разрешить,используя обратный поиск DNS, процесс настройки будет остановлен. Проблемы сети необходимоисправить, а виртуальную машину перезагрузить. Затем можно продолжить развертывание. Новыесетевые настройки будут доступны только после перезагрузки виртуального устройства.


Дополнительные сведения о настройке средства балансировки нагрузки или конфигурации свысоким уровнем доступности см. в разделе Глава 6, Дополнительная конфигурация для устройстваVMware Identity Manager ., на стр. 81.

Для приложений организации можно настроить каталог ресурсов, а затем предоставитьпользователям доступ к этим ресурсам. Кроме того, можно настроить другие ресурсы, в том числеView, ThinApp и приложения Citrix. См. раздел Настройка ресурсов в VMware Identity Manager.

Настройка параметров прокси-сервера для средства «»VMware Identity Manager

Виртуальное устройство VMware Identity Manager получает доступ к каталогу облачных приложенийи других веб-служб в Интернете. Если конфигурация сети обеспечивает доступ к Интернету черезпрокси-сервер HTTP, необходимо настроить параметры прокси-сервера на устройствеVMware Identity Manager.

Настройте прокси-сервер для обработки только интернет-трафика. Чтобы убедиться, что прокси-сервер настроен должным образом, установите для параметра внутреннего трафика значение no-proxy в пределах домена.

Примечание. Прокси-серверы, требующие проверки подлинности, не поддерживаются.

Процедура

1. В vSphere Client войдите на виртуальное устройство VMware Identity Manager в качествепользователя root.


VMware Inc. 31

2. В командной строке введите YaST, чтобы запустить служебную программу YaST.

3. На панели слева выберите Сетевые службы, а затем — Прокси-сервер.

4. Введите URL-адреса прокси-серверов в полях URL-адрес HTTP-прокси и URL-адрес HTTPS-прокси.

5. Нажмите кнопку Готово и выйдите из служебной программы YaST.

6. Перезапустите сервер Tomcat на виртуальном устройстве VMware Identity Manager, чтобыиспользовать новые параметры прокси-сервера.

service horizon-workspace restart

Теперь каталог облачных приложений и другие веб-службы доступны в VMware Identity Manager.

Ввод лицензионного ключаПосле развертывания устройства VMware Identity Manager введите лицензионный ключ.

Процедура

1. Войдите в консоль администрирования VMware Identity Manager.

2. Выберите вкладку Настройки устройства, а затем щелкните элемент Лицензия.

3. На странице «Параметры лицензии» введите лицензионный ключ и нажмите кнопкуСохранить.


32 VMware Inc.

Управление параметрамиконфигурации системы устройства 3

После завершения настройки начальной конфигурации устройства можно перейти на страницыадминистрирования устройства, чтобы установить сертификаты, управлять паролями, а такжеосуществлять мониторинг сведений о системе для виртуального устройства.

Кроме того, можно обновить базу данных, полное доменное имя и системный журнал, а такжезагружать файлы журналов.

Название страницы Описание параметра

Подключение к базе данных Параметр подключения к базе данных (внутренней иливнешней) включен. Тип базы данных можно изменить.При выборе внешней базы данных необходимо ввестиее URL-адрес, имя пользователя и пароль. Сведения отом, как настроить внешнюю базу данных, см в разделе Подключение к базе данных, на стр. 35.

Установить сертификат На этой странице можно установить пользовательскийили самозаверяющий сертификат дляVMware Identity Manager, а при использованииVMware Identity Manager со средством балансировкинагрузки — соответствующий корневой сертификат. Наэтой странице (на вкладке Сквозное подключениеSSL на подсистеме балансировки нагрузки)отображается также расположение сертификатакорневого центра сертификацииVMware Identity Manager. См. раздел Использованиесертификатов SSL, на стр. 38.

Полностью определенное доменное имяIdentity Manager

На этой странице отображается полное доменное имяVMware Identity Manager. Его можно изменить. Полноедоменное имя VMware Identity Manager — это URL-адрес, который используется для доступа к службе.

Настроить syslog На этой странице можно включить внешний серверсистемного журнала. Журналы устройстваVMware Identity Manager отправляются на этотвнешний сервер. См. раздел Включение сервера Syslog,на стр. 42.

Изменить пароль На этой странице можно изменить парольадминистратора VMware Identity Manager.

VMware Inc. 33

Название страницы Описание параметра

Безопасность системы На этой странице можно изменить парольпривилегированного пользователя для устройстваVMware Identity Manager и пароль пользователя SSH,используемый для удаленного входа.

Расположение файлов журнала На этой странице отображается список файловжурналов и их расположение в каталоге. Файлыжурналов можно объединить в ZIP-файл для загрузки.См. раздел Сведения о файле журнала, на стр. 42.

Можно также изменить URL-адрес соединителя. См. раздел Изменение URL-адреса соединителя, настр. 41.


n Изменение параметров конфигурации устройства, на стр. 34

n Подключение к базе данных, на стр. 35

n Использование сертификатов SSL, на стр. 38

n Изменение URL-адреса службы VMware Identity Manager, на стр. 41

n Изменение URL-адреса соединителя, на стр. 41

n Включение сервера Syslog, на стр. 42

n Сведения о файле журнала, на стр. 42

n Управление паролями устройства, на стр. 43

n Настройка параметров SMTP, на стр. 44

Изменение параметров конфигурации устройстваПосле настройки VMware Identity Manager можно перейти на страницу «Настройки устройства»,чтобы обновить сведения о текущей конфигурации и системе мониторинга для виртуальногоустройства.

Процедура

1. Войдите в консоль администрирования.

2. Выберите вкладку Настройки устройства, а затем щелкните элемент Управлениеконфигурацией.

3. Войдите, используя пароль администратора службы.

4. В области слева выберите страницу для просмотра или редактирования.


Убедитесь, что изменения и обновления параметров вступили в силу.


34 VMware Inc.

Подключение к базе данныхВнутренняя база данных PostgreSQL встроена в устройство VMware Identity Manager, но ее нерекомендуется использовать в рабочей среде. Чтобы использовать внешнюю базу данных с помощьюVMware Identity Manager, администратор баз данных должен сначала подготовить пустую базуданных и схему, а затем подключиться к ней через VMware Identity Manager.

Подключиться к внешней базе данных можно при запуске мастера установкиVMware Identity Manager. Можно также перейти на страницу «Установка подключения к базеданных» («Настройки устройства» > «Конфигурация виртуального устройства»), чтобы настроитьподключение к внешней базе данных.

Лицензированные пользователи могут использовать внешнюю базу данных Oracle или Microsoft SQLServer, чтобы создать среду базы данных высокой доступности.

Настройка базы данных Microsoft SQLЧтобы использовать базу данных Microsoft SQL для VMware Identity Manager, необходимо создатьновую базу данных на сервере Microsoft SQL.

В данном случае необходимо создать на сервере Microsoft SQL базу данных с именем saas ипользователя с именем для входа horizon.

Примечание. Параметр collation по умолчанию чувствителен к регистру.


n Поддерживаемая версия сервера Microsoft SQL установлена в качестве сервера внешней базыданных.

n Средство балансировки нагрузки настроено.

n Права администратора для доступа и создания компонентов базы данных с помощьюMicrosoft SQL Server Management Studio или из другого клиента интерфейса командной строкиMicrosoft SQL Server.

Процедура

1. Войдите в сеанс Microsoft SQL Management Server Studio в качестве sysadmin или с учетнойзаписью пользователя с привилегиями sysadmin.

Откроется окно редактора.

2. На панели инструментов щелкните Создать запрос.

Глава 3 Управление параметрами конфигурации системы устройства

VMware Inc. 35

3. Скопируйте и вставьте следующие команды в окно редактора.

Команды Microsoft SQL

CREATE DATABASE saas

COLLATE Latin1_General_CS_AS;

ALTER DATABASE saas SET READ_COMMITTED_SNAPSHOT ON;

GO

BEGIN

CREATE LOGIN horizon WITH PASSWORD = N'H0rizon!';

END

GO

USE saas;

IF EXISTS (SELECT * FROM sys.database_principals WHERE name = N'horizon')

DROP USER [horizon]

GO

CREATE USER horizon FOR LOGIN horizon

WITH DEFAULT_SCHEMA = saas;

GO

CREATE SCHEMA saas AUTHORIZATION horizon

GRANT ALL ON DATABASE::saas TO horizon;

GO

4. На панели инструментов щелкните !Выполнить.

Теперь сервер базы данных Microsoft SQL готов для подключения к базе данныхVMware Identity Manager.


Настройте внешнюю базу данных на сервере VMware Identity Manager. Перейдите на страницуконсоли администрирования VMware Identity Manager «Настройки устройства» > «Конфигурациявиртуального устройства» > «Установка подключения к базе данных». Введите URL-адрес JDBC вформате jdbc:sqlserver://<имя_хоста-или-DB_VM_IP_ADDR>;DatabaseName=saas. Введите имяпользователя и пароль, созданный для базы данных. См. Настройка VMware Identity Manager дляиспользования внешней базы данных, на стр. 38.

Настройка базы данных OracleВо время установки Oracle необходимо указать определенные конфигурации Oracle для оптимальнойпроизводительности при работе с VMware Identity Manager.


Созданная база данных Oracle будет называться saas. Для VMware Identity Manager требуется, чтобы вOracle идентификаторы для имени пользователя и схемы были взяты в кавычки. Таким образом, присоздании имени пользователя и схемы saas Oracle необходимо использовать двойные кавычки.

Процедура

1. Создавая базу данных Oracle, укажите следующие параметры.

а) Выберите параметр конфигурации База данных обработки общего назначения илитранзакций.

б) Щелкните Использование Unicode > UTF8.

в) Используйте национальный набор символов.

2. После завершения установки подключитесь к базе данных Oracle.


36 VMware Inc.

3. Выполните вход в базу данных Oracle в качестве системного пользователя.

4. Увеличьте количество подключений обработки. Для каждой дополнительной виртуальноймашины службы требуется минимум 300 подключений обработки для работы сVMware Identity Manager. Например, если в среде две виртуальные машины службы, выполнитекоманду alter в качестве пользователя SYS или SYSTEM.

а) Увеличьте количество подключений обработки, используя команду alter.

alter system set processes=600 scope=spfile

б) Перезапустите базу данных.

5. Создайте триггер базы данных, который могут использовать все пользователи.

Пример SQL-запроса для создания триггера базы данных

CREATE OR REPLACETRIGGER CASE_INSENSITIVE_ONLOGONAFTER LOGON ON DATABASEDECLAREusername VARCHAR2(30);BEGINusername:=SYS_CONTEXT('USERENV','SESSION_USER');IF username = 'saas' THENexecute immediate 'alter session set NLS_SORT=BINARY_CI';execute immediate 'alter session set NLS_COMP=LINGUISTIC';END IF;EXCEPTIONWHEN OTHERS THENNULL;END;

6. Выполните команды Oracle, чтобы создать схему нового пользователя.

Пример SQL-запроса для создания нового пользователя

CREATE USER "saas"IDENTIFIED BY <password>DEFAULT TABLESPACE USERSTEMPORARY TABLESPACE TEMPPROFILE DEFAULTACCOUNT UNLOCK;GRANT RESOURCE TO "saas" ;GRANT CONNECT TO "saas" ;ALTER USER "saas" DEFAULT ROLE ALL;GRANT UNLIMITED TABLESPACE TO "saas";

Администрирование внутренней базы данныхВнутренняя база данных PostgreSQL по умолчанию настроена и готова к использованию. Обратитевнимание, что внутреннюю базу данных не рекомендуется использоваться в рабочих средах.

Когда VMware Identity Manager установлен и включен, во время процесса инициализации создаетсяслучайный пароль для пользователя внутренней базы данных. Этот пароль уникален для каждойсреды, и его можно найти в файле /usr/local/horizon/conf/db.pwd.

Сведения о настройке внутренней базы данных для обеспечения высокой доступности см. в статьебазы знаний KB 2094258.


VMware Inc. 37

Настройка VMware Identity Manager для использования внешней базыданных

После настройки базы данных в мастере настройки VMware Identity Manager можно настроитьVMware Identity Manager, чтобы использовать другую базу данных.

Для VMware Identity Manager нужно указать инициализированную заполненную базу данных.Например, можно использовать базу данных, настроенную в результате успешного запуска мастеранастройки VMware Identity Manager , резервную копию базы данных или существующую базу данныхиз восстановленного снимка.


n Установите и настройте поддерживаемую версию Microsoft SQL или Oracle в качестве внешнегосервера баз данных. Дополнительные сведения о конкретных версиях, которые поддерживаетVMware Identity Manager, см. в таблицах совместимости продуктов VMware по адресуhttp://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

Процедура

1. В консоли администрирования перейдите на вкладку Настройки устройства и щелкнитеКонфигурация виртуального устройства.

2. Щелкните Конфигурация управления.

3. Войдите, используя пароль администратора VMware Identity Manager.

4. На странице «Установка подключения к базе данных» выберите тип базы данных Внешняя базаданных.

5. Введите сведения о подключении к базе данных.

а) Введите URL-адрес сервера базы данных JDBC.

Microsoft SQL jdbc:sqlserver://имя_узла_или_IP-адрес;DatabaseName=horizon

Oracle jdbc:oracle:thin:@//имя_узла_или_IP-адрес:порт/SID

б) Введите имя пользователя с правами для чтения и записи в базе данных.

Microsoft SQL horizon

Oracle “saas”

в) Введите пароль для пользователя, созданного при настройке базы данных.

6. Щелкните Протестировать соединение, чтобы проверить и сохранить сведения.

Использование сертификатов SSLПри установке устройства VMware Identity Manager для серверов автоматически создаетсясертификат SSL по умолчанию. Этот самозаверяющий сертификат можно использовать для общеготестирования внедрения. VMware настоятельно рекомендует создать и установить коммерческиесертификаты SSL в производственной среде.

Центр сертификации (ЦС) — это доверенная организация, которая гарантирует подлинностьсертификата и его создателя. Если сертификат подписан доверенным ЦС, пользователи больше неполучают сообщения с просьбой проверить сертификат.


38 VMware Inc.

При развертывании средства VMware Identity Manager с самозаверяющим сертификатом SSLсертификат корневого центра сертификации должен быть доступен как сертификат доверенного ЦСдля любого клиента с доступом к средству VMware Identity Manager. Клиентами могут бытькомпьютеры конечных пользователей, средства балансировки нагрузки, прокси-серверы и т. п.Сертификат корневого ЦС можно загрузить здесь:https://мой_соединитель.домен.com/horizon_workspace_rootca.pem.

Подписанный сертификат ЦС можно установить с этой страницы: Настройки устройства >Управление конфигурацией > Установить сертификат. На этой странице можно также добавитьсертификат корневого ЦС средства балансировки нагрузки.

Использование центра открытых сертификатовПри установке службы VMware Identity Manager создается сертификат SSL по умолчанию длясерверов. Этот сертификат по умолчанию можно использовать для тестирования. Для своей средынужно создать и установить коммерческие сертификаты SSL.

Примечание. Если VMware Identity Manager указывает на подсистему балансировки нагрузки, к нейприменяется сертификат SSL.


Создайте запрос подписи сертификата и получите действительный подписанный сертификат изцентра сертификации. Если ваша организация предоставляет сертификаты SSL, подписанные вцентре сертификации, их также можно использовать. У файлов сертификатов должен быть форматPEM.

Процедура

1. В консоли администрирования щелкните Настройки устройства.

По умолчанию выбрана конфигурация виртуального устройства.


3. В открывшемся диалоговом окне введите пароль администратора сервераVMware Identity Manager.

4. Выполните команду Установить сертификат.

5. На вкладке «Сквозное подключение SSL на устройстве Identity Manager» выберите пунктПользовательский сертификат.

6. В текстовом поле Цепочка сертификатов SSL вставьте имя узла, промежуточные и корневыесертификаты (в таком же порядке).

Сертификат SSL будет использоваться, только если указать всю цепочку сертификатов вправильном порядке. Для каждого сертификата скопируйте все содержимое между линиями исами линии «-----BEGIN CERTIFICATE-----» и «-----END CERTIFICATE----».

Убедитесь, что в сертификате содержится полное доменное имя узла.

7. Вставьте закрытый ключ в текстовом поле «Закрытый ключ». Скопируйте все содержимое между«----BEGIN RSA PRIVATE KE» и «---END RSA PRIVATE KEY».



VMware Inc. 39

Пример: Примеры сертификатов

Пример цепочки сертификатов

-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+.........W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----


WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+.........O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1



dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+.........5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1


Пример цепочки закрытых ключей

-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+.........1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----

Добавление сертификатов SSLПрименяя сертификат, убедитесь, что учтена вся цепочка сертификатов. Устанавливаемыесертификаты должны быть в формате PEM.

Сертификат SSL будет использоваться, только если указать всю цепочку сертификатов. Для каждогосертификата скопируйте все содержимое между линиями, в том числе сами линии «-----BEGINCERTIFICATE-----» и «-----END CERTIFICATE----».

Важно. Цепочку сертификатов нужно составлять в таком порядке: сертификат SSL, сертификатыпромежуточных ЦС, сертификат корневого ЦС.



Сертификат SSL — сертификат SSL устройства


40 VMware Inc.




Сертификат промежуточного или издающего ЦС



Сертификат корневого ЦС


Изменение URL-адреса службы VMware Identity ManagerURL-адрес, который пользователи используют для доступа к службе VMware Identity Manager,можно изменить. Например, его можно заменить на URL-адрес средства балансировки нагрузки.

Процедура


2. Перейдите на вкладку Настройки устройства и выберите Конфигурация виртуальногоустройства.

3. Щелкните Управление конфигурацией и войдите в систему, используя пароль администратора.

4. Щелкните Полностью определенное доменное имя Identity Manager и введите новый URL-адрес в поле Полностью определенное доменное имя Identity Manager.

Используйте формат https://полное_доменное_имя:порт. Порт можно не указывать. По умолчаниюиспользуется порт 443.

Например, https://myservice.example.com.



Включите новый пользовательский интерфейс портала.

1. Перейдите на страницу https://URL-адрес_VMware_Identity_Manager/admin, чтобы получить доступк консоли администрирования.

2. В консоли администрирования щелкните стрелку на вкладке Каталог и выберите Параметры.

3. Выберите Новый пользовательский интерфейс портала для конечных пользователей вобласти слева и щелкните Включить пользовательский интерфейс нового портала.

Изменение URL-адреса соединителяURL-адрес соединителя можно изменить путем обновления имени узла поставщика удостоверений вконсоли администрирования. Если соединитель используется в качестве поставщика удостоверений,URL-адрес соединителя станет URL-адресом страницы входа и будет доступным конечнымпользователям.

Процедура


2. Перейдите на вкладку Управление учетными данными и доступом, а затем — на вкладкуПоставщики удостоверений.


VMware Inc. 41

3. На странице «Поставщики удостоверений» выберите поставщика удостоверений дляобновления.

4. В поле Имя узла поставщика удостоверений введите новое имя узла.

Используйте формат имя_узла:порт. Порт можно не указывать. По умолчанию используетсяпорт 443.

Например, vidm.example.com.


Включение сервера SyslogСобытия уровня приложения можно экспортировать из службы на внешний сервер Syslog. Событияоперационной системы не экспортируются.

Так как большинство компаний не обладают неограниченным дисковым пространством, виртуальноеустройство не сохраняет полную историю в журнале. Если нужно сохранить историю за болеедлительный период или создать централизованное место для хранения журнала, можно настроитьвнешний сервер Syslog.

Если сервер Syslog не указан во время первоначальной настройки, это можно сделать позже, выбравНастройки приложения > Конфигурация виртуального устройства > Управлениеконфигурацией > Конфигурация syslog.


Настройка внешнего сервера Syslog. Использовать можно любой из доступных стандартных серверовSyslog. На нескольких серверах Syslog предусмотрены расширенные возможности поиска.

Процедура


2. Перейдите на вкладку Настройки устройства, выберите элемент Конфигурациявиртуального устройства на панели слева и щелкните Управление конфигурацией.

3. Выберите Настроить syslog на панели слева.

4. Выберите Включить.

5. Введите IP-адрес или полное доменное имя сервера syslog, на котором нужно хранить журналы.


Теперь копии журналов отправлены на сервер Syslog.

Сведения о файле журналаФайлы журнала VMware Identity Manager могут помочь выполнить отладку и устранить неполадки.Обычно рекомендуется начать с файлов журнала, перечисленных ниже. Дополнительные журналыможно найти в каталоге /opt/vmware/horizon/workspace/logs.

Таблица 3‑1. Файлы журнала

Компонент Расположение файла журнала Описание

ЖурналыслужбыIdentity Manager

/opt/vmware/horizon/workspace/logs/horizon.log

Сведения о действиях в приложенииVMware Identity Manager, например правах,пользователях и группах.

Журналыконфигуратора

/opt/vmware/horizon/workspace/logs/configurator.log

Запросы, поступающие в конфигуратор отклиента REST и веб-интерфейса пользователя.


42 VMware Inc.

Таблица 3‑1. Файлы журнала (продолжение)

Компонент Расположение файла журнала Описание

Журналысоединителя

/opt/vmware/horizon/workspace/logs/connector.log

Запись каждого запроса, полученного из веб-интерфейса. Каждая запись журнала включаеттакже URL-адрес, временную метку и исключениязапроса. Действия по синхронизации не вносятся вжурнал.

Журналыобновлений

/opt/vmware/var/log/update.log

/opt/vmware/var/log/vami

Запись исходящих сообщений, связанных сзапросами на обновление при модернизацииVMware Identity Manager.Файлы в каталоге /opt/vmware/var/log/vamiможно использовать для устранения неполадок.Их можно найти на любой виртуальной машинепосле обновления.

ЖурналыApache Tomcat

/opt/vmware/horizon/workspace/logs/catalina.log

Сообщения Apache Tomcat, не записанные вдругие файлы журнала.

Сбор сведений журналаВо время тестирования или устранения неполадок в журналах собираются отзывы об активности ипроизводительности виртуального устройства, а также сведения о каких-либо проблемах, которыевозникают.

Соберите журналы из каждого устройства, которое находится в среде.

Процедура


2. Выберите вкладку Настройки устройства, а затем щелкните элемент Управлениеконфигурацией.

3. Щелкните Расположение файлов журнала, а затем выберите Подготовить пакет журнала.

Сведения собираются в файле формата tar.gz, который можно загрузить.

4. Загрузите подготовленный пакет.


Чтобы собрать все журналы, выполните эти действия для каждого устройства.

Управление паролями устройстваПри настройке виртуального устройства создаются пароли для администратора,привилегированного пользователя и SSH-пользователя. Эти пароли можно изменить на страницах«Настройки устройства».

Убедитесь, что создаются надежные пароли. Надежные пароли должны состоять не менее чем из8 символов, и содержать строчные и прописные буквы, а также по крайней мере одну цифру испециальный символ.

Процедура

1. В консоли администрирования выберите вкладку Настройки устройства.

2. Щелкните Конфигурация виртуального устройства > Управление конфигурацией.


VMware Inc. 43

3. Чтобы изменить пароль администратора, выберите Изменить пароль. Чтобы изменить парольпривилегированного пользователя или SSH-пользователя, выберите Безопасность системы.

Важно. Пароль администратора должен состоять не менее чем из 6 символов.

4. Введите новый пароль.


Настройка параметров SMTPС помощью параметров SMTP-сервера можно настроить получение уведомлений из службыVMware Identity Manager по электронной почте.

Уведомления по электронной почте отправляются при создании локальных пользователей и сбросепароля в службе VMware Identity Manager.

Процедура


2. Выберите вкладку Настройки устройства, а затем щелкните элемент SMTP.

3. Введите имя узла SMTP-сервера.

Например, smtp.example.com.

4. Введите номер порта SMTP-сервера.

Например, 25.

5. (Необязательно.) Введите имя пользователя и пароль, если на SMTP-сервере потребуетсяпроверка подлинности.



44 VMware Inc.

Интеграция с корпоративнымкаталогом 4

Для синхронизации пользователей и групп из корпоративного каталога со службойVMware Identity Manager нужно интегрировать корпоративный каталог со службойVMware Identity Manager.

Поддерживаются следующие типы каталогов.

n Active Directory с протоколом LDAP

n Active Directory, встроенный механизм проверки подлинности Windows.

n Каталог LDAP

Для интеграции с корпоративным каталогом необходимо выполнить следующие задачи.

n Укажите атрибуты для пользователей в службе VMware Identity Manager.

n Создайте в службе VMware Identity Manager каталог такого же типа, как и корпоративныйкаталог, и укажите сведения о соединении.

n Сопоставьте атрибуты VMware Identity Manager с атрибутами, используемыми в каталоге LDAPили Active Directory.

n Укажите пользователей и группы для синхронизации.

n Синхронизация пользователей и групп.

После интеграции корпоративного каталога и первоначальной синхронизации можно обновитьконфигурацию, настроить регулярную синхронизацию в расписании или в любое время начатьсинхронизацию.


n Важные понятия, относящиеся к интеграции каталогов, на стр. 46

n Интеграция с Active Directory, на стр. 47

n Интеграция с каталогами LDAP, на стр. 63

n Добавление каталога после настройки аварийного переключения и резервирования, на стр. 69

VMware Inc. 45

Важные понятия, относящиеся к интеграции каталоговНекоторые понятия обязательны для понимания принципов интеграции службыVMware Identity Manager со средой каталогов Active Directory или LDAP.

СоединительКомпонент службы соединитель выполняет следующие функции.

n Синхронизация данных пользователей и групп в каталоге Active Directory или LDAP со службой.

n Проверка подлинности пользователей в службе при использовании в качестве поставщикаудостоверений.

соединитель является поставщиком удостоверений по умолчанию. Также можно использоватьсторонних поставщиков удостоверений, которые поддерживают протокол SAML 2.0.Используйте стороннего поставщика удостоверений для типов проверки подлинности, которыене поддерживаются соединитель, а также если согласно политике безопасности организациисторонний поставщик удостоверений является предпочтительным.

Примечание. При использовании сторонних поставщиков удостоверений можно либонастроить соединитель для синхронизации данных о пользователях и группах, либо настроитьподготовку пользователей по мере необходимости. Дополнительные сведения см. в разделе«Моментальная регистрация пользователей» документа АдминистрированиеVMware Identity Manager.

КаталогДля службы VMware Identity Manager используется собственное понятие каталога, соответствующеекаталогу Active Directory или LDAP в среде. Для определения пользователей и групп в этом каталогеиспользуются атрибуты. Необходимо создать один или несколько каталогов в службе, а затемсинхронизировать их со своим каталогом Active Directory или LDAP. В службе можно создатьследующие типы каталогов.

n Active Directory

n Active Directory через LDAP. Этот тип каталога создается, если планируется подключение ксреде Active Directory с одним доменом. В случае использования типа каталогаActive Directory через LDAP соединитель связывается с Active Directory, используя простуюпривязку проверки подлинности.

n Active Directory, встроенная проверка подлинности Windows. Этот тип каталога создается,если планируется подключение к среде Active Directory с несколькими доменами илинесколькими лесами. соединитель связывается с Active Directory, используя встроеннуюпроверку подлинности Windows.

Тип и количество создаваемых каталогов варьируется в зависимости от среды Active Directory(один домен или нескольких доменов) и от вида используемых отношений доверия междудоменами. В большинстве сред создается один каталог.

n Каталог LDAP

У службы нет непосредственного доступа к каталогу Active Directory или LDAP. Непосредственныйдоступ есть только у средства соединитель. Таким образом, каждый каталог, созданный в службе,связывается с экземпляром соединитель.


46 VMware Inc.

Рабочий процессПри связывании каталога с экземпляром соединитель соединитель создает раздел для связанногокаталога, который называется «рабочий процесс». Экземпляр соединитель может иметь несколькорабочих процессов, связанных с ним. Каждый рабочий процесс выступает в качестве поставщикаудостоверений. Для каждого рабочего процесса определяются и настраиваются способы проверкиподлинности.

соединитель синхронизирует данные о пользователях и группах в каталоге Active Directory или LDAPи службе с помощью одного или нескольких рабочих процессов.

Важно. Для типа «Встроенная проверка подлинности Windows» может быть только один рабочийпроцесс Active Directory на одном экземпляре соединитель.

Рекомендации по безопасностиДля корпоративных каталогов, интегрированных со службой VMware Identity Manager, такиепараметры безопасности, как правила в отношении сложности паролей пользователей и политикиблокировки учетных записей, необходимо задавать непосредственно в корпоративном каталоге.VMware Identity Manager не переопределяет эти параметры.

Интеграция с Active DirectoryVMware Identity Manager можно интегрировать со средой Active Directory для синхронизациипользователей и групп Active Directory с VMware Identity Manager.

См. также раздел Важные понятия, относящиеся к интеграции каталогов, на стр. 46.

Среды Active DirectoryСлужбу можно интегрировать в среду Active Directory, которая состоит из одного доменаActive Directory, нескольких доменов в одном лесу Active Directory или нескольких доменов внескольких лесах Active Directory.

Среда с одним доменом Active DirectoryОдиночное развертывание Active Directory позволяет синхронизировать пользователей и группы изодного домена Active Directory.

Для этой среды при добавлении каталога в службу выберите параметр «Active Directory по LDAP».

Дополнительные сведения см. в следующих документах:

n Выбор контроллера домена (файл domain_krb.properties), на стр. 49

n Управление атрибутами пользователя, синхронизируемыми из Active Directory, на стр. 54

n Разрешения, необходимые для присоединения к домену, на стр. 55

n Настройка подключения Active Directory к службе, на стр. 56

Среда Active Directory в нескольких доменах и одном лесуРазвертывание Active Directory в нескольких доменах и одном лесу позволяет синхронизироватьпользователей и группы из нескольких доменов Active Directory в пределах одного леса.

Глава 4 Интеграция с корпоративным каталогом

VMware Inc. 47

Для этой среды Active Directory службу можно настроить как одиночную службу Active Directory, типкаталога «Встроенная проверка подлинности Windows», а также как тип каталога «Active Directory поLDAP», настроенный с функциями глобального каталога.

n Рекомендуемый вариант — создание одной службы Active Directory с типом каталога«Встроенная проверка подлинности Windows».

При добавлении каталога для этой среды выберите параметр «Active Directory (встроеннаяпроверка подлинности Windows)».






n Если встроенная проверка подлинности Windows не работает в среде Active Directory, создайтекаталог типа «Active Directory с протоколом LDAP» и укажите, что он должен быть глобальным.

При выборе глобального каталога действует ряд ограничений, которые перечислены ниже.

n Атрибуты объектов Active Directory, которые реплицируются в глобальный каталог,определяются в схеме Active Directory как частичный набор атрибутов (PAS). Служба можетсопоставлять только эти атрибуты. При необходимости измените схему, добавив или удаливв ней атрибуты, которые хранятся в глобальном каталоге.

n Для глобального каталога членство в группе (атрибут участника) сохраняется только в случае,если группы универсальные. Со службой синхронизируются только универсальные группы.Если группа локальная или глобальная, при необходимости можно изменить ее областьдействия на универсальную.

n Для учетной записи с различающимся именем для подключения, определенной принастройке каталога в службе, необходимо предоставить права на чтение атрибута Token-Groups-Global-And-Universal (TGGAU).

Active Directory использует порты 389 и 636 для стандартных запросов LDAP. Для запросовглобального каталога используются порты 3268 и 3269.

При добавлении каталога для среды глобального каталога задайте следующие параметры.

n Выберите параметр «Active Directory с протоколом LDAP».

n Снимите флажок для параметра Данный каталог поддерживает поиск размещенияслужбы DNS.

n Выберите параметр Для этого каталога существует глобальный каталог. Если выбратьэтот параметр, номер порта сервера автоматически изменится на 3268. Кроме того,поскольку при настройке глобального каталога базовое различающееся имя не требуется,текстовое поле «Базовое различающееся имя» не отображается.

n Добавьте имя узла сервера Active Directory.

n Если для Active Directory требуется доступ по протоколу SSL, выберите параметр Всеподключения объектов, входящих в данный каталог, выполняются с использованиемпротокола SSL и вставьте сертификат в соответствующее текстовое поле. Если выбрать этотпараметр, номер порта сервера автоматически изменится на 3269.


48 VMware Inc.

Среда Active Directory в нескольких лесах с отношениями доверияРазвертывание Active Directory в нескольких лесах с отношениями доверия позволяетсинхронизировать пользователей и группы из нескольких доменов Active Directory в несколькихлесах, где между доменами существуют двусторонние отношения доверия.

При добавлении каталога для этой среды выберите параметр «Active Directory (встроенная проверкаподлинности Windows)».






Среда Active Directory в нескольких лесах без отношений доверияРазвертывание Active Directory в нескольких лесах без отношений доверия позволяетсинхронизировать пользователей и группы из нескольких доменов Active Directory в несколькихлесах, где между доменами нет двусторонних отношений доверия. В этой среде вы создаете в службенесколько каталогов, по одному каталогу для каждого леса.

Тип каталогов, которые вы создаете в службе, зависит от леса. Для лесов с несколькими доменамивыберите параметр «Active Directory (встроенная проверка подлинности Windows)». Для леса содним доменом выберите параметр «Active Directory по LDAP».






Выбор контроллера домена (файл domain_krb.properties)Файл domain_krb.properties определяет, какие контроллеры домена используются для каталогов свключенной функцией поиска расположения службы DNS (SRV-записи). Он содержит списокконтроллеров для каждого домена. Соединитель изначально создает этот файл, и впоследствии внего нужно вносить требуемые изменения. Этот файл переопределяет параметр поискарасположения службы DNS (SRV).

Функция поиска расположения служб DNS поддерживается следующими типами каталогов.

n Active Directory через LDAP с выбранным параметром Этот каталог поддерживаетрасположение службы DNS;

n Active Directory (со встроенной проверкой подлинности Windows), в котором функция поискарасположения службы DNS включена всегда.

При первом создании каталога с включенной функцией поиска расположения службы DNS файлdomain_krb.properties автоматически создается в каталоге виртуальноймашины /usr/local/horizon/conf и заполняется контроллерами каждого домена. Чтобы заполнитьфайл, соединитель пытается найти контроллеры домена, которые размещены на том же сайте, ивыбирает два доступных, которые ответили ему быстрее других.


VMware Inc. 49

При создании дополнительных каталогов с включенной функцией поиска расположения службыDNS или добавлении новых доменов в каталог со встроенной проверкой подлинности Windows вфайл добавляются новые домены и список соответствующих контроллеров домена.

Параметры выбора контроллеров домена по умолчанию можно переопределить в любое время,изменив файл domain_krb.properties. После создания каталога рекомендуется просмотреть файлdomain_krb.properties, чтобы убедиться, что перечисленные в нем контроллеры домена являютсясамыми подходящими для вашей конфигурации. Во время глобального развертывания ActiveDirectory с несколькими контроллерами домена в разных географических регионах следуетиспользовать тот контроллер домена, который находится в непосредственной близости отсоединителя. Это позволит обеспечить быстрое взаимодействие с Active Directory.

В случае каких-либо изменений файл необходимо обновить вручную. Применяются следующиеправила.

n Файл domain_krb.properties создается в виртуальной машине, которая содержит соединитель.При обычном развертывании без дополнительных соединителей он создается в виртуальноймашине со службой VMware Identity Manager. Если для каталога используется дополнительныйсоединитель, этот файл создается в виртуальной машине соединителя. На виртуальной машинеможет быть только один файл domain_krb.properties.

n При первом создании каталога с включенной функцией поиска расположения службы DNSсоздается файл, который автоматически заполняется контроллерами каждого домена.

n Контроллеры для каждого домена указаны в порядке приоритета. Соединитель пытаетсяподключиться к Active Directory через первый контроллер домена в списке. Если он недоступен,выполняется попытка подключения ко второму контроллеру в списке, и так далее.

n Файл обновляется только при создании каталога с включенной функцией поиска расположенияслужбы DNS или добавлении домена в каталог со встроенной проверкой подлинности Windows.Новый домен и список контроллеров домена добавляются в файл.

Обратите внимание, что если в файле уже существует запись для домена, она не обновится.Например, если создать каталог, а затем удалить, исходная запись домена остается в файле и необновляется.

n При любом другом сценарии файл не обновляется автоматически. К примеру, после удалениякаталога запись домена не удаляется из файла.

n Если указанный в файле контроллер домена недоступен, удалите его в файле.

n При добавлении или изменении записи домена вручную изменения не будут перезаписаны.

Дополнительные сведения о редактировании файла domain_krb.properties см. в разделе Изменениефайла domain_krb.properties, на стр. 52.

Важно. Файл /etc/krb5.conf должен соответствовать файлу domain_krb.properties. При обновлениифайла domain_krb.properties необходимо обновить файл krb5.conf. Дополнительные сведения см. вразделе Изменение файла domain_krb.properties, на стр. 52 и в статье базы знаний 2091744.

Выбор контроллеров домена для автоматического заполнения файлаdomain_krb.propertiesЧтобы автоматически заполнить файл domain_krb.properties контроллерами домена, соединительвыбирает их из подсети, в которой он находится (на основе IP-адреса и маски подсети). Затем спомощью конфигурации Active Directory он определяет сайт подсети, получает список контроллеровдомена этого сайта, отфильтровывает их по домену и выбирает два контроллера домена, которыеотвечают быстрее других.


50 VMware Inc.

https://kb.vmware.com/kb/2091744

Ниже приведены требования VMware Identity Manager, применяемые для обнаружения ближайшихконтроллеров домена.

n Подсеть соединителя должна быть задана в конфигурации Active Directory или указана в файлеruntime-config.properties. См. раздел Переопределение параметров выбора подсети поумолчанию, на стр. 51.

Она используется для определения сайта.

n Сайт должен распознавать конфигурацию Active Directory.

Если невозможно определить подсеть или сайт не может распознать конфигурацию Active Directory,функция поиска расположения службы DNS используется для поиска доступных контроллеровдомена и заполнения ими файла. Обратите внимание, если эти контроллеры домена и соединительнаходятся в разных географических регионах, при взаимодействии с Active Directory могут возникатьзадержки или ошибки в связи с окончанием времени ожидания. В таком случае необходимоизменить файл domain_krb.properties вручную и указать правильные контроллеры для каждогодомена. См. раздел Изменение файла domain_krb.properties, на стр. 52.

Пример файла domain_krb.propertiesexample.com=host1.example.com:389,host2.example.com:389

Переопределение параметров выбора подсети по умолчаниюЧтобы автоматически заполнить файл domain_krb.properties, соединитель пытается найтиконтроллеры домена, которые размещены на том же сайте. Таким образом обеспечиваетсяминимальная задержка между соединителем и Active Directory.

Чтобы найти сайт, соединитель определяет подсеть, к которой он принадлежит, на основе IP-адресаи маски подсети, а затем использует конфигурацию Active Directory, чтобы определить сайт для этойподсети. Есть подсеть виртуальной машины не входит в Active Directory или нужно переопределитьавтоматический выбор подсети, можно указать подсеть в файле runtime-config.properties.

Процедура

1. Выполните вход в виртуальную машину VMware Identity Manager в качестве привилегированногопользователя.

Примечание. Если для каталога используется дополнительный соединитель, войдите ввиртуальную машину соединителя.

2. Измените файл /usr/local/horizon/conf/runtime-config.properties, чтобы добавить следующийатрибут:

siteaware.subnet.override=subnet,

где подсеть — это подсеть сайта с контроллерами домена, которые нужно использовать. Пример:

siteaware.subnet.override=10.100.0.0/20

3. Сохраните файл и закройте его.

4. Перезапустите службу.



VMware Inc. 51

Изменение файла domain_krb.propertiesФайл /usr/local/horizon/conf/domain_krb.properties определяет, какие контроллеры домена нужноиспользовать для каталогов с включенной функцией поиска расположения службы DNS. Этот файлможно изменить в любое время, например изменить список контроллеров домена или добавить илиудалить записи доменов. Эти изменения не будут быть переопределены.

Файл создается и автоматически заполняется с помощью соединителя. Его необходимо обновитьвручную в следующих сценариях.

n Если контроллеры домена, выбранные по умолчанию, не являются оптимальными дляконфигурации, измените файл и укажите необходимые контроллеры домена.

n При удалении каталога следует удалить соответствующую запись домена из файла.

n Если какие-либо контроллеры домена в файле недоступны, удалите их из файла.

См. также раздел Выбор контроллера домена (файл domain_krb.properties), на стр. 49.

Процедура

1. Выполните вход в виртуальную машину VMware Identity Manager в качестве привилегированногопользователя.

Примечание. Если для каталога используется дополнительный соединитель, войдите ввиртуальную машину соединителя.

2. Перейдите в каталог /usr/local/horizon/conf.

3. Добавьте в файл domain_krb.properties список со значениями домена или измените его.

Используйте следующий формат:

домен=узел:порт,узел2:порт,узел3:порт

Например, .

example.com=examplehost1.example.com:389,examplehost2.example.com:389

Контроллеры домена следует указывать в порядке приоритета. Соединитель пытаетсяподключиться к Active Directory через первый контроллер домена в списке. Если он недоступен,выполняется попытка подключения ко второму контроллеру в списке, и так далее.

Важно. Имена доменов необходимо указывать в нижнем регистре.

4. Измените владельца файла domain_krb.properties на horizon а группу — на www, используяследующую команду:

chown horizon:www /usr/local/horizon/conf/domain_krb.properties

5. Перезапустите службу.



52 VMware Inc.


После изменения файла domain_krb.properties измените файл /etc/krb5.conf. Файл krb5.confдолжен соответствовать файлу domain_krb.properties.

1. Измените файл /etc/krb5.conf и обновите раздел области, указав те же значения для передачиданных с домена на узел, которые используются вфайле /usr/local/horizon/conf/domain_krb.properties. Номер порта указать не нужно.Например, если в файле domain_krb.properties содержится запись домена example.com =examplehost.example.com: 389, следует обновить файл krb5.conf следующим образом.

[realms]

GAUTO-QA.COM = {

auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/


auth_to_local = RULE:[1:$0\$1](^GAUTO2QA\.GAUTO-QA\.COM\\.*)s/^GAUTO2QA\.GAUTO-

QA\.COM/GAUTO2QA/

auth_to_local = RULE:[1:$0\$1](^GLOBEQE\.NET\\.*)s/^GLOBEQE\.NET/GLOBEQE/

auth_to_local = DEFAULT

kdc = examplehost.example.com

}

Примечание. Записей kdc может быть несколько. Однако это не обязательно, поскольку вбольшинстве случаев есть только одно значение kdc. Если задать дополнительные значения kdc,для каждой строки будет создана своя запись kdc, определяющая контроллер домена.

2. Перезапустите службу рабочей области.


См. также статью базы знаний 2091744.

Устранение неполадок в файле domain_krb.propertiesВ этом разделе содержатся следующие сведения по устранению неполадок в файлеdomain_krb.properties.

Ошибка разрешения домена

Если попытаться создать новый каталог другого типа для того же домена, когда в файлеdomain_krb.properties уже содержится запись для домена, произойдет ошибка разрешения домена.Прежде чем создавать каталог, необходимо вручную удалить запись домена в файлеdomain_krb.properties.

Контроллеры домена недоступны

После добавления записи домена файл domain_krb.properties автоматически не обновляется. Есликакие-либо перечисленные в файле контроллеры домена становятся недоступны, удалите их в файлевручную.


VMware Inc. 53


Управление атрибутами пользователя, синхронизируемыми из ActiveDirectory

Для того чтобы указать, какие пользователи будут синхронизироваться с каталогомVMware Identity Manager, при настройке каталога службы VMware Identity Manager выбираютсяатрибуты пользователя Active Directory и фильтры. В консоли администрирования можно изменитьсинхронизируемые атрибуты пользователя на вкладке «Управление удостоверениями и доступом»,«Настройка» > «Атрибуты пользователя».

Изменения, внесенные и сохраненные на странице «Атрибуты пользователя» добавляются настраницу «Сопоставленные атрибуты» в каталоге VMware Identity Manager. Изменения атрибутоввносятся в каталог при следующей синхронизации с Active Directory.

На странице «Атрибуты пользователя» перечислены атрибуты каталога по умолчанию, которыемогут быть сопоставлены с атрибутами Active Directory. Выберите необходимые атрибуты, такжеможно добавить прочие атрибуты Active Directory, которые нужно синхронизировать с каталогом.При добавлении атрибутов обратите внимание, что имя атрибута следует вводить с учетом регистра.Например, address, Address и ADDRESS — это разные атрибуты.

Таблица 4‑1. Атрибуты Active Directory по умолчанию для синхронизации с каталогом

Имя атрибута каталога VMware Identity ManagerСопоставление с атрибутом Active Directory поумолчанию

userPrincipalName userPrincipalName

distinguishedName distinguishedName

employeeId employeeID

domain canonicalName. Добавляет полное доменное имя объекта.

отключено (внешний пользователь отключен) userAccountControl. Помечено UF_Account_DisableПользователи с отключенными учетными записями немогут получить доступ к своим приложениям и ресурсам.Ресурсы, на доступ к которым у пользователей имелисьправа, не удаляются из учетной записи, поэтому в случаеснятия пометки с учетной записи пользователи смогутвойти и получить доступ к ресурсам в соответствии справами

phone telephoneNumber

lastName sn

firstName givenName

email mail

userName sAMAccountName.

Выбор атрибутов для синхронизации с каталогомПри настройке каталога VMware Identity Manager для синхронизации с Active Directory необходимоуказать атрибуты пользователя, которые будут синхронизироваться с каталогом. На странице«Атрибуты пользователя» перед настройкой каталога можно указать, какие атрибуты требуются поумолчанию, и добавить дополнительные атрибуты, которые нужно сопоставить атрибутам ActiveDirectory.

При настройке перед созданием каталога на странице «Атрибуты пользователя» можно изменитьобязательные атрибуты по умолчанию на необязательные, отметить атрибуты как обязательные идобавить пользовательские атрибуты.


54 VMware Inc.

После создания каталога можно изменить обязательный атрибут на необязательный и удалитьпользовательские атрибуты. Нельзя изменить атрибут, чтобы он стал быть обязательным атрибутом.

При добавлении других атрибуты для синхронизации каталога после его создания перейдите настраницу каталога «Сопоставленные атрибуты» для сопоставления этих атрибутов атрибутам ActiveDirectory.

Важно. Если планируется синхронизировать ресурсы XenApp с VMware Identity Manager,необходимо сделать distinguishedName обязательным атрибутом. Это необходимо указать передсозданием каталога VMware Identity Manager.

Процедура

1. В консоли администрирования на вкладке «Управление учетными данными и доступом»выберите Настройка > Атрибуты пользователя.

2. В разделе «Атрибуты по умолчанию» нужно проверить список обязательных атрибутов и внестисоответствующие изменения, чтобы указать, какие атрибуты должны быть обязательными.

3. В разделе «Атрибуты» в список необходимо добавить имя атрибута каталогаVMware Identity Manager.


Состояние атрибута по умолчанию обновится, и новые атрибуты будут добавлены в списоксопоставленных атрибутов каталога.

5. После создания каталога перейдите на страницу Управление > Каталоги и выберите каталог.

6. Нажмите Настройки синхронизации > Сопоставленные атрибуты.

7. В раскрывающемся меню для добавленных атрибутов выберите атрибут Active Directory дляссопоставления.


Каталог обновится в следующий раз при синхронизации с Active Directory.

Разрешения, необходимые для присоединения к доменуВ некоторых случаях может понадобиться присоединить соединитель VMware Identity Manager кдомену. После создания каталогов Active Directory через LDAP можно выполнить присоединение кдомену. Для каталогов типа Active Directory (со встроенной проверкой подлинности Windows)соединитель автоматически присоединяется к домену при создании каталога. В обоих случаях будетпредложено ввести учетные данные.

Чтобы присоединиться к домену, необходимы учетные данные Active Directory с правомприсоединения компьютера к домену AD. Это можно настроить в Active Directory, используяследующие права:

n Create Computer Objects

n «Создание объектов-компьютеров».

Если не указана специальная организационная единица, объект-компьютер создается приприсоединении к домену в расположении по умолчанию в Active Directory.


VMware Inc. 55

При отсутствии права на присоединение к домену его можно выполнить следующим образом.

1. Попросите администратора Active Directory создать компьютер в расположении,предусмотренном политикой компании. Укажите имя узла соединителя. Укажите полноеквалифицированное доменное имя, например, server.example.com.

Подсказка. Имя узла можно увидеть в колонке Имя узла на странице «Соединители» в консолиадминистрирования. Щелкните Управление учетными данными и доступом > Настройка >Соединители, чтобы просмотреть страницу «Соединители».

2. После создания компьютера присоедините домен в консоли администрирования VMwareIdentity Manager, используя любую учетную запись пользователя домена.

Чтобы выполнить команду Присоединиться к домену на странице Соединители, щелкнитеУправление учетными данными и доступом > Настройка > Соединители.


Домен Выберите или введите домен Active Directory, ккоторому необходимо присоединиться. Обратитевнимание, что необходимо ввести полное доменноеимя. Например, server.example.com.

Пользователь домена Имя пользователя домена Active Directory, которыйобладает правами на присоединение систем к доменуActive Directory.

Пароль домена Пароль пользователя.

Организационная единица (Необязательно.) Организационная единица объекта-компьютера. Используя этот параметр, можно создатькомпьютер в указанной организационной единице, а нев организационной единице «Компьютеры», котораяиспользуется по умолчанию.Например, ou=testou,dc=test,dc=example,dc=com.

Настройка подключения Active Directory к службеВ консоли администрирования укажите сведения, необходимые для подключения к Active Directory,и выберите пользователей и группы, которые необходимо синхронизировать с каталогомVMware Identity Manager.

Для подключения Active Directory можно использовать Active Directory с протоколом LDAP иливстроенную проверку подлинности Windows в Active Directory. Подключение «Active Directory поLDAP» поддерживает функцию поиска места расположения службы DNS. В случае применениявстроенной системы проверки подлинности Windows Active Directory необходимо настроить домен,к которому нужно присоединиться.


n Выберите обязательные атрибуты и при необходимости добавьте дополнительные атрибуты настранице «Атрибуты пользователя». См. раздел Выбор атрибутов для синхронизации скаталогом, на стр. 54.

Важно. Если планируется синхронизировать ресурсы XenApp с VMware Identity Manager,необходимо сделать distinguishedName обязательным атрибутом. Это необходимо сделать досоздания каталога, поскольку атрибуты нельзя сделать обязательными после создания каталога.

n Список групп и пользователей Active Directory, которые нужно синхронизировать изActive Directory.


56 VMware Inc.

n Для подключения к Active Directory по протоколу LDAP необходимо указать такуюинформацию, как базовое различающееся имя, различающееся имя для подключения и парольдля различающегося имени для подключения.

Примечание. Рекомендуется использовать учетную запись пользователя различающегосяимени для подключения с паролем без срока действия.

n Для встроенной проверки подлинности Windows в Active Directory необходимо указать такуюинформацию, как адрес и пароль UPN пользователя привязки домена.


n Если для Active Directory необходим доступ по протоколу SSL или STARTTLS, требуетсясертификат корневого центра сертификации контроллера домена Active Directory.

n Если для встроенной проверки подлинности Windows в Active Directory настроена службаActive Directory с несколькими лесами, а локальная группа домена содержит участников издоменов в разных лесах, обязательно добавьте пользователя привязки в группу администраторовдомена, в котором находится локальная группа домена. Если не сделать этого, эти участники небудут входить в локальную группу домена.

Процедура

1. В консоли администрирования выберите вкладку Управление учетными данными идоступом.

2. На странице «Каталоги» щелкните Добавить каталог.

3. Введите имя этого каталога VMware Identity Manager.


VMware Inc. 57

4. Выберите тип Active Directory в среде и настройте сведения о подключении.


Active Directory с протоколомLDAP

а) В поле Синхронизируйте соединитель выберите соединитель,который необходимо использовать для синхронизации сActive Directory.

б) В поле Проверка подлинности нажмите кнопку Да, если этотActive Directory используется для проверки подлинностипользователей.

Если для проверки подлинности пользователей используетсясторонний поставщик удостоверений, нажмите кнопку Нет.После настройки подключения Active Directory длясинхронизации пользователей и групп перейдите на страницу«Управление учетными данными и доступом» > «Управление» >«Поставщики удостоверений», чтобы добавить стороннийпоставщик удостоверений для проверки подлинности.

в) В поле Атрибут поиска каталогов выберите атрибут учетнойзаписи, который содержит имя пользователя.

г) Если в Active Directory используется поиск данных орасположении служб DNS, выберите приведенные нижепараметры.n В разделе Расположение сервера установите флажок

Данный каталог поддерживает поиск размещенияслужбы DNS.

При создании каталога будет создан файлdomain_krb.properties, который автоматически заполняетсясписком контроллеров домена. См. Выбор контроллерадомена (файл domain_krb.properties), на стр. 49.

n Если для Active Directory требуется шифрование STARTTLS, вразделе Сертификаты установите флажок Все подключенияобъектов, входящих в данный каталог, выполняются сиспользованием протокола SSL, а также скопируйте ивставьте сертификат корневого центра сертификацииActive Directory в поле Сертификат SSL.

Убедитесь, что сертификат находится в формате PEM исодержит строки BEGIN CERTIFICATE и END CERTIFICATE.Примечание. Если для Active Directory требуется протоколSTARTTLS, а сертификат не предоставлен, создать каталогневозможно.

д) Если в Active Directory не используется поиск данных орасположении служб DNS, выберите приведенные нижепараметры.n Убедитесь, что в разделе Расположение сервера не

установлен флажок Данный каталог поддерживает поискразмещения службы DNS, и введите имя узла сервера иномер порта Active Directory.

Сведения о том, как настроить каталог в качестве глобальногокаталога, см. в разделе «Среда Active Directory в несколькихдоменах и одном лесу» в Среды Active Directory, на стр. 47.

n Если для Active Directory требуется доступ по протоколу SSL, вразделе Сертификаты установите флажок Все подключенияобъектов, входящих в данный каталог, выполняются сиспользованием протокола SSL, а также скопируйте ивставьте сертификат корневого центра сертификацииActive Directory в поле Сертификат SSL.


58 VMware Inc.

Параметр ОписаниеУбедитесь, что сертификат находится в формате PEM исодержит строки BEGIN CERTIFICATE и END CERTIFICATE.Примечание. Если для Active Directory требуется протоколSSL, а сертификат не предоставлен, создать каталогневозможно.

е) В поле Базовое различающееся имя введите различающеесяимя, с которого будет начинаться поиск учетных записей.Например, OU=myUnit, DC=myCorp, DC=com.

ж) В поле Различающееся имя для подключения введите учетнуюзапись с правом поиска пользователей. Например,CN=binduser,OU=myUnit,DC=myCorp,DC=com.Примечание. Рекомендуется использовать учетную записьпользователя различающегося имени для подключения с паролембез срока действия.

з) После ввода пароля подключения щелкните Протестироватьсоединение, чтобы проверить, может ли каталог подключиться кActive Directory.

Active Directory (служба проверкиподлинности, встроенная вWindows)

а) В поле Синхронизируйте соединитель выберите соединитель,который необходимо использовать для синхронизации сActive Directory.

б) В поле Проверка подлинности нажмите кнопку Да, если этотActive Directory используется для проверки подлинностипользователей.

Если для проверки подлинности пользователей используетсясторонний поставщик удостоверений, нажмите кнопку Нет.После настройки подключения Active Directory длясинхронизации пользователей и групп перейдите на страницу«Управление учетными данными и доступом» > «Управление» >«Поставщики удостоверений», чтобы добавить стороннийпоставщик удостоверений для проверки подлинности.

в) В поле Атрибут поиска каталогов выберите атрибут учетнойзаписи, который содержит имя пользователя.

г) Если для Active Directory требуется шифрование STARTTLS, вразделе Сертификаты установите флажок Все подключенияобъектов, входящих в данный каталог, выполняются сиспользованием протокола STARTTLS, а также скопируйте ивставьте сертификат корневого центра сертификацииActive Directory в поле Сертификат SSL.

Убедитесь, что сертификат находится в формате PEM и содержитстроки BEGIN CERTIFICATE и END CERTIFICATE.

Если в каталоге несколько доменов, добавьте сертификатыкорневого центра сертификации для всех доменов по отдельности.Примечание. Если для Active Directory требуется протоколSTARTTLS, а сертификат не предоставлен, создать каталогневозможно.

д) Введите доменное имя Active Directory для присоединения.Введите имя и пароль пользователя, у которого есть право наприсоединение к домену. Дополнительные сведения см. в разделе Разрешения, необходимые для присоединения к домену, настр. 55.

е) Заполните поле «Имя участника-пользователя подключения» дляпользователя, который может выполнять проверку подлинности вдомене. Например, имя_пользователя@example.com.Примечание. Рекомендуется использовать учетную записьпользователя различающегося имени для подключения с паролембез срока действия.

ж) Введите пароль пользователя привязки.


VMware Inc. 59

5. Нажмите Сохранить и Далее.

Откроется страница со списком доменов.

6. Для Active Directory с протоколом LDAP установите флажки рядом с необходимыми доменами.

Для Active Directory (встроенная проверка подлинности Windows) выберите домены, которыенеобходимо связать с этим подключением к Active Directory.

Примечание. В случае добавления доверенного домена после создания каталога новыйдоверенный домен служба автоматически не обнаруживает. Чтобы служба смогла обнаружитьдомен, соединитель соединитель должен отсоединиться от домена, а затем снова присоединитьсяк нему. После того как соединитель снова присоединится к домену, доверенный домен появится всписке.


7. Убедитесь, что имена атрибутов каталогов VMware Identity Manager сопоставлены справильными атрибутами Active Directory, и при необходимости внесите изменения, а затемнажмите кнопку Далее.


60 VMware Inc.

8. Выберите группы, которые должны синхронизироваться с каталогом VMware Identity Manager наоснове Active Directory.


Укажите различающиеся именагрупп

Чтобы выбрать группы, укажите одно или несколько различающихсяимен и выберите под ними группы.а) Щелкните знак + и укажите различающееся имя группы.

Например, CN=users,DC=example,DC=company,DC=com.Важно. Следует указывать различающиеся имена групп,которые имеют базовое различающееся имя, введенное вамиранее. Если различающееся имя группы не соответствуетбазовому различающемуся имени, данные пользователей изгруппы с этим различающимся именем будутсинхронизироваться, но сами пользователи не смогут выполнитьвход.

б) Щелкните Поиск групп.

В столбце Число синхронизируемых групп указываетсяколичество групп с заданным различающимся именем.

в) Если необходимо выбрать все группы, которым назначено эторазличающееся имя, щелкните Выбрать все. В противном случаещелкните Выбрать и выберите конкретные группы длясинхронизации.

Примечание. При синхронизации группы все пользователи, длякоторых группа «Пользователи домена» в Active Directory не являетсяосновной, не синхронизируются.

Синхронизировать участниковвложенных групп

Параметр Синхронизировать участников вложенных группвключен по умолчанию. Когда этот параметр включен, всепользователи, которые принадлежат непосредственно к выбраннойгруппе, а также к вложенным группам этой группы,синхронизируются. Обратите внимание, что синхронизируются невложенные группы, а только пользователи, принадлежащие к ним. Вкаталоге VMware Identity Manager эти пользователи будутучастниками родительской группы, выбранной для синхронизации.Если параметр Синхронизировать участников вложенных группотключен, то при указании группы для синхронизации всепользователи, которые принадлежат непосредственно к ней, будутсинхронизированы. Пользователи, которые принадлежат квложенным группам этой группы, не синхронизируются. Отключениеэтого параметра может потребоваться в больших конфигурацияхActive Directory, где навигация по дереву групп требует значительныхобъемов ресурсов и времени. Но перед тем как его отключить,убедитесь, что выбраны все группы, пользователей которыхнеобходимо синхронизировать.


10. При необходимости укажите дополнительных пользователей для синхронизации.

а) Щелкните знак + и введите различающиеся имена пользователей. Например,CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

Важно. Следует указывать различающиеся имена пользователей, которые имеют базовоеразличающееся имя, введенное вами ранее. Если различающееся имя пользователя несоответствует базовому различающемуся имени, данные пользователей с этимразличающимся именем будут синхронизироваться, но сами пользователи не смогутвыполнить вход.

б) (Необязательно.) Чтобы удалить пользователей, щелкните фильтр, позволяющий исключитьнекоторые типы пользователей.

Вы выбираете атрибут пользователя для фильтрации, правило запроса и значение.


VMware Inc. 61


12. На этой странице можно просмотреть расписание синхронизации и узнать, сколькопользователей и групп синхронизируются с каталогом.


13. Щелкните Синхронизировать каталоги, чтобы начать синхронизацию в каталог.

Подключение к Active Directory устанавливается, а пользователи и группы синхронизируются сActive Directory в каталог VMware Identity Manager. У пользователя различающегося имени дляподключения есть роль администратора в VMware Identity Manager по умолчанию.


n При создании каталога, который поддерживает поиск размещения службы DNS, создается файлdomain_krb.properties, куда автоматически добавляется список контроллеров домена.Просмотрите файл, чтобы проверить или изменить список контроллеров домена. См. раздел Выбор контроллера домена (файл domain_krb.properties), на стр. 49.

n Настройте методы проверки подлинности. После синхронизации пользователей и групп скаталогом, если для проверки подлинности также используется соединитель, в нем можнонастроить дополнительные методы проверки подлинности. Если поставщиком удостоверенийдля проверки подлинности является сторонняя организация, настройте этого поставщика всоединителе.

n Проанализируйте политику доступа по умолчанию. Политика доступа по умолчанию настроенатак, чтобы все устройства во всех сетевых диапазонах могли получать доступ к веб-браузеру сзаданным временем ожидания сеанса (восемь часов) или получать доступ к клиентскомуприложению с временем ожидания сеанса 2160 часов (или 90 дней). Политику доступа поумолчанию можно изменить, а при добавлении веб-приложений в каталог можно создать новыеполитики доступа.

n Примените пользовательскую фирменную символику на консоли администрирования, настраницах пользовательского портала и на экране входа в систему.

Включение изменения просроченных паролей для пользователейActive Directory

При необходимости можно предоставить пользователям возможность изменять свои паролиActive Directory с портала или приложения Workspace ONE в любое удобное для них время.Пользователи также могут выполнять сброс своих паролей Active Directory на странице входаVMware Identity Manager, если пароль просрочен или если администратор Active Directory сбросилпароль, чтобы пользователь изменил его при следующем входе в систему.

Этот параметр можно включить для всего каталога, выбрав параметр Разрешить изменениепаролей на странице «Параметры каталога».

Пользователи могут сменить свои пароли при входе на портал Workspace ONE. Для этого онидолжны щелкнуть свое имя в правом верхнем углу экрана, выбрать в раскрывающемся меню пунктУчетная запись и щелкнуть ссылку Изменить пароль. В приложении Workspace ONE пользователимогут сменить свои пароли, щелкнув значок меню в виде трех полос и выбрав пункт Пароль.

Пароли с истекшим сроком действия и пароли, сброшенные администратором в Active Directory,можно изменить на странице входа в систему. Если пользователь попытается войти в систему спросроченным паролем, ему будет предложено сбросить пароль. Для этого пользователь долженввести старый и новый пароль.


62 VMware Inc.

Требования, предъявляемые к новым паролям, определяются политикой использования паролейActive Directory. Количество разрешенных попыток также зависит от политики использованияпаролей Active Directory.

Действуют следующие ограничения.

n Если используются дополнительные автономные виртуальные устройства соединителей,обратите внимание, что параметр Разрешить изменение паролей доступен только длясоединителей версии 2016.11.1 и более новых.

n При добавлении глобального каталога в VMware Identity Manager параметр Разрешитьизменение паролей недоступен. При добавлении каталогов можно выбрать параметр«Active Directory с протоколом LDAP» или «Проверка подлинности Windows», используя порт389 или 636.

n Пароль пользователя с различающимся именем для подключения нельзя сбросить изVMware Identity Manager, даже если он просрочен или сброшен администраторомActive Directory.


n Пароли пользователей, чьи имена для входа содержат многобайтные символы (отличные отASCII), из VMware Identity Manager сбросить нельзя.


n На VMware Identity Manager нужно открыть порт 464 для контроллеров домена.

Процедура


2. На странице Каталоги щелкните каталог.

3. В разделе Разрешить изменение паролей установите флажок Включить функциюизменения паролей.

4. Введите пароль для различающегося имени для подключения в разделе Сведения опользователе подключения и нажмите кнопку Сохранить.

Интеграция с каталогами LDAPКорпоративный каталог LDAP можно интегрировать с VMware Identity Manager для синхронизациипользователей и групп из каталога LDAP со службой VMware Identity Manager.

См. также раздел Важные понятия, относящиеся к интеграции каталогов, на стр. 46.

Ограничения интеграции каталогов LDAPК интеграции каталогов LDAP применяются следующие ограничения.

n Интегрировать можно только среду каталогов LDAP одного домена.

Чтобы интегрировать несколько доменов из каталога LDAP, необходимо создать дополнительныекаталоги VMware Identity Manager (по одному для каждого домена).

n Следующие методы проверки подлинности не поддерживаются каталогами LDAP вVMware Identity Manager.

n проверка подлинности с помощью Kerberos

n Адаптивная проверка подлинности RSA


VMware Inc. 63

n ADFS в качестве стороннего поставщика удостоверений.

n SecurID

n Проверка подлинности Radius с использованием Vasco и сервера SMS Passcode.

n Нельзя присоединиться к домену LDAP.

n Интеграция с помощью View или опубликованных ресурсов Citrix для каталогов LDAP вVMware Identity Manager не поддерживается.

n В именах пользователей не должно быть пробелов. Если имя пользователя содержит пробел,пользователь синхронизируется, но права для него становятся недоступны.

n Если планируется добавить каталоги Active Directory и LDAP, не отмечайте никакие атрибуты вкачестве обязательных на странице «Атрибуты пользователя» (кроме userName, который можноотметить в качестве обязательного). Параметры на странице «Атрибуты пользователя»применяются ко всем каталогам службы. Если атрибут обозначен как обязательный,пользователи без этого атрибута не будут синхронизироваться со службойVMware Identity Manager.

n Если в каталоге LDAP есть несколько групп с одинаковыми именами, в службеVMware Identity Manager необходимо указать для них уникальные имена. Указать имена можнопри выборе групп для синхронизации.

n Параметр, с помощью которого можно разрешить пользователям сбросить просроченныепароли, недоступен.

n Файл domain_krb.properties не поддерживается.

Интеграция каталога LDAP со службойКорпоративный каталог LDAP можно интегрировать с VMware Identity Manager для синхронизациипользователей и групп из каталога LDAP со службой VMware Identity Manager.

Для интеграции каталога LDAP необходимо создать соответствующий каталогVMware Identity Manager и синхронизировать пользователей и группы из каталога LDAP с каталогомVMware Identity Manager. Для последующих обновлений можно настроить регулярное расписаниесинхронизации.

Кроме того, следует выбрать атрибуты LDAP, которые нужно синхронизировать для пользователей, исопоставить их с атрибутами VMware Identity Manager.

Конфигурация каталогов LDAP может быть настроена на основе схем по умолчанию илипользовательских схем. Можно также определить пользовательские атрибуты. Чтобы датьVMware Identity Manager возможность запрашивать каталог LDAP и получать объектыпользователей или групп, необходимо указать поисковые фильтры и имена атрибутов LDAP,применимых к каталогу LDAP.

В частности, необходимо указать следующие сведения.

n Поисковые фильтры LDAP для получения групп и пользователей, а также пользователяподключения.

n Имена атрибутов LDAP для членства в группе, идентификатора UUID и различающегося имени

К интеграции каталогов LDAP применяются определенные ограничения. См. раздел Ограниченияинтеграции каталогов LDAP, на стр. 63.


n Если используются дополнительные внешние виртуальные устройства соединителей, обратитевнимание, что интеграция каталогов LDAP доступна только для соединителей версии 2016.6.1 иболее новых.


64 VMware Inc.

n Просмотрите атрибуты на странице Управление учетными данными и доступом >Настройка > Атрибуты пользователя и добавьте дополнительные атрибуты, которые нужносинхронизировать. Эти атрибуты VMware Identity Manager будут сопоставлены с каталогомLDAP позже, после создания каталога. Они синхронизируются для пользователей в каталоге.

Примечание. При изменении атрибутов пользователя учтите влияние на другие каталоги вслужбе. Если планируется добавить каталоги Active Directory и LDAP, не отмечайте никакиеатрибуты в качестве обязательных (кроме userName, который можно отметить в качествеобязательного). Параметры на странице «Атрибуты пользователя» применяются ко всемкаталогам службы. Если атрибут обозначен как обязательный, пользователи без этого атрибутане будут синхронизироваться со службой VMware Identity Manager.

n Учетная запись пользователя с различающимся именем для подключения. Рекомендуетсяиспользовать учетную запись пользователя различающегося имени для подключения с паролембез срока действия.

n В каталоге LDAP универсальный уникальный идентификатор объекта пользователей и группдолжен быть указан в текстовом формате.

n В каталоге LDAP для всех пользователей и групп должен быть указан атрибут domain.

Этот атрибут сопоставляется с атрибутом domain в VMware Identity Manager при созданиикаталога VMware Identity Manager.

n В именах пользователей не должно быть пробелов. Если имя пользователя содержит пробел,пользователь синхронизируется, но права для него становятся недоступны.

n При использовании проверки подлинности с помощью сертификата пользователи должныуказать значения для атрибута userPrincipalName, а также атрибуты адреса электронной почты.

Процедура


2. На странице «Каталоги» щелкните Добавить папку и выберите элемент Добавить каталогLDAP.


VMware Inc. 65

3. Введите необходимые сведения на странице «Добавить каталог LDAP».


Имя каталога Имя каталога VMware Identity Manager.

Синхронизация службы каталогови проверка подлинности

а) В поле Синхронизируйте соединитель выберите соединитель,который необходимо использовать для синхронизациипользователей и групп каталога LDAP с каталогомVMware Identity Manager.

Компонент соединителя всегда доступен в службеVMware Identity Manager по умолчанию. Этот соединительотображается в раскрывающемся списке. Если для высокойдоступности установлены несколько устройствVMware Identity Manager, компонент соединителя каждого из нихбудет в этом списке.

В отдельном соединителе для каталога LDAP нет необходимости.Соединитель может поддерживать несколько каталогов, будь токаталоги Active Directory или LDAP.

Сведения для сценариев, в которых требуются дополнительныесоединители, см. в разделе «Установка дополнительных устройствсоединителя» в руководстве по установке VMware Identity Manager.

б) Если необходимо использовать этот каталог LDAP для проверкиподлинности пользователей, в поле Проверка подлинностивыберите значение Да.

Если для проверки подлинности пользователей необходимоприменять сторонний поставщик удостоверений, выберите Нет.После подключения к каталогу для синхронизации пользователейи групп перейдите на страницу Управление учетнымиданными и доступом > Управление > Поставщикиудостоверений, чтобы добавить сторонний поставщикудостоверений для проверки подлинности.

в) В поле Атрибут поиска каталога укажите атрибут каталогаLDAP, который будет использоваться в качестве именипользователя. Если необходимого атрибута нет в списке, выберитепараметр Пользовательский и введите имя атрибута. Например,cn.

Расположение сервера Введите имя узла и номер порта узла сервера каталога LDAP. Вкачестве узла сервера можно указать полное доменное имя или IP-адрес. Например, myLDAPserver.example.com или 100.00.00.0.При наличии серверного кластера за средством балансировкинагрузки введите вместо этого сведения о средстве балансировкинагрузки.


66 VMware Inc.


Настройка LDAP Укажите фильтры и атрибуты поиска LDAP, которыеVMware Identity Manager следует использовать для создания запросакаталога LDAP. Значения по умолчанию указываются, исходя изданных основной схемы LDAP.Запросы LDAPn Получить группы: поисковой фильтр для получения объектов

группы.

Например, (objectClass=group).n Получить пользователя подключения: фильтр поиска для

получения объекта пользователя подключения, то естьпользователя, который может подключаться к каталогу.

Например, (objectClass=person).n Получить пользователя: поисковой фильтр, позволяющий

получать данные пользователей, которых необходимосинхронизировать.

Например, (&(objectClass=user)(objectCategory=person)).Атрибутыn Состав: атрибут, который используется в каталоге LDAP для

определения участников группы.

Например, member.n Универсальный уникальный идентификатор объекта:

атрибут, который используется в каталоге LDAP для определенияуниверсального уникального идентификатора пользователя игруппы.

Например, entryUUID.n Различающееся имя: атрибут, который используется в каталоге

LDAP для определения различающегося имени пользователя илигруппы.

Например, entryDN.

Сертификаты Если необходимо настроить получение доступа к каталогу LDAP сиспользованием SSL, выберите параметр Все подключенияобъектов, входящих в данный каталог, выполняются сиспользованием протокола SSL, а затем скопируйте и вставьтесертификат SSL из корневого центра сертификации, настроенного длясервера каталога LDAP. Убедитесь, что сертификат находится вформате PEM и содержит строки BEGIN CERTIFICATE и ENDCERTIFICATE.

Сведения о пользователеподключения

Базовое различающееся имя: введите различающееся имя, скоторого будет начинаться поиск. Например,cn=users,dc=example,dc=com.Различающееся имя для подключения — введите имяпользователя, которое следует использовать для подключения ккаталогу LDAP.Примечание. Рекомендуется использовать учетную записьпользователя различающегося имени для подключения с паролем безсрока действия.Пароль для базового различающегося имени — введите пароль дляпользователя с различающимся именем для подключения.

4. Чтобы проверить подключение к серверу каталога LDAP, щелкните Протестировать

соединение.

Если не удастся установить подключение, проверьте введенные сведения и внеситесоответствующие изменения.

5. Нажмите Сохранить и Далее.


VMware Inc. 67

6. На странице «Домены» убедитесь, что указан правильный домен, а затем нажмите кнопку Далее.

7. На странице «Сопоставление атрибутов» убедитесь, что атрибуты VMware Identity Managerсопоставлены с правильными атрибутами LDAP.

Важно. Необходимо указать сопоставление для атрибута domain.

На странице «Атрибуты пользователя» можно добавить атрибуты в список.


9. На странице «Группы» щелкните + для выбора групп, которые необходимо синхронизировать изкаталога LDAP с каталогом VMware Identity Manager.

Если в каталоге LDAP есть несколько групп с одинаковыми именами, на странице группнеобходимо указать для них уникальные имена.

Параметр Синхронизировать пользователей вложенных групп включен по умолчанию.Когда этот параметр включен, все пользователи, которые принадлежат непосредственно квыбранной группе, а также к вложенным группам этой группы, синхронизируются. Обратитевнимание, что синхронизируются не вложенные группы, а только пользователи, принадлежащиек ним. В каталоге VMware Identity Manager эти пользователи будут участниками группы верхнегоуровня, выбранной для синхронизации. По факту иерархические элементы ниже выбраннойгруппы удаляются, а пользователи всех уровней отображаются в VMware Identity Manager всоставе выбранной группы.

Если этот параметр отключен, то при указании группы для синхронизации все пользователи,которые принадлежат к ней непосредственно, синхронизируются. Пользователи, которыепринадлежат к вложенным группам этой группы, не синхронизируются. Отключение этогопараметра полезно для больших конфигураций каталога, где навигация по дереву групп требуетзначительных объемов ресурсов и времени. Но перед тем как его отключить, убедитесь, чтовыбраны все группы, пользователей которых необходимо синхронизировать.


11. Щелкните +, чтобы добавить дополнительных пользователей. Например, введитеCN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

Чтобы удалить пользователей, щелкните фильтр, позволяющий исключить некоторые типыпользователей. Вы выбираете атрибут пользователя для фильтрации, правило запроса изначение.


12. На этой странице можно просмотреть расписание синхронизации по умолчанию и узнать,сколько пользователей и групп будет синхронизироваться с каталогом.


13. Щелкните команду Синхронизировать каталог, чтобы запустить синхронизацию каталогов.

Устанавливается подключение к каталогу LDAP, а пользователи и группы каталога LDAPсинхронизируются с каталогом VMware Identity Manager. У пользователя различающегося имени дляподключения есть роль администратора в VMware Identity Manager по умолчанию.


68 VMware Inc.

Добавление каталога после настройки аварийного переключенияи резервирования

Если после развертывания кластера для обеспечения высокой доступности в службуVMware Identity Manager добавлен новый каталог, который необходимо сделать частьюконфигурации высокой доступности, добавьте его во все устройства в кластере.

Это можно сделать путем добавления компонента соединителя каждого экземпляра дляобслуживания в новый каталог.

Процедура


2. Выберите вкладку Управление учетными данными и доступом, а затем — вкладкуПоставщики удостоверений.

3. На странице «Поставщики удостоверений» найдите поставщика удостоверений для новогокаталога и щелкните его имя.

4. В поле Имя сервера поставщика удостоверений введите полное доменное имя средствабалансировки нагрузки, если оно еще не задано.

5. В поле Соединители выберите соединитель, который необходимо добавить.

6. Введите пароль и нажмите кнопку Сохранить.

7. На странице «Поставщики удостоверений» щелкните имя поставщика удостоверений еще раз иубедитесь, что в поле Имя узла поставщика удостоверений отображается правильное имяузла. В поле Имя узла поставщика удостоверений должно отображаться полное доменное имясредства балансировки нагрузки. Если имя неправильное, введите полное доменное имя средствабалансировки нагрузки и нажмите кнопку Сохранить.

8. Повторите предыдущие шаги, чтобы добавить все соединители, указанные в поле Соединители.

Примечание. После добавления каждого соединителя проверьте имя узла поставщикаудостоверений и измените его, если это необходимо, как описано на шаге 7.

Теперь каталог связан со всеми соединителями в развернутой среде.


VMware Inc. 69


70 VMware Inc.

Использование локальныхкаталогов 5

Локальный каталог — это один из типов каталогов, которые можно создать в службеVMware Identity Manager. С помощью локального каталога можно инициализировать локальныхпользователей в службе и предоставить им доступ к определенным приложениям, не добавляя их вкорпоративный каталог. Локальный каталог не подключен к корпоративному каталогу. Кроме того,пользователи и группы корпоративного каталога не синхронизируются с локальным. Локальныепользователи создаются непосредственно в локальном каталоге.

В службе доступен локальный каталог по умолчанию с именем «Системный каталог». Принеобходимости можно также создать несколько новых локальных каталогов.

Системный каталогСистемный каталог представляет собой локальный каталог, который автоматически создается вслужбе при ее первом запуске. Этот каталог находится в системном домене. Невозможно изменитьимя и домен системного каталога, добавить к нему новые домены, а также удалить системныйкаталог или системный домен.

Локальный администратор, созданный при первом запуске устройства VMware Identity Manager всистемном домене системного каталога.

В системный каталог можно добавлять других пользователей. Системный каталог, как правило,используется, чтобы настроить нескольких локальных администраторов для управления службой.Для инициализации конечных пользователей и дополнительных администраторов, а такжепредоставления им прав на использование приложений рекомендуется создать новый локальныйкаталог.

Локальные каталогиПри необходимости можно создать несколько локальных каталогов. У каждого локального каталогаможет быть один или несколько доменов. При создании локального пользователя для негонеобходимо указать каталог и домен.

Можно также выбрать атрибуты для всех пользователей в локальном каталоге. В службеVMware Identity Manager атрибуты пользователя, например userName, lastName и firstName,указываются на глобальном уровне. При этом можно просмотреть список атрибутов по умолчанию идобавить собственные атрибуты. Глобальные атрибуты пользователя применяются ко всем каталогам

VMware Inc. 71

службы, в том числе локальным. На уровне локального каталога можно выбрать обязательныеатрибуты. Благодаря этому можно задать специальный набор атрибутов для различных локальныхкаталогов. Обратите внимание, что атрибуты userName, lastName, firstName и email всегдаобязательны для локальных каталогов.

Примечание. Возможность настройки атрибутов пользователя на уровне каталога предусмотренатолько для локальных каталогов. Для каталогов LDAP и Active Directory она не поддерживается.

Локальные каталоги полезны в следующих ситуациях.

n Можно создать локальный каталог для пользователей определенного типа, которые не входят вкорпоративный каталог. Например, можно создать локальный каталог для партнеров, которыеобычно не входят в корпоративный каталог, и предоставить им доступ только к конкретнымтребуемым приложениям.

n Вы можете создать несколько локальных каталогов, если нужно назначить разные атрибутыпользователя или методы проверки подлинности различным группам пользователей.Например, можно создать один локальный каталог для дистрибьюторов, которым назначенытакие атрибуты пользователя, как регион и размер рынка, а другой — для поставщиков, которымназначены такие атрибуты пользователя, как категория продукта и тип поставщика.

Поставщик удостоверений для системного каталога и локальныхкаталогов

По умолчанию системный каталог связан с поставщиком удостоверений с именем «Системныйпоставщик удостоверений». Метод «Пароль (каталог в облаке)» включен для этого поставщикаудостоверений по умолчанию и применяется к политике default_access_policy_set для диапазонасетевых адресов «ВСЕ ДИАПАЗОНЫ» и типа устройств «Веб-браузер». При необходимости можнонастроить дополнительные методы проверки подлинности и задать политики проверкиподлинности.

При создании нового локального каталога он не связывается с каким-либо определеннымпоставщиком удостоверений. Создав каталог, создайте поставщик удостоверений типа «Встроенный»и свяжите с ним каталог. Включите метод проверки подлинности «Пароль (каталог в облаке)» впоставщике удостоверений. С одним поставщиком удостоверений можно связать нескольколокальных каталогов.

Соединитель VMware Identity Manager Connector не требуется ни для системного каталога, ни длясоздаваемых локальных каталогов.

Дополнительные сведения см. в разделе «Настройка проверки подлинности пользователей вVMware Identity Manager» в документе Администрирование VMware Identity Manager.

Управление паролями для пользователей локального каталогаПо умолчанию все пользователи локальных каталогов могут сменить свой пароль на портале или вприложении Workspace ONE. Для локальных пользователей можно настроить политику паролей.При необходимости администратор также может сбросить пароли локальных пользователей.

Пользователи могут сменить свои пароли при входе на портал Workspace ONE. Для этого онидолжны щелкнуть свое имя в правом верхнем углу экрана, выбрать в раскрывающемся меню пунктУчетная запись и щелкнуть ссылку Изменить пароль. В приложении Workspace ONE пользователимогут сменить свои пароли, щелкнув значок меню в виде трех полос и выбрав пункт Пароль.

Дополнительную информацию о настройке политик паролей и сбросе паролей локальныхпользователей см. в разделе «Управление пользователями и группами» в руководстве поадминистрированию VMware Identity Manager.


72 VMware Inc.


n Создание локального каталога, на стр. 73

n Изменение параметров локального каталога, на стр. 77

n Удаление локального каталога, на стр. 79

Создание локального каталогаЧтобы создать локальный каталог, необходимо указать атрибуты пользователя для каталога, создатькаталог и определить его с помощью поставщика удостоверений.

1. Установка атрибутов пользователя на глобальном уровне на стр. 73Перед тем как создать локальный каталог, просмотрите глобальные атрибуты пользователя настранице «Атрибуты пользователя» и при необходимости добавьте атрибуты пользователя.

2. Создание локального каталога на стр. 74После проверки и установки глобальных атрибутов пользователя необходимо создатьлокальный каталог.

3. Связывание локального каталога с поставщиком удостоверений на стр. 76Свяжите локальный каталог с поставщиком удостоверений, чтобы пользователи смоглипроходить проверку подлинности в этом каталоге. Создайте поставщик удостоверений типа«Встроенный» и включите для него метод проверки подлинности «Пароль (локальныйкаталог)».

Установка атрибутов пользователя на глобальном уровнеПеред тем как создать локальный каталог, просмотрите глобальные атрибуты пользователя настранице «Атрибуты пользователя» и при необходимости добавьте атрибуты пользователя.

Такие атрибуты пользователя, как firstName, lastName, email и domain, являются частью профиляпользователя. В службе VMware Identity Manager атрибуты пользователя определяются наглобальном уровне и применяются ко всем каталогам в службе, в том числе к локальным каталогам.На уровне локального каталога можно указать, является ли атрибут обязательным для пользователейв этом каталоге, но настраиваемые атрибуты добавлять нельзя. Если атрибут является обязательным,его значение необходимо указать при создании пользователя.

При создании настраиваемых атрибутов нельзя использовать следующие слова.

Таблица 5‑1. Слова, которые нельзя использованы в качестве имен настраиваемых атрибутов

active addresses costCenter

department displayName division

emails employeeNumber права

externalId группы id

ims locale manager

meta name nickName

organization пароль phoneNumber

photos preferredLanguage profileUrl

Глава 5 Использование локальных каталогов

VMware Inc. 73

Таблица 5‑1. Слова, которые нельзя использованы в качестве имен настраиваемых атрибутов(продолжение)

роли timezone Название

userName userType x509Certificate

Примечание. Возможность перезаписи атрибутов пользователя на уровне каталога предусмотренатолько для локальных каталогов. Для каталогов LDAP и Active Directory она не поддерживается.

Процедура


2. Щелкните Настройка, а затем выберите вкладку Атрибуты пользователя.

3. Просмотрите список атрибутов пользователя и при необходимости добавьте дополнительныеатрибуты.

Примечание. Хотя на этой странице можно указать, какие атрибуты являются обязательными,выбирать обязательные атрибуты для локальных каталогов рекомендуется на уровне локальногокаталога. Если на этой странице атрибут отмечен как обязательный, он применяется ко всемкаталогам в службе, в том числе к каталогам Active Directory и LDAP.



Создайте локальный каталог.

Создание локального каталогаПосле проверки и установки глобальных атрибутов пользователя необходимо создать локальныйкаталог.

Процедура

1. В консоли администрирования перейдите на вкладку Управление учетными данными идоступом и выберите вкладку Каталоги.

2. Щелкните Добавить каталог и выберите в раскрывающемся меню Добавление локальногокаталога пользователей.

3. На странице «Добавить каталог» введите имя каталога и укажите по крайней мере одно

доменное имя.

Доменное имя должно быть уникальным во всех каталогах в службе.


74 VMware Inc.

Пример:


5. На странице «Каталоги» щелкните новый каталог.

6. Перейдите на вкладку Атрибуты пользователя.

Здесь будут перечислены все атрибуты локального каталога, выбранные на странице«Управление учетными данными и доступом > Настройка > Атрибуты пользователя». Атрибуты,которые отмечены на этой странице как обязательные, также указываются как обязательный настранице локального каталога.

7. Настройте атрибуты локального каталога.

Укажите обязательные и необязательные атрибуты. Кроме того, можно изменить порядок, вкотором отображаются атрибуты.

Важно. Атрибуты userName, firstName, lastName и email всегда обязательны для локальныхкаталогов.

n Чтобы сделать атрибут обязательным, установите флажок рядом с его именем.

n Чтобы сделать атрибут необязательным, снимите флажок рядом с его именем.

n Чтобы изменить порядок атрибутов, щелкните и перетащите атрибут в новое положение.


VMware Inc. 75

Если атрибут обязательный, его значение необходимо указывать при создании каждого новогопользователя.

Пример:



Локальный каталог можно связать с поставщиком удостоверений, который необходимо использоватьдля проверки подлинности пользователей в каталоге.

Связывание локального каталога с поставщиком удостоверенийСвяжите локальный каталог с поставщиком удостоверений, чтобы пользователи смогли проходитьпроверку подлинности в этом каталоге. Создайте поставщик удостоверений типа «Встроенный» ивключите для него метод проверки подлинности «Пароль (локальный каталог)».

Примечание. Не используйте встроенный поставщик удостоверений. Не рекомендуется включатьметод проверки подлинности «Пароль (локальный каталог)» для встроенного поставщикаудостоверений.

Процедура

1. На вкладке Управление учетными данными и доступом выберите вкладку Поставщикиудостоверений.

2. Щелкните Добавить поставщика удостоверений и выберите Создать встроенногопоставщика удостоверений.

3. Введите следующие данные.


Имя поставщика удостоверений Введите имя поставщика удостоверений.

Пользователи Выберите созданный локальный каталог.

Сеть Выберите сети, в которых будет доступен этот поставщикудостоверений.в кот


76 VMware Inc.


Способы проверки подлинности Выберите элемент «Пароль (локальный каталог)».

Экспортировать сертификат KDC Загрузите сертификат, только если вам нужно настроить единый входдля мобильных устройств iOS под управлением AirWatch.

4. Нажмите кнопку Добавить.

Вы создали поставщик удостоверений и связали его с локальным каталогом. постаПозже дляпоставщика удостоверений можно настроить другие методы проверки подлинности.Дополнительные сведения о проверке подлинности см. в разделе «Настройка проверки подлинностипользователей в VMware Identity Manager» в документе Администрирование VMware Identity Manager.

Один и тот же поставщик удостоверений можно использовать для нескольких локальных каталогов.


Создайте локальных пользователей и локальные группы. Локальных пользователей и локальныегруппы необходимо создать на вкладке Пользователи и группы в консоли администрирования.Дополнительные сведения см. в разделе «Управление пользователями и группами» руководства поадминистрированию VMware Identity Manager.

Изменение параметров локального каталогаПосле создания локального каталога его параметры можно изменить в любое время.

Изменить можно следующие параметры.

n Измените имя каталога.

n Можно добавить, удалить или переименовать домены.

n Доменные имена должны быть уникальными во всех каталогах службы.

n При изменении имени домена пользователи, связанные со старым доменом, связываются сновым.

n Для каталога должен быть задан по крайней мере один домен.

n В системный каталог нельзя добавить домен. Кроме того, нельзя удалить системный домен.


VMware Inc. 77

n Можно добавить новые атрибуты пользователя или сделать имеющиеся атрибутыобязательными или необязательными.

n Если в локальный каталог не добавлены пользователи, можно добавлять новые атрибуты какобязательные или необязательные, а также сделать имеющиеся атрибуты обязательнымиили необязательными.

n Если в локальном каталоге уже созданы пользователи, новые атрибуты можно добавитьтолько как необязательные, а имеющиеся атрибуты можно только превратить изобязательных в необязательные. После создания пользователей необязательные атрибутынельзя сделать обязательными.

n Атрибуты userName, firstName, lastName и email всегда обязательны для локальныхкаталогов.

n Поскольку атрибуты пользователя определены в службе VMware Identity Manager наглобальном уровне, любые добавленные атрибуты будут отображаться во всех каталогахслужбы.

n Можно изменять порядок отображения атрибутов.

Процедура


2. На странице «Каталоги» щелкните каталог, который необходимо изменить.

3. Измените параметры локального каталога.

Параметр Действие

Изменение имени каталога а) На вкладке Параметры измените имя каталога.б) Нажмите кнопку Сохранить.

Добавление, удаление илипереименование домена

а) На вкладке Параметры отредактируйте список Домены.б) Чтобы добавить домен, щелкните зеленый значок плюса.в) Чтобы удалить домен, щелкните красный значок удаления.г) Имя домена можно изменить, отредактировав его в текстовом

поле.

Добавление атрибутовпользователя в каталог

а) Откройте вкладку Управление учетными данными и доступоми щелкните Настройка.

б) Перейдите на вкладку Атрибуты пользователя.в) Добавьте атрибуты в список Добавьте другие атрибуты,

которые следует использовать и щелкните Сохранить.

Настройка обязательных инеобязательных атрибутов длякаталога

а) На вкладке Управление учетными данными и доступомвыберите вкладку Каталоги.

б) Щелкните имя локального каталога и перейдите на вкладкуАтрибуты пользователя.

в) Установите флажок рядом с атрибутом, чтобы сделать егообязательным, или снимите флажок, чтобы сделать егонеобязательным.

г) Нажмите кнопку Сохранить.

Изменение порядка атрибутов а) На вкладке Управление учетными данными и доступомвыберите вкладку Каталоги.

б) Щелкните имя локального каталога и перейдите на вкладкуАтрибуты пользователя.

в) Щелкните и перетащите атрибуты в новое положение.г) Нажмите кнопку Сохранить.


78 VMware Inc.

Удаление локального каталогаЛокальный каталог, созданный в службе VMware Identity Manager, удалить нельзя. Системныйкаталог, который создается по умолчанию при первом запуске службы, удалить нельзя.

Осторожно. При удалении каталога все пользователи в нем также будут удалены из службы.

Процедура

1. Перейдите на вкладку Управление учетными данными и доступом, а затем — на вкладкуКаталоги.

2. Щелкните каталог, который нужно удалить.

3. На странице «Каталоги» щелкните Удалить каталог.


VMware Inc. 79


80 VMware Inc.

Дополнительная конфигурация дляустройстваVMware Identity Manager . 6

После завершения обычной установки виртуального устройства VMware Identity Manager, возможно,потребуется выполнить другие задачи конфигурации, например включение внешнего доступа кVMware Identity Manager и настройку резервирования.

На схеме архитектуры VMware Identity Manager показано, как можно развернуть средуVMware Identity Manager. Сведения о классическом развертывании см. в разделе Глава 1, Подготовкак установке VMware Identity Manager, на стр. 9.


n Использование подсистемы балансировки нагрузки или обратного прокси-сервера дляобеспечения внешнего доступа к VMware Identity Manager, на стр. 81

n Настройка аварийного переключения и резервирования в одном центре обработки данных, настр. 86

n Развертывание VMware Identity Manager в резервном центре обработки данных для обеспечениярезервирования и аварийного переключения, на стр. 92

Использование подсистемы балансировки нагрузки илиобратного прокси-сервера для обеспечения внешнего доступа кVMware Identity Manager

Во время развертывания виртуальное устройство VMware Identity Manager устанавливается вовнутренней сети. Если нужно предоставить доступ к службе пользователям, подключающимся извнешних сетей, в демилитаризованной зоне необходимо установить подсистему балансировкинагрузки или обратный прокси-сервер, например Apache, nginx, F5 и т. п.

Если подсистема балансировки нагрузки или обратный прокси-сервер не используются, количествоустройств VMware Identity Manager в дальнейшем увеличить невозможно. В некоторых случаях длярезервирования и балансировки нагрузки необходимо добавить несколько устройств. На следующейсхеме показана базовая архитектура развертывания, которую можно использовать для организациивнешнего доступа.

VMware Inc. 81

Рисунок 6‑1. Внешний прокси-сервер балансировки нагрузки с виртуальной машиной

Виртуальное устройство

Внутренние пользователи

Внешние пользователи

Брандмауэр ДМЗ

Порт 443 Порт 443

VMware Identity Manager

Имя узла внутреннего средствабалансировки нагрузки: Полное доменное

Пример IP-адреса: 10..x.y.zПорт: Порт VMware Identity ManagerНеобходимо включить заголовки X-Forwarded-For.

имя VMware Identity Manager

Имя узла внешнего средствабалансировки нагрузки: Полное доменное имя

Пример IP-адреса: 64.x.y.zПорт: Порт VMware Identity ManagerНеобходимо включить заголовки X-Forwarded-For.

VMware Identity Manager




Указание полного доменного имени во время развертывания средстваVMware Identity Manager

При развертывании виртуальной машины средства VMware Identity Manager указывается полноедоменное имя и номер порта средства VMware Identity Manager. Эти значения должнысоответствовать имени сервера, к которому конечным пользователям нужно предоставить доступ.

Виртуальная машина средства VMware Identity Manager всегда работает через порт 443. Длябалансировки нагрузки можно использовать другой номер порта. Если используется другой номерпорта, его необходимо указать во время развертывания.

Настройка средства балансировки нагрузкиС помощью параметров средства балансировки нагрузки можно включить использование заголовковX-Forwarded-For, указать правильное время ожидания для средства балансировки нагрузки ивключить закрепляемые сеансы. Кроме того, между виртуальным устройством средстваVMware Identity Manager и средством балансировки нагрузки должно быть настроено отношениедоверия при использовании протокола SSL.

n Заголовки X-Forwarded-For


82 VMware Inc.

В средстве балансировки нагрузки нужно включить использование заголовков X-Forwarded-For.От этого зависит метод проверки подлинности. Дополнительные сведения см. в документациииспользуемого средства балансировки нагрузки.

n Время ожидания средства балансировки нагрузки

В некоторых случаях для правильной работы VMware Identity Manager необходимо увеличитьзаданное по умолчанию время ожидания для запросов средства балансировки нагрузки. Этозначение задается в минутах. Если задать слишком малое время ожидания, отображаетсяследующее сообщение об ошибке: 502 error: The service is currently unavailable (Ошибка 502:служба сейчас недоступна).

n Включение закрепляемых сеансов

Если в развернутой системе несколько устройств VMware Identity Manager, следует включитьзакрепляемые сеансы в средстве балансировки нагрузки. После этого средство балансировкинагрузки будет привязывать сеанс пользователя к определенному экземпляру.

Применение корневого сертификата средства VMware Identity Manager всредстве балансировки нагрузки

Если виртуальное устройство средства VMware Identity Manager настроено с использованиемсредства балансировки нагрузки, необходимо установить доверие на основе протокола SSL междуэтим средством и средством VMware Identity Manager. Корневой сертификат средстваVMware Identity Manager необходимо скопировать в средство балансировки нагрузки.

Сертификат VMware Identity Manager можно загрузить из консоли администрирования на страницеНастройки устройства > Конфигурация виртуального устройства > Управлениеконфигурацией.

Если полное доменное имя VMware Identity Manager указывает на средство балансировки нагрузки,сертификат SSL применяется только к нему.

Поскольку средство балансировки нагрузки связывается с виртуальным устройством средстваVMware Identity Manager, необходимо скопировать сертификат корневого центра сертификациисредства VMware Identity Manager в средство балансировки нагрузки в качестве доверенногокорневого сертификата.

Процедура

1. В консоли администрирования выберите вкладку Настройки устройства и щелкнитеКонфигурация виртуального устройства.


3. Выполните команду Установить сертификат.

4. Выберите вкладку Сквозное подключение SSL на подсистеме балансировки и в полеСертификат центра сертификации устройства щелкните ссылкуhttps://имя_узла/horizon_workspace_rootca.pem

Глава 6 Дополнительная конфигурация для устройства VMware Identity Manager .

VMware Inc. 83

5. Скопируйте все содержимое между линиями и сами линии «-----BEGIN CERTIFICATE-----» и «-----

END CERTIFICATE----» и вставьте корневой сертификат в нужное расположение для каждогосредства балансировки нагрузки. См. документацию, предоставляемую поставщикомбалансировки нагрузки.


Скопируйте и вставьте корневой сертификат балансировки нагрузки на устройствоVMware Identity Managerсоединитель.

Применение корневого сертификата средства балансировки нагрузки вVMware Identity Manager

Когда виртуальное устройство средства VMware Identity Manager настроено с помощью средствабалансировки нагрузки, необходимо установить доверие между этим средством и средствомVMware Identity Manager. Кроме копирования корневого сертификата средства «»VMware Identity Manager в средство балансировки нагрузки, необходимо скопировать корневойсертификат средства балансировки нагрузки в VMware Identity Manager.

Процедура

1. Получите корневой сертификат средства балансировки нагрузки.

2. В консоли администрирования VMware Identity Manager выберите вкладку Настройкиустройства и щелкните Конфигурация виртуального устройства.


4. Войдите, используя пароль администратора.

5. На странице Установить сертификат выберите вкладку Сквозное подключение SSL наподсистеме балансировки.

6. Вставьте текст сертификата балансировки нагрузки в поле Сертификат корневого центрасертификации.


84 VMware Inc.


Настройка параметров прокси-сервера для средства «»VMware Identity Manager

Виртуальное устройство VMware Identity Manager получает доступ к каталогу облачных приложенийи других веб-служб в Интернете. Если конфигурация сети обеспечивает доступ к Интернету черезпрокси-сервер HTTP, необходимо настроить параметры прокси-сервера на устройствеVMware Identity Manager.

Настройте прокси-сервер для обработки только интернет-трафика. Чтобы убедиться, что прокси-сервер настроен должным образом, установите для параметра внутреннего трафика значение no-proxy в пределах домена.

Примечание. Прокси-серверы, требующие проверки подлинности, не поддерживаются.

Процедура

1. В vSphere Client войдите на виртуальное устройство VMware Identity Manager в качествепользователя root.

2. В командной строке введите YaST, чтобы запустить служебную программу YaST.

3. На панели слева выберите Сетевые службы, а затем — Прокси-сервер.

4. Введите URL-адреса прокси-серверов в полях URL-адрес HTTP-прокси и URL-адрес HTTPS-прокси.

5. Нажмите кнопку Готово и выйдите из служебной программы YaST.

6. Перезапустите сервер Tomcat на виртуальном устройстве VMware Identity Manager, чтобыиспользовать новые параметры прокси-сервера.


Теперь каталог облачных приложений и другие веб-службы доступны в VMware Identity Manager.


VMware Inc. 85

Настройка аварийного переключения и резервирования в одномцентре обработки данных

Для аварийного переключения и резервирования можно добавить несколько виртуальных устройствVMware Identity Manager в кластер. Если одно из виртуальных устройств завершит работу по какой-либо причине, диспетчер VMware Identity Manager по-прежнему будет доступен.

Сначала установите и настройте виртуальное устройство VMware Identity Manager, затем клонируйтеего. Клонирование виртуального устройства создает дубликат устройства с той же конфигурацией,что и у оригинала. Можно настроить клонированное виртуальное устройство, чтобы изменить имя,сетевые настройки и другие свойства по мере необходимости.

Прежде чем клонировать виртуальное устройство VMware Identity Manager, настройте его засредством балансировки нагрузки и измените его полное доменное имя, чтобы оно соответствовалополному доменному имени средства балансировки нагрузки. Прежде чем клонировать устройство,завершите настройку каталога в службе VMware Identity Manager.

После клонирования назначьте клонированному виртуальному устройству новый IP-адрес перед еговключением. IP-адрес клонированного виртуального устройства должен соответствовать тем жеправилам, что и IP-адрес исходного виртуального устройства. IP-адрес должен разрешатьдействительному имени сервера использовать прямое и обратное перенаправление DNS.

Все узлы в кластере VMware Identity Manager являются идентичными копиями друг друга безвозможности сохранения состояния. Синхронизация с Active Directory и с настроенными ресурсами,такими как View или ThinApp, на клонированных виртуальных устройствах отключена.

1. Рекомендуемое количество узлов в кластере VMware Identity Manager на стр. 86Рекомендуется настроить кластер VMware Identity Manager с тремя узлами.

2. Изменение полного доменного имени VMware Identity Manager на полное доменное имябалансировки нагрузки на стр. 87Перед тем как клонировать виртуальное устройство VMware Identity Manager, необходимоизменить его полное доменное имя, чтобы оно соответствовало полному доменному именисредства балансировки нагрузки.

3. Клонирование виртуального устройства на стр. 88

4. Назначение нового IP-адреса для клонированного виртуального устройства на стр. 89Прежде чем включить клонированное виртуальное устройство, для него необходимо назначитьновый IP-адрес. IP-адрес должен быть разрешаемым через DNS. Если в адресе отсутствуетзапись обратного поиска в DNS, необходимо также назначить имя узла.

5. Включение синхронизации каталога на другом экземпляре в случае отказа на стр. 91

Рекомендуемое количество узлов в кластере VMware Identity ManagerРекомендуется настроить кластер VMware Identity Manager с тремя узлами.

Устройство VMware Identity Manager включает в себя механизм поиска и анализа Elasticsearch. Какизвестно, у Elasticsearch есть ограничение при работе с кластерами из двух узлов. Описаниеограничения, связанного с разделением ресурсов в Elasticsearch, см. в Документации Elasticsearch.Обратите внимание, что настраивать параметры Elasticsearch не нужно.

Кластер VMware Identity Manager с двумя узлами обеспечивает возможность аварийногопереключения с некоторыми ограничениями, связанными с Elasticsearch. При завершении работыодного из узлов до ее восстановления действуют следующие ограничения.

n Данные на панели мониторинга не отображаются.

n Большинство отчетов недоступны.


86 VMware Inc.

https://www.elastic.co/guide/en/elasticsearch/guide/1.x/_important_configuration_changes.html#_minimum_master_nodes

n Для каталогов не отображается информация журнала синхронизации.

n Поле поиска в правом верхнем углу консоли администрирования не возвращает результаты.

n Для текстовых полей недоступна функция автозавершения.

При отключенном узле потеря данных не происходит. Данные журнала синхронизации и событийаудита сохраняются и отображаются после восстановления работы узла.

Изменение полного доменного имени VMware Identity Manager на полноедоменное имя балансировки нагрузки

Перед тем как клонировать виртуальное устройство VMware Identity Manager, необходимо изменитьего полное доменное имя, чтобы оно соответствовало полному доменному имени средствабалансировки нагрузки.


n Устройство VMware Identity Manager добавлено в средство балансировки нагрузки.

n Вы применили сертификат корневого центра сертификации балансировки нагрузки дляVMware Identity Manager.

Процедура


2. Выберите вкладку Настройки устройства.

3. На странице "Конфигурация виртуального устройства" щелкните Управление конфигурацией.

4. Введите пароль администратора для входа в систему.

5. Щелкните Конфигурация Identity Manager.

6. В поле Полное доменное имя Identity Manager измените часть URL-адреса имени узла вVMware Identity Manager на имя узла балансировки нагрузки.

Например, если имя узла VMware Identity Manager — моя_служба, а имя узла средствабалансировки нагрузки (СБН) — мое_СБН, можно изменить URL-адрес с

https://моя_служба.моя_компания.com

на следующий:

https://мое_СБН.моя_компания.com


n Полное доменное имя службы изменено на полное доменное имя балансировки нагрузки.

n URL-адрес поставщика удостоверений изменен на URL-адрес средства балансировки нагрузки.


VMware Inc. 87


Клонируйте виртуальное устройство.

Клонирование виртуального устройстваКлонируйте виртуальное устройство VMware Identity Manager, чтобы создать несколько виртуальныхустройств одного типа для распределения трафика и устранения потенциальных простоев.

Использование нескольких виртуальных устройств VMware Identity Manager позволяет улучшитьдоступность, ускорить отправку запросов средства балансировки нагрузки в службу, а такжесократить время реагирования на запросы конечных пользователей.


n Виртуальное устройство VMware Identity Manager должно быть настроено за средствомбалансировки нагрузки. Убедитесь, что средство балансировки нагрузки использует порт 443. Неиспользуйте порт 8443, поскольку это номер порта администрирования. Кроме того, номерпорта должен быть уникальным для каждого виртуального устройства.

n Внешняя база данных настроена так, как описано в разделе Подключение к базе данных, настр. 35.

n Завершите настройку каталога в VMware Identity Manager.

n Войдите в консоль виртуального устройства с правами привилегированного пользователя иудалите файл /etc/udev/rules.d/70-persistent-net.rules, если он существует. Если не удалитьэтот файл до начала клонирования, параметры сети на клонированных виртуальных устройствахбудут настроены неправильно.

Процедура

1. Войдите в клиент vSphere Client или vSphere Web Client и перейдите к виртуальному устройствуVMware Identity Manager.

2. Щелкните правой кнопкой мыши виртуальное устройство и выберите Клонировать.

3. Введите имя клонированного виртуального устройства и щелкните Далее.

Имя должно быть уникальным в пределах папки виртуальной машины.

4. Выберите узел или кластер, на котором необходимо запустить клонированное или виртуальноеустройство, и щелкните Далее.

5. Выберите пул ресурсов, на котором необходимо запустить клонированное или виртуальноеустройство, и щелкните Далее.

6. Для виртуального диска используйте тот же формат, что и для источника.

7. Выберите хранилище данных, в котором будут храниться файлы виртуального устройства, ищелкните Далее.

8. Для гостевой операционной системы выберите параметр Не настраивать.

9. Проверьте параметры и нажмите кнопку Готово.

Развертывание клонированного виртуального устройства выполнено. До завершения клонированияиспользовать или изменять виртуальное устройство нельзя.


Перед включением клонированного виртуального устройства назначьте ему IP-адрес и добавьте его всредство балансировки нагрузки.


88 VMware Inc.

Назначение нового IP-адреса для клонированного виртуальногоустройства

Прежде чем включить клонированное виртуальное устройство, для него необходимо назначитьновый IP-адрес. IP-адрес должен быть разрешаемым через DNS. Если в адресе отсутствует записьобратного поиска в DNS, необходимо также назначить имя узла.

Процедура

1. В клиенте vSphere Client или vSphere Web Client выберите клонированное виртуальноеустройство.

2. На вкладке Сводка в разделе Команды щелкните Изменить параметры.

3. Щелкните Параметры и в списке Параметры vApp выберите Свойства.

4. В поле IP-адрес измените IP-адрес.

5. Если в IP-адресе отсутствует запись обратного поиска в DNS, введите имя узла в текстовом полеИмя узла.

6. Нажмите кнопку OK.

7. Включите клонированное устройство и дождитесь появления синего экрана входа на вкладкеКонсоль.

Важно. Прежде чем включить клонированное устройство, убедитесь, что исходное устройствополностью включено.


n Подождите несколько секунд, пока не будут созданы кластеры Elasticsearch и RabbitMQ, а затемдобавьте клонированное виртуальное устройство в средство балансировки нагрузки.

Кластеры Elasticsearch (подсистема поиска и анализа) и RabbitMQ (брокер сообщений) встроеныв виртуальное устройство.

а) Выполните вход на клонированное виртуальное устройство.

б) Проверьте кластер Elasticsearch:

curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'

Убедитесь, что результат соответствует количеству узлов.

в) Проверьте кластер RabbitMQ:

rabbitmqctl cluster_status

Убедитесь, что результат соответствует количеству узлов.

n Добавьте клонированное виртуальное устройство в средство балансировки нагрузки и настройтев нем распределение трафика. Дополнительные сведения см. в документации поставщикасредства балансировки нагрузки.

n Если к исходному экземпляру службы присоединен домен, его нужно также присоединить кклонированным экземплярам служб.

а) Войдите в консоль администрирования VMware Identity Manager.

б) Перейдите на вкладку Управление учетными данными и доступом и щелкнитеНастройка.

Компонент соединителя каждого клонированного экземпляра службы отображается настранице «Соединители».


VMware Inc. 89

в) Для каждого указанного соединителя щелкните Присоединиться к домену и укажитесведения о домене.

Дополнительные сведения об Active Directory см. в разделе Интеграция с Active Directory, настр. 47.

n Для каталогов типа «Встроенная проверка подлинности Windows» (IWA) выполните следующиедействия.

а) Для клонированных экземпляров службы присоедините домен, к которому былприсоединен каталог IWA на исходном экземпляре службы.


2. Перейдите на вкладку Управление учетными данными и доступом и щелкнитеНастройка.

Компонент соединителя каждого клонированного экземпляра службы отображается настранице «Соединители».

3. Для каждого указанного соединителя щелкните Присоединиться к домену и укажитесведения о домене.

б) Сохраните конфигурацию каталога IWA.

1. Перейдите на вкладку Управление учетными данными и доступом.

2. На странице «Каталоги» щелкните ссылку каталога IWA.

3. Щелкните Сохранить, чтобы сохранить конфигурацию каталога.

n При обновлении файла /etc/krb5.conf вручную в исходном экземпляре службы, например дляустранения причины сбоя или медленной синхронизации View, необходимо обновить файл вклонированном экземпляре после его присоединения к домену. Выполните следующие задачиво всех клонированных экземплярах службы.

а) Измените файл /etc/krb5.conf и обновите раздел области, указав те же значения для передачиданных с домена на узел, которые используются вфайле /usr/local/horizon/conf/domain_krb.properties. Номер порта указать не нужно.Например, если в файле domain_krb.properties содержится запись домена example.com =examplehost.example.com: 389, следует обновить файл krb5.conf следующим образом.

[realms]

GAUTO-QA.COM = {



auth_to_local = RULE:[1:$0\$1](^GAUTO2QA\.GAUTO-QA\.COM\\.*)s/^GAUTO2QA\.GAUTO-

QA\.COM/GAUTO2QA/

auth_to_local = RULE:[1:$0\$1](^GLOBEQE\.NET\\.*)s/^GLOBEQE\.NET/GLOBEQE/

auth_to_local = DEFAULT

kdc = examplehost.example.com

}

Примечание. Записей kdc может быть несколько. Однако это не обязательно, поскольку вбольшинстве случаев есть только одно значение kdc. Если задать дополнительные значенияkdc, для каждой строки будет создана своя запись kdc, определяющая контроллер домена.

б) Перезапустите службу рабочей области.


Примечание. См. также статью базы знаний 2091744.


90 VMware Inc.


n Включите методы проверки подлинности, настроенные для соединитель, на каждомклонированном экземпляре. Дополнительные сведения см. в руководстве VMware Identity ManagerРуководство администратора.

Теперь виртуальное устройство службы VMware Identity Manager является высокодоступным.Трафик распределен по виртуальным устройствам в кластере на основе конфигурации средствабалансировки нагрузки. Проверка подлинности в службе является высокодоступной. Тем не менеедля поддержки возможности синхронизации каталога в случае сбоя экземпляра службы необходимовручную включить синхронизацию каталога на клонированном экземпляре службы. Синхронизациякаталога обрабатывается компонентом соединителя службы. Эту возможность можно включитьтолько для одного соединителя за раз. См. раздел Включение синхронизации каталога на другомэкземпляре в случае отказа, на стр. 91.

Включение синхронизации каталога на другом экземпляре в случае отказаВ случае отказа экземпляра службы проверка подлинности выполняется автоматически с помощьюклонированного экземпляра в соответствии с настройками средства балансировки нагрузки. Тем неменее для синхронизации каталога необходимо изменить его параметры в службеVMware Identity Manager так, чтобы использовался клонированный экземпляр. Синхронизациякаталога обрабатывается компонентом соединителя службы. Эту возможность можно включитьтолько для одного соединителя за раз.

Процедура


2. Перейдите на вкладку Управление учетными данными и доступом и щелкните Каталоги.

3. Щелкните каталог, который был связан с исходным экземпляром службы.

Эту информацию можно просмотреть на странице Настройка > Соединители. На этойстранице перечислены компоненты соединителей каждого из виртуальных устройств службы вкластере.

4. В разделе Синхронизация службы каталогов и проверка подлинности на странице каталогавыберите в поле Синхронизируйте соединитель какой-нибудь другой соединитель.

5. В поле Пароль для базового различающегося имени введите пароль учетной записи для

подключения Active Directory.



VMware Inc. 91

Развертывание VMware Identity Manager в резервном центреобработки данных для обеспечения резервирования иаварийного переключения

Для обеспечения возможности аварийного переключения в случае недоступности основного центраобработки данных VMware Identity Manager VMware Identity Manager следует развернуть в резервномЦОД.

При использовании резервного центра обработки данных конечные пользователи могут выполнитьвход и использовать приложения без простоев. С помощью резервного центра обработки данныхадминистраторы также могут обновить VMware Identity Manager до следующей версии безпрерывания работы. См. раздел Обновление VMware Identity Manager без простоев, на стр. 104.

Здесь показан типичный план развертывания с использованием резервного центра обработкиданных.

vIDM1vIDM2

(клонирован из vIDM1)

vIDM3 (клонирован

из vIDM1)

Архитектура Horizon View Cloud Pod

Прослушиватель постоянно доступной среды SQL Server

Репозиторий ThinApp (DFS)

XenFarmA

XenFarmB

Модуль ViewA

Модуль View B

Модуль ViewC

Модуль ViewD

XenFarmC

XenFarmD

Глобальная подсистема балансировки нагрузки

Подсистема балансировки нагрузки DC1

SQL Server(основной)

Постоянная доступность


из vIDM1)


из vIDM1)


из vIDM1)

Подсистема балансировки нагрузки DC2

SQL Server(реплика)

Чтобы выполнить развертывание в нескольких центрах обработки данных, следуйте этим указаниям.

n Развертывание в кластере. Необходимо сначала развернуть в одном центре обработки данныходин набор из трех или более виртуальных устройств VMware Identity Manager (первый кластер),а затем в другом ЦОД развернуть второй такой же набор (второй кластер). Дополнительныесведения см. в разделе Настройка резервного центра обработки данных, на стр. 94.


92 VMware Inc.

n База данных. В VMware Identity Manager для хранения данных используется база данных. Приразвертывания в нескольких центрах обработки данных репликация базы данных между двумяЦОД имеет решающее значение. Сведения о настройке базы данных в нескольких центрахобработки данных см. в документации базы данных. Например, в случае SQL Serverрекомендуется использовать развертывание, обеспечивающее постоянную доступность.Дополнительные сведения см. в документе Группы доступности AlwaysOn (SQL Server) на веб-сайте Microsoft Возможности VMware Identity Manager рассчитаны на очень малое времязадержки при обмене информацией между базой данных и устройствомVMware Identity Manager. Поэтому устройства в одном центре обработки данных должныподключаться к базе данных в том же центре обработки данных.

n Отсутствие режима «Активный-активный». VMware Identity Manager не поддерживаетразвертывание в режиме «Активный-активный», где пользователи могут обслуживатьсяодновременно обоими центрами обработки данных. Резервный центр обработки данныхфункционирует в режиме горячего резерва, поэтому его можно использовать для обеспечениянепрерывности бизнеса для конечных пользователей. Устройства VMware Identity Manager врезервном центре обработки данных доступны только для чтения. Поэтому после аварийногопереключения на этот центр обработки данных большинство операций администрирования, втом числе добавление пользователей или приложений и назначение прав пользователям, будутнедоступны.

n Возврат в основной центр обработки данных. В большинстве сценариев отказа можно вернуться киспользованию основного центра обработки данных сразу после возобновления его работы.Дополнительные сведения см. в разделе Возврат в основной центр обработки данных, на стр. 103.

n Преобразование резервного центра обработки данных в основной. Если центр обработки данныхостается неработоспособным длительное время, резервный ЦОД можно преобразовать восновной. Дополнительные сведения см. в разделе Преобразование резервного центра обработкиданных в основной, на стр. 103.

n Полное доменное имя. Это имя для доступа к VMware Identity Manager должно бытьодинаковым во всех центрах обработки данных.

n Аудит. В VMware Identity Manager использует подсистема Elasticsearch, встроенная в устройствоVMware Identity Manager и предназначенная для аудита, отчетов и журналов синхронизациикаталогов. В каждом центре обработки данных необходимо создать отдельные кластерыElasticsearch. Дополнительные сведения см. в разделе Настройка резервного центра обработкиданных, на стр. 94.

n Active Directory. VMware Identity Manager может подключаться к Active Directory посредствомAPI по протоколу LDAP или с помощью встроенной службы проверки подлинности Windows.При использовании обоих этих методов VMware Identity Manager может применять SRV-записиActive Directory для подключения к соответствующему контроллеру домена в каждом центреобработки данных.

n Приложения Windows. VMware Identity Manager поддерживает доступ к приложениям Windowsс помощью ThinApp, а также доступ к приложениям и виртуальным компьютерам Windows спомощью технологий Horizon View и Citrix. Как правило, важно, чтобы эти ресурсыпредоставлялись из центра обработки данных, который находится ближе всего к пользователю.Этот эффект также называется географической аффинностью. Обратите внимание на следующиересурсы о Windows.

n ThinApps — VMware Identity Manager поддерживает Windows DFS в качестве репозиторияThinApp. Сведения о настройке соответствующих политик для конкретного местоположениясм. в документации по Windows DFS.


VMware Inc. 93

https://msdn.microsoft.com/en-us/library/ff877884.aspx

n Horizon View (с архитектурой Cloud Pod) — VMware Identity Manager поддерживаетархитектуру Horizon Cloud Pod. Архитектура Horizon Cloud Pod обеспечиваетгеографическую аффинность с помощью глобальных прав. Дополнительные сведения см. вразделе «Интеграция сред с архитектурой Cloud Pod» в документе Настройка ресурсов вVMware Identity Manager Для развертывания VMware Identity Manager в нескольких центрахобработки данных дополнительные изменения не требуются.

n Horizon View (без архитектуры Cloud Pod) — если архитектура Horizon Cloud Pod невключена в среде, географическую аффинность обеспечить невозможно. После аварийногопереключения можно вручную переключить VMware Identity Manager, чтобы ресурсыHorizon View запускались из модулей View, настроенных в резервном центре обработкиданных. Дополнительные сведения см. в разделе Настройка порядка аварийногопереключения ресурсов Horizon View и Citrix, на стр. 99.

n Ресурсы Citrix — как и в случае с Horizon View (без архитектуры Cloud Pod), для ресурсовCitrix географическую аффинность обеспечить невозможно. После аварийногопереключения можно вручную переключить VMware Identity Manager, чтобы ресурсы Citrixзапускались из ферм XenFarm, настроенных в резервном центре обработки данных.Дополнительные сведения см. в разделе Настройка порядка аварийного переключенияресурсов Horizon View и Citrix, на стр. 99.

Настройка резервного центра обработки данныхРезервным центром обработки данных, как правило, управляет другой сервер vCenter Server. Принастройке резервного центра обработки данных можно настроить и реализовать следующиекомпоненты в соответствии со своими требованиями.

n Устройства VMware Identity Manager в резервном центре обработки данных, созданные из OVA-файла, импортированного из основного ЦОД

n Средство балансировки нагрузки для резервного центра обработки данных

n Дублирование ресурсов и прав Horizon View и Citrix

n Настройка базы данных

n Средство балансировки нагрузки или DNS-запись в основном и резервном центрах обработкиданных для аварийного переключения

Изменение основного центра обработки данных для репликацииПрежде чем настраивать резервный центр обработки данных, настройте основной ЦОД длярепликации Elasticsearch, RabbitMQ и Ehcache в кластерах.

Elasticsearch, RabbitMQ и Ehcache встроены в виртуальное устройство VMware Identity Manager.Elasticsearch — это подсистема поиска и анализа, используемая для аудита, отчетов и журналовсинхронизации каталогов. RabbitMQ представляет собой брокер обмена сообщениями. Ehcacheпредоставляет возможности кэширования.

Внесите эти изменения на всех узлах в кластере основного центра обработки данных.


В основном центре обработки данных настроен кластер VMware Identity Manager.


94 VMware Inc.

Процедура

1. Настройте Elasticsearch для репликации.

Внесите эти изменения на каждом узле в кластере основного центра обработки данных.

а) Отключите регулярное задание для Elasticsearch.

1. Измените файл /etc/cron.d/hznelasticsearchsync:

vi /etc/cron.d/hznelasticsearchsync

2. Закомментируйте эту строку:

#*/1 * * * * root /usr/local/horizon/scripts/elasticsearchnodes.hzn

б) Добавьте IP-адреса всех узлов в кластере основного центра обработки данных.

1. Измените файл /etc/sysconfig/elasticsearch.

vi /etc/sysconfig/elasticsearch

2. Добавьте IP-адреса всех узлов в кластере:

ES_UNICAST_HOSTS=IP-адрес1,IP-адрес2,IP-адрес3

в) Добавьте полное доменное имя подсистемы балансировки нагрузки кластера резервногоцентра обработки данных в файл /usr/local/horizon/conf/runtime-config.properties.

1. Измените файл /usr/local/horizon/conf/runtime-config.properties.

vi /usr/local/horizon/conf/runtime-config.properties

2. Добавьте эту строку в файл:

analytics.replication.peers=

полное_доменное_имя_подсистемы_балансировки_нагрузки_второго_кластера

2. Настройте RabbitMQ для репликации.


а) Отключите регулярное задание для RabbitMQ.

1. vi /etc/cron.d/hznrabbitmqsync

2. Закомментируйте эту строку:

#*/1 * * * * root /usr/local/horizon/scripts/rabbitmqnodes.hzn

б) Внесите следующие изменения в файл /usr/local/horizon/scripts/rabbitmqnodes.hzn.

1. vi /usr/local/horizon/scripts/rabbitmqnodes.hzn

2. Закомментируйте эти строки.

#make sure SAAS is up, otherwise we won't have an accurate node list

#if test $(curl -X GET -k https://localhost/SAAS/API/1.0/REST/system/health/allOk -

sL -w "% {http_code}\\n" -o /dev/null) -ne 200 ; then

# echo SAAS not running, aborting

# exit 0

#fi

Закомментируйте также следующую строку.

#nodes=$(uniqList true $(enumeratenodenames))

3. Добавьте имена всех узлов в кластере основного центра обработки данных. Используйтетолько имена узлов, а не полные доменные имена. Указывайте имена через пробел.

nodes="узел1 узел2 узел3"


VMware Inc. 95

в) Добавьте сопоставление IP-адресов и имен других узлов в кластере в файл /etc/hosts. Недобавляйте запись для узла, для которого вносятся изменения. Этот шаг необходим, толькопри отсутствии записи DNS, которая обеспечивает сопоставление полного доменного имениили частичных доменных имен.

IP-адрес полное_доменное_имя_узла2 узел2

IP-адрес полное_доменное_имя_узла3 узел3

г) Запустите сценарий для создания кластера RabbitMQ.

/usr/local/horizon/scripts/rabbitmqnodes.hzn

3. Настройте Ehcache для репликации.


а) vi /usr/local/horizon/conf/runtime-config.properties

б) Добавьте полные доменные имена остальных узлов в кластере: Не добавляйте полноедоменное имя узла, для которого вносятся изменения. Запишите полные доменные именачерез двоеточие.

ehcache.replication.rmi.servers=полное_доменное_имя_узла2:полное_доменное_имя_узла3

Пример:

ehcache.replication.rmi.servers=server2.example.com:server3.example.com

4. Перезапустите службу VMware Identity Manager на всех узлах.


5. Убедитесь, что кластер настроен правильно.

Выполните эти команды на всех узлах в первом кластере.

а) Проверьте работоспособность Elasticsearch.

curl 'http://localhost:9200/_cluster/health?pretty'

Команда должна возвратить результат, аналогичный приведенному ниже.

{

"cluster_name" : "horizon",

"status" : "green",

"timed_out" : false,

"number_of_nodes" : 3,

"number_of_data_nodes" : 3,

"active_primary_shards" : 20,

"active_shards" : 40,

"relocating_shards" : 0,

"initializing_shards" : 0,

"unassigned_shards" : 0,

"delayed_unassigned_shards" : 0,

"number_of_pending_tasks" : 0,

"number_of_in_flight_fetch" : 0

}

Если возникли проблемы, см раздел Устранение неполадок в Elasticsearch и RabbitMQ, настр. 114.

б) Проверьте работоспособность RabbitMQ.


96 VMware Inc.



Cluster status of node 'rabbitmq@node3' ...

[{nodes,[{disc,['rabbitmq@node2','rabbitmq@node3']}]},

{running_nodes,['rabbitmq@node3']},

{cluster_name,<<"[email protected]">>},

{partitions,[]},

{alarms,[{'rabbitmq@node3',[]}]}]

Если возникли проблемы, см раздел Устранение неполадок в Elasticsearch и RabbitMQ, настр. 114.

в) Убедитесь, что файл /opt/vmware/horizon/workspace/logs/horizon.log содержит эту строку.

Added ehcache replication peer: //node3.example.com:40002

Имена узлов должны совпадать с именами других узлов в кластере.


Создайте кластер в резервном центре обработки данных. Создайте узлы, экспортировав OVA–файлпервого виртуального устройства VMware Identity Manager из кластера основного центра обработкиданных и используйте его для развертывания новых виртуальных устройств в резервном центреобработки данных.

Создание виртуальных устройств VMware Identity Manager в резервномцентре обработки данныхЧтобы настроить кластер VMware Identity Manager в резервном центре обработки данных,экспортируйте OVA-файл исходного устройства VMware Identity Manager в основном центреобработки данных и используйте его для развертывания устройств в резервном ЦОД.


n Файл OVA VMware Identity Manager, экспортированный из исходного устройстваVMware Identity Manager в основной центр обработки данных

n IP-адреса и DNS-записи для резервного центра обработки данных

Процедура

1. Экспортируйте OVA-файл исходного устройства VMware Identity Manager в основном центреобработки данных.

Дополнительные сведения см. в документации vSphere.

2. Разверните в резервном центре обработки данных экспортированный OVA-файлVMware Identity Manager для создания новых узлов.

Дополнительные сведения см. в документации vSphere. См. также Установка OVA-файла VMwareIdentity Manager, на стр. 19.

3. После включения устройств VMware Identity Manager обновите конфигурацию для каждого изних.

Устройства VMware Identity Manager в дополнительном центре обработки данных — это точныекопии исходного устройства VMware Identity Manager в основном центре обработки данных.Синхронизация с Active Directory и ресурсами, настроенными в основном центре обработкиданных, отключена.


VMware Inc. 97


Перейдите к страницам консоль администрирования и выполните следующие настройки:

n Активируйте параметр «Присоединиться к домену» в соответствии с настройками в исходномустройстве VMware Identity Manager в основном центре обработки данных.

n На странице «Модули авторизации» добавьте методы проверки подлинности, настроенные восновном центре обработки данных.

n На странице «Метод проверки подлинности каталога» включите проверку подлинностиWindows, если это настроено в основном центре обработки данных.

Перейдите на страницу «Установить сертификат» параметры устройства, чтобы добавитьсертификаты с подписью центра сертификации, дублирующие сертификаты в устройствеVMware Identity Manager в основном центре обработки данных. См. раздел Использованиесертификатов SSL, на стр. 38.

Настройка узлов в резервном центре обработки данныхПосле создания узлов в резервном центре обработки данных с помощью OVA-файла,экспортированного из основного ЦОД, их необходимо настроить.

Выполните следующие действия для каждого узла в резервном центре обработки данных.

Процедура

u Обновите таблицы IP-адресов.

а) Убедитесь в наличии файла /usr/local/horizon/conf/flags/enable.rabbitmq.

touch /usr/local/horizon/conf/flags/enable.rabbitmq

б) В файле /usr/local/horizon/scripts/updateiptables.hzn обновите IP-адреса всех узлов врезервном центре обработки данных.

1. vi /usr/local/horizon/scripts/updateiptables.hzn

2. Найдите и замените строку ALL_IPS. Укажите IP-адреса через пробел.

ALL_IPS="Node1_IPaddress Node2_IPaddress Node3_IPaddress"

3. Откройте порты, выполнив этот сценарий.

/usr/local/horizon/scripts/updateiptables.hzn

в) Настройте узлы для репликации Elasticsearch, RabbitMQ и Ehcache, а затем убедитесь, чтоони настроены правильно.

Просмотрите инструкции в разделе Изменение основного центра обработки данных длярепликации, на стр. 94 и примените их к узлам в резервном центре обработки данных.

Обратите внимание, что регулярные задачи уже отключены.

Редактирование файла runtime-config.properties в резервном центреобработки данныхЕсли используется любая база данных, кроме БД в постоянно доступной среде SQL Server,необходимо отредактировать файлы runtime-config.properties для устройствVMware Identity Manager в резервном центре обработки данных, изменив URL-адрес JDBC насоответствующий адрес базы данных в резервном центре обработки данных и настроив на устройстведоступ только для чтения. Если используется постоянно доступная среда SQL Server, этот шаг нетребуется.

Внесите эти изменения на каждом устройстве VMware Identity Manager резервного центра обработкиданных.


98 VMware Inc.

Процедура

1. Используя SSH-клиент, войдите на устройство VMware Identity Manager в качествепривилегированного пользователя.

2. Откройте файл runtime-config.properties из этогорасположения: /usr/local/horizon/conf/runtime-config.properties.

3. Измените URL-адрес JDBC так, чтобы он указывал на базу данных в резервном центре обработкиданных.

См. раздел Настройка VMware Identity Manager для использования внешней базы данных, настр. 38.

4. Настройте устройство VMware Identity Manager, чтобы оно было доступно только для чтения.

Добавьте строку read.only.service=true.

5. Перезапустите на устройстве сервер Tomcat.


Настройка порядка аварийного переключения ресурсов Horizon View и CitrixЧтобы обеспечить доступность соответствующих ресурсов Horizon View и Citrix из любого центраобработки данных, необходимо настроить порядок аварийного переключения ресурсов в основном ирезервном центрах обработки данных.

Чтобы создать таблицу базы данных, описывающую порядок аварийного переключения ресурсов ворганизации для каждого экземпляра службы, воспользуйтесь командой hznAdminTool. Если ресурсзапущен, для него используется настроенный порядок аварийного переключения. Чтобы настроитьпорядок аварийного переключения, запустите hznAdminTool failoverConfiguration в обоих центрахобработки данных.


Когда развертывание VMware Identity Manager выполняется в нескольких центрах обработки данных,в каждом из них настраиваются одни и те же ресурсы. Каждый пул приложений или виртуальныхкомпьютеров в модулях View или XenFarms на платформе Citrix считается отдельным ресурсом вкаталоге VMware Identity Manager. Во избежание дублирования ресурсов в каталоге убедитесь, что настраницах «Пулы View» или «Опубликованные приложения Citrix», которые можно открыть состраницы консоль администрирования, включен параметр Не синхронизировать повторяющиесяприложения.

Процедура


2. Чтобы просмотреть список экземпляров сервера, введите hznAdminTool serviceInstances.

Отобразится список экземпляров служб с присвоенными им идентификационными номерами,как показано в этом примере.

{"id":103,"hostName":"ws4.domain.com","ipaddress":"10.142.28.92"}{"id":

154,"hostName":"ws3.domain.com","ipaddress":"10.142.28.91"}{"id":

1,"hostName":"ws1.domain.com","ipaddress":"10.143.104.176"}{"id":

52,"hostName":"ws2.domain.com","ipaddress":"10.143.104.177"}


VMware Inc. 99

3. Настройте порядок аварийного переключения ресурсов View и Citrix для каждого экземпляраслужбы в организации.

Введите hznAdminTool failoverConfiguration -configType <configType> -configuration<configuration> -serviceInstanceId <serviceInstanceId> [-orgId <orgId>]


-configType Введите тип ресурса, который настроен для аварийногопереключения. Значение может быть равно VIEW или XENAPP.

-configuration Введите порядок аварийного переключения. Введите через запятуюсписок основных имен узлов сервера соединителя View для типаVIEW configType. Эти имена перечислены на странице «Пулы View»,которую можно открыть в консоли администрирования. Введитечерез запятую имена XenFarm для типа XENAPP configType.

-serviceInstanceId Введите идентификатор экземпляра службы, для которого настроенаконфигурация. Идентификатор можно найти в списке, показанном нашаге 2, "id":

-orgId (Необязательно.) Если не задать этот параметр, конфигурация будетнастроена для организации по умолчанию.

Например, hznAdminTool failoverConfiguration -configType VIEW -configurationpod1vcs1.domain.com,pod2vcs1.hs.trcint.com -orgId 1 -serviceInstanceId 1.

При вводе этой команды для экземпляров VMware Identity Manager в резервном центреобработки данных измените порядок серверов подключений View на противоположный. Вданном примере команда должна быть следующей: hznAdminTool failoverConfiguration -configType VIEW -configuration pod2vcs1.hs.trcint.com, pod1vcs1.domain.com -orgId 1 -

serviceInstanceId 103

Таблица базы данных аварийного переключения ресурсов настраивается для каждого центраобработки данных.


Чтобы просмотреть текущую конфигурацию аварийного переключения для каждого ресурса View иCitrix, воспользуйтесь командой hznAdminTool failoverConfigurationList -configType <configtype> -<orgId).

Параметр <configtype> может иметь значение VIEW или XENAPP. Ниже приведен пример выводаhznAdminTool failoverConfiguraitonList, когда параметр configType имеет значение VIEW.

{"idOrganization":1,"serviceInstanceId":

52,"configType":"VIEW","configuration":"pod1vcs1.domain.com,pod2vcs1.domain.com"}





Настройка базы данных для аварийного переключенияНастройка репликации базы данных в VMware Identity Manager предполагает, что данные на всехсерверах баз данных в основном и резервном центре обработки данных будут оставатьсясогласованными.

Внешнюю базу данных необходимо настроить для обеспечения высокой доступности. Настройтеархитектуру, предусматривающую ведущую и ведомую базу данных, где ведомой будет точная копияведущей базы данных.

Дополнительные сведения см. в документации внешней базы данных.


100 VMware Inc.

Если используется функция постоянной доступности сервера SQL Server, при настройке базы данныхна каждом устройстве VMware Identity Manager следует использовать имя узла или IP-адреспрослушивателя SQL Server. Пример:

jdbc:sqlserver://<имя_узла_прослушивателя>;DatabaseName=saas

Аварийное переключение на резервный центр обработки данныхВ случае сбоя основного центра обработки данных можно переключиться на резервный. Дляаварийного переключения необходимо изменить запись подсистемы балансировки глобальнойнагрузки или запись DNS, чтобы она указывала на подсистему балансировки нагрузки в резервномцентре обработки данных.

В зависимости от того, как настроена база данных, устройства VMware Identity Manager в резервномцентре обработки данных работают либо в режиме доступа только для чтения, либо в режиме чтенияи записи. Для всех баз данных, за исключением SQL Server Always On, устройстваVMware Identity Manager функционируют в режиме доступа только для чтения. В связи с этимбольшинство операций, выполняемых администратором, например добавление пользователей илиприложений и предоставление прав пользователям, недоступны.

Если используется постоянно доступная среда SQL Server, устройства VMware Identity Manager врезервном центре обработки данных работают в режиме чтения и записи.

Использование DNS-записи для управления активностью центров обработкиданныхВ обычных рабочих условиях при использовании записи системы доменных имен (DNS) длямаршрутизации трафика пользователей в центрах обработки данных DNS-запись должна указыватьна средство балансировки нагрузки в основном центре обработки данных.

Если основной центр обработки данных становится недоступным, DNS-запись должна бытьобновлена таким образом, чтобы она указывала на средство балансировки нагрузки в резервномцентре обработки данных.

Если основной центр обработки данных снова доступен, DNS-запись должна быть обновлена такимобразом, чтобы она указывала на средство балансировки нагрузки в основном центре обработкиданных.

Настройка срока доступности в DNS-записи

От срока доступности (Time-to-Live, TTL) зависит, через какое время в кэш-памяти обновляетсяинформация, связанная с DNS. Чтобы избежать проблем при аварийном переключениивиртуальных компьютеров и приложений View, убедитесь, что для DNS-записей задан короткий срокдоступности. Если для параметра TTL задано слишком большое значение, пользователи не смогутполучить доступ к своим виртуальным компьютерам и приложениям View сразу после аварийногопереключения. Чтобы обеспечить быстрое обновление DNS-записей, задайте для TTL значение30 секунд.


VMware Inc. 101

Действия VMware Identity Manager , которые недоступны в режиме только длячтенияРежим VMware Identity Manager с доступом только для чтения предназначен для обеспечениявысокой доступности. Он необходим, чтобы конечные пользователи могли получить доступ кресурсам на портале «Мои приложения». В режиме только для чтения недоступны некоторыедействия в консоли администрирования VMware Identity Manager и на других страницах службыадминистрирования. Ниже приведен неполный перечень типичных действий, которые недоступны вэтом режиме.

Если диспетчер VMware Identity Manager работает в режиме только для чтения, действия, связанныес изменениями в Active Directory или базе данных, выполнить нельзя, а синхронизация с базойданных VMware Identity Manager не работает.

Функции администрирования, для которых требуется запись в базу данных, в это время недоступны.Дождитесь, когда VMware Identity Manager вернется в режим доступа для чтения и записи.

Консоль администрирования VMware Identity Manager в режиме только для чтения

Ниже приведены некоторые из ограничений для консоли управления в режиме только для чтения.

n Добавление, удаление, редактирование пользователей и групп на вкладке Пользователи игруппы

n Добавление, удаление, редактирование приложений на вкладке Каталог

n Добавление, удаление, редактирование права на приложения

n Изменение информации о фирменной символике

n Синхронизация каталога для добавления, редактирования и удаления пользователей и групп

n Редактирование информации о ресурсах, в том числе View, XenApp и других ресурсах

n Редактирование страницы «Методы проверки подлинности»

Примечание. В консоли администрирования отображаются компоненты соединителя устройствVMware Identity Manager в резервном центре обработки данных. Убедитесь, что соединитель изрезервного центра обработки данных не выбран в качестве соединителя синхронизации.

Режим доступа только для чтения на странице «Конфигурация виртуального устройства»

Ниже приведены некоторые из ограничений для страниц конфигурации устройств в режиме толькодля чтения.

n Тестирование установки подключения к базе данных

n Изменение пароля администратора на странице «Изменить пароль»

Портал приложений конечного пользователя в режиме доступа только для чтения

Когда VMware Identity Manager находится в режиме только для чтения, пользователи могут войти насвой портал VMware Identity Manager и получить доступ к своим ресурсам. Следующие возможностина портале конечных пользователей недоступны в режиме только для чтения.

n Обозначение ресурса как избранного или отмена такого обозначения

n Добавление ресурсов со страницы каталога или удаление ресурсов со страницы средства запуска

n Изменение пароля на странице портала приложений


102 VMware Inc.

Клиент Windows VMware Identity Manager в режиме только для чтения

Когда VMware Identity Manager работает в режиме только для чтения, пользователи не могутнастроить новые клиенты Windows. Текущие клиенты для Windows продолжают работать.

Возврат в основной центр обработки данныхВ большинстве сценариев отказа можно вернуться к использованию основного центра обработкиданных сразу после возобновления его работы.

Процедура

1. Измените запись глобальной подсистемы балансировки нагрузки или DNS, чтобы она указывалана подсистему балансировки нагрузки в основном центре обработки данных.

См. раздел Использование DNS-записи для управления активностью центров обработки данных,на стр. 101.

2. Очистите кэш-память в резервном центре обработки данных.

Для этого можно воспользоваться интерфейсом REST API.

ПУТЬ: /SAAS/jersey/manager/api/removeAllCaches

Метод: POST

Разрешенные роли: только ОПЕРАТОР

Преобразование резервного центра обработки данных в основнойЕсли центр обработки данных остается неработоспособным длительное время, резервный ЦОДможно преобразовать в основной.

В среде постоянно доступного сервера SQL Server изменения не требуются. В других конфигурацияхбаз данных необходимо отредактировать файл runtime-config.properties на устройствахVMware Identity Manager в резервном центре обработки данных, чтобы настроить на них режимчтения и записи.

Внесите эти изменения на каждом устройстве VMware Identity Manager резервного центра обработкиданных.

Процедура


2. Откройте файл /usr/local/horizon/conf/runtime-config.properties, чтобы внести в негоизменения.

3. Замените строку read.only.service=true на read.only.service=false.

4. Сохраните файл runtime-config.properties.

5. Перезапустите на устройстве сервер Tomcat.



VMware Inc. 103

Обновление VMware Identity Manager без простоевПри развертывании в нескольких центрах обработки данных VMware Identity Manager можнообновить до следующей версии без простоев. Для этого можно воспользоваться предложенным здесьрабочим процессом.

Порядок действий при обновлении показан на диаграмме в разделе Развертывание VMware IdentityManager в резервном центре обработки данных для обеспечения резервирования и аварийногопереключения, на стр. 92.

Процедура

1. Переключите маршрутизацию в глобальной подсистеме балансировки нагрузки, чтобы запросыпоступали в подсистему балансировки нагрузки DC2.

2. Остановите репликацию баз данных.

3. Обновите виртуальные устройства в такой очередности: vIDM1, vIDM2, vIDM3.

4. Проверьте обновления с помощью подсистемы балансировки нагрузки DC1.

5. Если результат удовлетворителен, переключите маршрутизацию в глобальной подсистемебалансировки нагрузки, чтобы запросы поступали в подсистему балансировки нагрузки DC1.

6. Обновите виртуальные устройства в такой очередности: vIDM4, vIDM5, vIDM6.

7. Проверьте обновления с помощью подсистемы балансировки нагрузки DC2.

8. Запустите репликацию баз данных.


104 VMware Inc.

Установка дополнительныхустройств соединителя 7

Соединитель является частью службы VMware Identity Manager. Он всегда устанавливается поумолчанию вместе с виртуальным устройством VMware Identity Manager.

Соединитель выполняет перечисленные ниже функции.

n Синхронизация данных пользователей и групп между корпоративным каталогом исоответствующим каталогом, созданным в службе.

n Проверка подлинности пользователей в службе при использовании в качестве поставщикаудостоверений.

Соединитель является поставщиком удостоверений по умолчанию.

Поскольку соединитель уже доступен в составе службы, в типичных развертываниях дополнительныйсоединитель устанавливать не нужно.

Тем не менее в некоторых сценариях это необходимо. Пример:

n При наличии нескольких каталогов типа «Active Directory (встроенная проверка подлинностиWindows)». В этом случае для каждого из них понадобится отдельный соединитель.

Экземпляр соединителя может быть связан с несколькими каталогами. Для каждого каталога всоединителе создается раздел, который называется «рабочим». Однако для типа «Встроеннаяпроверка подлинности Windows» может быть только один рабочий процесс на одномэкземпляре соединителя.

n Если необходимо управлять доступом пользователей на основе того, из какого расположенияони вошли в систему (внутреннего или внешнего).

n Если необходимо использовать проверку подлинности на основе сертификатов, но средствобалансировки нагрузки настроено таким образом, что после него протокол SSL не используется.Для проверки подлинности сертификата необходимо, чтобы протокол SSL использовался ипосле прохождения трафика через средство балансировки нагрузки.

Чтобы установить дополнительный соединитель, необходимо выполнить следующие задачи.n Загрузите пакет OVA соединителя.

n Создать код активации в службе.

n Выполните развертывание виртуального устройства соединителя.

n Настройте параметры соединителя.

Все дополнительные развернутые соединители отобразятся в пользовательском интерфейсе службы.

VMware Inc. 105


n Создание кода активации для соединителя, на стр. 106

n Развертывание OVA-файла Соединитель, на стр. 106

n Настройка параметров Соединитель, на стр. 107

Создание кода активации для соединителяПеред развертыванием виртуального устройства соединителя необходимо создать код активации длянового соединителя в службе VMware Identity Manager. Код активации соединителя позволяетсоздать связь между службой и соединителем.

Процедура



3. Щелкните Настройка.

4. На странице «Соединители» щелкните Добавление соединителей.

5. Введите имя нового экземпляра соединителя.

6. Щелкните Создать код активации.

Код активации отображается в поле Код активации соединителя.

7. Скопируйте и сохраните код активации соединителя.

Он будет использоваться при запуске мастера настройки соединителя.


Установите виртуальное устройство соединителя.

Развертывание OVA-файла СоединительНеобходимо загрузить файл OVA соединитель и развернуть его с помощью клиента VMware vSphereClient или vSphere Web Client.


n Идентифицируйте DNS-записи и имя узла для развертывания файла OVA соединитель.

n С vSphere Web Client следует использовать браузер Firefox или Chrome. Не используйте InternetExplorer для развертывания файла OVA.

n Загрузите файл OVA соединителя.

Процедура

1. В клиенте vSphere Client или vSphere Web Client выберите Файл > Развернуть шаблон OVF.

2. На страницах развертывания шаблона OVF введите данные для развертывания соединитель.


Источник Перейдите к расположению пакета OVA или введите допустимыйURL-адрес.

Сведения о шаблоне OVA Убедитесь, что выбрана правильная версия.

Лицензия Ознакомьтесь с условиями лицензионного соглашения и нажмитекнопку Принимаю.


106 VMware Inc.


Имя и расположение Введите имя виртуального устройства. Имя должно быть уникальнымв пределах папки иерархии и содержать не более 80 символов. Именаследует вводить с учетом регистра.Выберите расположение для виртуального устройства.

Узел или кластер Выберите узел или кластер, чтобы запустить развернутый шаблон.

Пул ресурсов Выберите пул ресурсов.

Хранилище Выберите расположение, в котором будут храниться файлывиртуальной машины.

Формат диска Выберите формат диска для файлов. Для производственных средследует использовать формат «толстой» подготовки. Для оценки итестирования используйте формат «тонкой» подготовки.

Сопоставление сетей Сопоставьте сети в вашей производственной среде с сетями в шаблонеOVF.

Свойства а) В поле Часовой пояс выберите правильный часовой пояс.б) Флажок «Программа улучшения качества программного

обеспечения» установлен по умолчанию. В рамках этойпрограммы VMware собирает анонимные данные оразвертывании, чтобы лучше удовлетворять требованиямпользователей. Снимите флажок, чтобы данные не собирались.

в) Введите имя узла в текстовом поле «Имя узла». Если оставить этополе пустым, для поиска имени узла будет использоватьсяобратный поиск DNS.

г) Чтобы настроить статический IP-адрес соединитель, введите адресшлюза по умолчанию, DNS-сервера, маски сети, а также IP-адрес.Важно. Если оставить хотя бы одно поле пустым, включая поле«Имя узла», будет использоваться протокол DHCP.

Чтобы настроить протокол DHCP, оставьте адресные поля пустыми.

Готово к завершению Проверьте выбранные параметры и нажмите кнопку Готово. Развертывание может занять несколько минут в зависимости от скорости сети. Ход выполненияможно просмотреть в соответствующем диалоговом окне.

3. После завершения развертывания выберите устройство , щелкните его правой кнопкой мыши ивыберите Питание > Включить питание.

Устройство будет инициализировано. Сведения можно просмотреть на вкладке Консоль. Послезавершения инициализации виртуального устройства на экране консоли отобразится версия иURL-адреса , с помощью которых можно войти в мастер настройки для завершения настройки.


Используя мастер настройки, необходимо добавить код активации и пароли администрирования.

Настройка параметров СоединительПосле развертывания и установки файла OVA соединитель запустите мастер установки, чтобыактивировать устройство и настроить пароли администраторов.


n Наличие кода активации для нового соединителя. См. раздел Создание кода активации длясоединителя, на стр. 106.

n Убедитесь, что устройство средства соединитель включено, и известен URL-адрес средствасоединитель.

n Составьте список паролей для администратора средства соединитель, учетной записипривилегированного пользователя и учетной записи SSH-пользователя.

Глава 7 Установка дополнительных устройств соединителя

VMware Inc. 107

Процедура

1. Чтобы запустить мастер настройки, введите URL-адрес соединитель, который отобразился навкладке «Консоль» после развертывания файла OVA.

2. На экране приветствия нажмите кнопку Продолжить.

3. Создайте надежные пароли для учетных записей администратора виртуального устройствасоединитель.

Надежные пароли должны состоять не менее чем из 8 символов, и содержать строчные ипрописные буквы, а также по крайней мере одну цифру и специальный символ.


Администратор устройства Создайте пароль для администратора устройства. Имя пользователя— admin. Его нельзя менять. С помощью этой учетной записи ипароля можно входить в службы соединитель, чтобы управлятьсертификатами, паролями устройства и параметрами системногожурнала.Важно. Пароль пользователя admin должен состоять не менее чемиз 6 символов.

Привилегированныйпользователь

Пароль привилегированного пользователя VMware по умолчаниюиспользовался для установки устройства соединитель. Создайтеновый пароль привилегированного пользователя.

учетная запись SSH-пользователя Создайте пароль для удаленного доступа к устройству соединителя.

4. Нажмите кнопку Продолжить.

5. На странице «Активировать соединитель» вставьте код активации и щелкните Продолжить.

Код активации проверен, а соединение между службой и экземпляром соединительустановлено.

Конфигурация соединитель завершена.


В службе необходимо настроить среду с учетом своих потребностей. Например, если вы добавилидополнительный соединитель, чтобы синхронизировать два встроенных каталога проверкиподлинности Windows, необходимо создать каталог и связать его с новым соединителем.

Настройте сертификаты SSL для соединитель. См. раздел Использование сертификатов SSL, настр. 38.


108 VMware Inc.

Подготовка к использованиюпроверки подлинности Kerberos наустройствах с ОС iOS 8

При первоначальном развертывании службы VMware Identity Manager для проверки подлинностипользователей и управления ими используется имеющаяся инфраструктура Active Directory. Дляинтеграции службы с другими решениями для проверки подлинности, например Kerberos,сертификатом и RSA SecurID, используется консоль администрирования. Для проверки подлинностипри входе на мобильные устройства с помощью системы единого входа на устройствах с ОС iOS подуправлением AirWatch нужно вручную инициализировать центр распространения ключей (KeyDistribution Center, KDC) на устройстве перед включением метода проверки подлинности из консолиадминистрирования.

Проверка подлинности с помощью Kerberos позволяет пользователям, которые успешно вошли всвой домен, получать доступ к порталу приложений без дополнительных запросов учетных данных.Чтобы обеспечить поддержку устройств с ОС iOS при использовании Kerberos, вVMware Identity Manager применяется встроенный метод проверки подлинности Kerberos (системаединого входа для мобильных устройств с ОС iOS), с помощью которого можно получить доступ кKDC встроенного поставщика удостоверений, не используя для этого соединитель или системыдругих производителей.

После инициализации KDC и перезапуска службы создайте общедоступные DNS-записи, чтобыклиенты Kerberos могли найти KDC.

Чтобы использовать систему единого входа для мобильных устройств для метода проверкиподлинности iOS, необходимо настроить AirWatch и службу VMware Identity Manager. Подробныесведения см. в руководстве по администрированию VMware Identity Manager в разделе, посвященномреализации встроенной проверки подлинности Kerberos для устройств с ОС iOS под управлениемAirWatch.


n Принятие решений перед настройкой KDC, на стр. 110

n Инициализация центра распространения ключей в устройстве, на стр. 111

n Создание общедоступных DNS-записей для центра распространения ключей (KDC) совстроенной проверкой подлинности с помощью Kerberos, на стр. 111

VMware Inc. 109

Принятие решений перед настройкой KDCПрежде чем инициализировать KDC в VMware Identity Manager, задайте имя области для сервераKDC, а также определите, есть ли поддомены в развертывании и следует ли использовать сертификатсервера KDC по умолчанию.

ОбластьОбласть — это имя административной единицы, в которой хранятся данные проверки подлинности.Важно правильно выбрать описательное имя области проверки подлинности Kerberos. Имя областидолжно быть частью домена DNS, который может настроить компания.

Имя области и полное доменное имя, используемое для доступа к службе VMware Identity Manager,являются независимыми. У компании должна быть возможность управлять доменами DNS как дляимени области, так и для полного доменного имени. Принято, чтобы имя области совпадало сдоменным именем, но было введено в верхнем регистре. Иногда имя области и доменное имяотличаются. Например, имя области — EXAMPLE.NET, а полное доменное имяVMware Identity Manager — idm.example.com . В этом случае необходимо определить DNS-записи длядоменов example.net и example.com.

Имя области используется клиентом Kerberos для создания имен DNS. Например, если имя —example.com, соответствующее имя Kerberos для связи с KDC по протоколу TCP —_kerberos._tcp.EXAMPLE.COM.

Использование поддоменовУстановленная в локальной среде служба VMware Identity Manager может использовать поддомендля полного доменного имени VMware Identity Manager. Если у сайта VMware Identity Manager естьдоступ к нескольким доменам DNS, настройте их следующим образом: location1.example.com;location2.example.com; location3.example.com. В данном случае поддоменом будет значениеexample.com в нижнем регистре. Чтобы настроить поддомен в своей среде, обратитесь к сотрудникамслужбы поддержки.

Использование сертификатов сервера KDCЕсли центр KDC инициализирован, по умолчанию создаются сертификат сервера KDC исамозаверяющий корневой сертификат. Сертификат используется для выдачи сертификата сервераKDC. Этот корневой сертификат включен в профиль устройства, чтобы устройство могло доверятьKDC.

Сертификат сервера KDC можно создать вручную, используя корневой или промежуточныйсертификат компании. Чтобы получить дополнительные сведения об этой возможности, обратитесьв службу поддержки.

Корневой сертификат сервера KDC, используемый в конфигурации AirWatch профиля управленияустройствами с ОС iOS, можно загрузить из консоли администрирования VMware Identity Manager.


110 VMware Inc.

Инициализация центра распространения ключей в устройствеЧтобы использовать систему единого входа на мобильных устройствах для проверки подлинности вiOS, необходимо инициализировать центр распространения ключей (Key Distribution Center, KDC) вустройстве VMware Identity Manager.

Чтобы инициализировать KDC, назначьте имя узла Identity Manager области Kerberos. Имя доменавводится в верхнем регистре. При настройке нескольких областей Kerberos используйтеописательные имена, окончание которых совпадает с доменным именем Identity Manager. Такойподход упростит определение области. Например, SALES.MY-IDENTITYMANAGER.EXAMPLE.COM.При настройке поддоменов имя поддомена следует вводить в нижнем регистре.


Установлен и настроен VMware Identity Manager.

Определено имя области. См. раздел Принятие решений перед настройкой KDC, на стр. 110.

Процедура

1. Войдите на устройство VMware Identity Manager в качестве привилегированного пользователя,используя протокол SSH.

2. Инициализируйте KDC. Введите /etc/init.d/vmware-kdc init --realm {REALM.COM} --subdomain{sva-name.subdomain}.

Например, /etc/init.d/vmware-kdc init --realm MY-IDM.EXAMPLE.COM --subdomain my-idm.example.com.

Если используется средство балансировки нагрузки с несколькими устройствамиIdentity Manager, используйте в обоих случаях имя средства балансировки нагрузки.

3. Перезапустите службу VMWare Identity Manager. Введите service horizon-workspace restart.

4. Запустите службу KDC. Введите service vmware-kdc restart.


Создайте общедоступные DNS-записи. Чтобы клиенты могли найти KDC, DNS-записи должны бытьинициализированы. См. раздел Создание общедоступных DNS-записей для центра распространенияключей (KDC) со встроенной проверкой подлинности с помощью Kerberos, на стр. 111.

Создание общедоступных DNS-записей для центрараспространения ключей (KDC) со встроенной проверкойподлинности с помощью Kerberos

После инициализации KDC в VMware Identity Manager необходимо создать общедоступные DNS-записи, чтобы разрешить клиентам Kerberos выполнять поиск KDC при включенной встроеннойпроверке подлинности с помощью Kerberos.

Имя области KDC входит в состав DNS-имени записей устройства VMware Identity Manager, которыеиспользуются для обнаружения службы KDC. Для каждого сайта VMware Identity Managerнеобходимо создать одну DNS-запись расположения службы SRV и две записи адреса А.

Примечание. Значение записи АААА — это IPv6-адрес, в котором закодирован IPv4-адрес. ЕслиKDC не разрешается через используемый IPv6- или IPv4-адрес, запись AAAA на сервере DNS должнабыть указана точно в формате IPv6 (как ::ffff:175c:e147). Чтобы преобразовать адреса IPv4 в IPv6,можно использовать средство преобразования, доступное на сайте Neustar.UltraTools.

Глава 8 Подготовка к использованию проверки подлинности Kerberos на устройствах с ОС iOS

VMware Inc. 111

Пример: DNS-записи для KDCВ этом примере DNS-записи EXAMPLE.COM — это область, idm.example.com — полное доменное имяVMware Identity Manager, 1.2.3.4 — IP-адрес VMware Identity Manager.

idm.example.com. 1800 IN AAAA ::ffff:1.2.3.4

idm.example.com. 1800 IN A 1.2.3.4

_kerberos._tcp.EXAMPLE.COM IN SRV 10 0 88 idm.example.com.

_kerberos._udp.EXAMPLE.COM IN SRV 10 0 88 idm.example.com.


112 VMware Inc.

Устранение неполадок приустановке и настройке 9

В разделах по устранению неполадок приведены решения потенциальных проблем, которые могутвозникнуть при установке и настройке VMware Identity Manager.


n Пользователям не удается запустить приложения, или в средах с балансировкой нагрузкиприменяется неправильный метод проверки подлинности, на стр. 113

n После синхронизации каталога в группе не отображаются пользователи, на стр. 114

n Устранение неполадок в Elasticsearch и RabbitMQ, на стр. 114

Пользователям не удается запустить приложения, или в средах сбалансировкой нагрузки применяется неправильный методпроверки подлинности

Пользователям не удается запустить приложения на портале Workspace ONE, или в среде сбалансировкой нагрузки применяется неправильный метод проверки подлинности.

Проблема

В среде с балансировкой нагрузки могут возникнуть следующие проблемы.

n Пользователям не удается запустить приложения на портале Workspace ONE после входа.

n При пошаговой проверке подлинности пользователей применяется неправильный метод.

Причина

Эти проблемы могут возникнуть в случае неправильного определения политик доступа. IP-адресклиента определяет, какая политика доступа применяется при входе в систему и во время запускаприложения. В среде с балансировкой нагрузки VMware Identity Manager используется заголовок X-Forwarded-For, чтобы определить IP-адрес клиента. В некоторых случаях может возникнуть ошибка.

Решение

Задайте свойство service.numberOfLoadBalancers в файле runtime-config.properties на каждом узле вкластере VMware Identity Manager. Это свойство определяет количество подсистем балансировкинагрузки, которые являются внешними по отношению к экземплярам VMware Identity Manager.

Примечание. Это необязательное свойство.

1. Выполните вход на устройство VMware Identity Manager.

2. Измените файл /usr/local/horizon/conf/runtime-config.properties и добавьте следующеесвойство:

VMware Inc. 113

service.numberOfLoadBalancers numberOfLBs

где numberOfLBs — количество подсистем балансировки нагрузки, которые являются внешнимипо отношению к экземплярам VMware Identity Manager.

3. Перезапустите устройство рабочей области.


После синхронизации каталога в группе не отображаютсяпользователи

Синхронизация каталогов завершается успешно, но в синхронизированных группах не отображаютсяпользователи.

Проблема

После синхронизации каталога вручную или автоматически по расписанию процесс синхронизацииуспешно завершается, но пользователи в синхронизированных группах не отображаются.

Причина

Эта проблема возникает при наличии нескольких узлов в кластере, если расхождения во временимежду ними превышает 5 секунд.

Решение

1. Убедитесь в отсутствии разницы во времени между узлами. Используйте на всех узлах кластераодин и тот же NTP-сервер для синхронизации времени.

2. Перезапустите службу на всех узлах.


3. (Необязательно.) В консоли администрирования удалите группу, добавьте ее снова в параметрахсинхронизации, а затем синхронизируйте каталог еще раз.

Устранение неполадок в Elasticsearch и RabbitMQЭти сведения помогут устранить неполадки в кластерной среде, связанные с Elasticsearch и RabbitMQ.Elasticsearch (подсистема поиска и анализа, используемая для аудита, отчетов и журналовсинхронизации каталогов) и RabbitMQ (брокер обмена сообщениями) встроены в виртуальноеустройство VMware Identity Manager.

Устранение неполадок ElasticsearchРаботоспособность Elasticsearch можно проверить с помощью следующей команды в устройствеVMware Identity Manager.

curl 'http://localhost:9200/_cluster/health?pretty'


{

"cluster_name" : "horizon",

"status" : "green",

"timed_out" : false,

"number_of_nodes" : 3,

"number_of_data_nodes" : 3,

"active_primary_shards" : 20,

"active_shards" : 40,

"relocating_shards" : 0,


114 VMware Inc.

"initializing_shards" : 0,

"unassigned_shards" : 0,

"delayed_unassigned_shards" : 0,

"number_of_pending_tasks" : 0,

"number_of_in_flight_fetch" : 0

}

Если подсистема Elasticsearch не запускается надлежащим образом или ее состояние отмеченокрасным цветом, выполните следующие действия для устранения неполадок.

1. Убедитесь, что порт 9300 открыт.

а) Обновите сведения об узле, добавив IP-адреса всех узлов в кластере вфайл /usr/local/horizon/scripts/updateiptables.hzn.

ALL_IPS="node1IPadd node2IPadd node3IPadd"

б) Выполните следующий сценарий на всех узлах кластера.


2. Перезапустите подсистему Elasticsearch на всех узлах кластера.

service elasticsearch restart

3. Просмотрите журналы, чтобы получить дополнительную информацию.

cd /opt/vmware/elasticsearch/logs

tail -f horizon.log

Устранение неполадок RabbitMQРаботоспособность RabbitMQ можно проверить с помощью следующей команды в устройствеVMware Identity Manager.



Cluster status of node 'rabbitmq@node3' ...

[{nodes,[{disc,['rabbitmq@node2','rabbitmq@node3']}]},

{running_nodes,['rabbitmq@node3']},

{cluster_name,<<"[email protected]">>},

{partitions,[]},

{alarms,[{'rabbitmq@node3',[]}]}]

Если брокер RabbitMQ не запускается или для URL-адреса проверки работоспособностиhttps://hostname/SAAS/API/1.0/REST/system/health/ отображается "MessagingConnectionOk":"false",выполните следующие действия для устранения неполадок.

1. Убедитесь, что порты 4369, 5700 и 25672 открыты. Чтобы открыть порты, выполните следующиедействия.

а) Создайте файл с помощью следующей команды:

touch /usr/local/horizon/conf/flags/enable.rabbitmq

б) Выполните следующий сценарий.


2. Перезапустите RabbitMQ.

а) Остановить все существующие процессы rabbitmq.

б) rabbitmqctl stop

Глава 9 Устранение неполадок при установке и настройке

VMware Inc. 115

в) rabbitmq-server -detached

3. Если RabbitMQ не запускается корректно, возможно, понадобится перезапустить службуVMware Identity Manager.



116 VMware Inc.

Указатель

AActive Directory

Встроенная проверка подлинностиWindows 46

интеграция 47сопоставление атрибутов 54

Active Directory с протоколом LDAP 46, 56

DDNS, Параметр TTL 101DNS-записи для службы KDC 111domain 55

EEhcache 94, 98Elasticsearch 94, 98

Ggateway-va 86

HhznAdminTool, аварийное переключение

ресурсов 99

IIP-адрес на клонированных машинах 89

JJDBC, изменение в резервном центре

обработки данных 98

KKDC

инициализация в Identity Manager 111настройка 109создание DNS-записей 111

Kerberos, встроенный центр KDC 111

LLinux

SUSE 7системный администратор 7

RRabbitMQ 94, 98

Sservice-va 86, 88SUSE Linux 7

UURL-адрес службы 41URL-адрес службы VMware Identity

Manager 41URL-адрес соединителя 41

VvCenter, учетные данные 17

WWindows, системный администратор 7Workspace

развертывание 19установка 19

Workspace Portal, OVA 106

Ааварийное переключение 69, 86–88, 91, 101аварийное переключение базы данных 100аварийное переключение, настройка базы

данных для 100атрибуты

по умолчанию 54сопоставление 54

атрибуты пользователя для локальныхкаталогов 73

Ббаза данных 16, 35база данных Microsoft SQL 35база данных oracle 36база данных, внутренний пароль 37

Введение журнала 42виртуальное устройство, требования 11внешний доступ 81внешняя база данных, конфигуратор 38внутренняя база данных, высокая

доступность 37возврат в основную среду 103

VMware Inc. 117

время ожидания, средство балансировкинагрузки 81

Встроенная проверка подлинностиWindows 56

высокая доступность 69

ГГлобальный каталог Active Directory 47

Ддля нескольких ЦОД, перенаправление

DNS 101добавить сертификаты 39добавление Active Directory 56дополнительный соединитель 106

Ззаголовки X-forwarded-for 81закрепленные сеансы, средство

балансировки нагрузки 81запуск облачного центра KDC 111

Иизменение

пароль SSH-пользователя 43пароль администратора 43пароль привилегированного

пользователя 43изменение полного доменного имени 41изменить пароль Active Directory 62изменить пароль AD 62импорт OVA 97имя узла поставщика удостоверений 41интеграция каталогов 45интеграция с Active Directory 47

Ккаталог, добавление 45, 56Каталог LDAP 46Каталоги LDAP

интеграция 63, 64ограничения 63

кластер 86кластер резервного центра обработки

данных 97клонированные компьютеры, добавление IP-

адреса 89код активации 106контрольный список

Контроллер домена Active Directory 17сведения о сети, Пулы IP-адресов 17

конфигуратор устройств, параметры 34конфигурация сети, требования 11конфигурация устройства 33

ЛЛицензия 32локальные каталог

атрибуты пользователя 77добавление домена 77изменение 77изменение доменного имени 77изменение имени 77создание 73удаление 79удаление домена 77

локальные каталоги 71, 73, 76, 77локальные пользователи 71локальный каталог

связывание с поставщикомудостоверений 76

создание 74

ММастер установки соединителя 107

Ннастройка

ведение журнала 42виртуальные машины 81

настройки синхронизации 54несколько виртуальных машин 86несколько виртуальных устройств 88несколько доменов 47

Ообзор, установка 9область, KDC 110Область KDC 110Область Kerberos 110обновление 104обновление без простоев 104обновление нескольких центров обработки

данных 104оборудование

ESX 11требования 11

обратное перенаправление DNS 15обратный просмотр 15ограничения в режиме только для чтения 102ограничения для администратора служб

соединителя в режиме только длячтения 102

ограничения для конфигуратора устройств врежиме только для чтения 102

ограничения консоли администратора врежиме только для чтения 102


118 VMware Inc.

ограничения, связанные с режимом толькодля чтения 102

один лес Active Directory 47отключение учетной записи 54отправьте сообщение электронной почты

локальным пользователям 44ошибка запуска 113

Ппакет журнала 43Параметры TTL для DNS 101параметры конфигурации, устройство 33параметры локального каталога 77параметры прокси-сервера 31, 85пароли

изменение 43просроченные 62

пароль, внутренняя база данных 37перенаправление DNS 15Перенаправление сервером DNS 101Поддомен KDC 110поиск SRV 49, 51, 52поиск расположения служб DNS 49, 51, 52Полное доменное имя 40пользователи, атрибуты пользователя 54порядок аварийного переключения

ресурсов 99Поставщик системных удостоверений 71присоединение к домену 55Проверка подлинности Kerberos, настройка

KDC 109прокси-сервер HTTP 31, 85просроченные пароли Active Directory 62простои 104Пулы IP-адресов 21

Ррабочий процесс 46развертывание

контрольные списки 17подготовка 15

развертывание в нескольких центрахобработки данных 92, 94, 97, 98, 101,103, 104

Режим только для чтения 98режим только для чтения, возможности для

конечного пользователя 102резервирование 69, 86–88, 91резервный центр обработки данных 92, 94,

97, 98, 101

Ссамозаверяющий сертификат 38

сбор журналов 43сбросить пароль Active Directory 62свойство service.numberOfLoadBalancers 113свойство siteaware.subnet 51Сервер SMTP 17, 44сервер syslog 42сертификат SSL, основной центр

сертификации 83сертификаты, KDC 110Сертификаты сервера KDC 110Системный домен 71Системный каталог 71соединители, установка дополнительного 105соединитель 46Соединитель 107соединитель — виртуальное устройство 86сообщение электронной почты о сбросе

пароля 44средство балансировки нагрузки 81, 84Страница «Атрибуты пользователя» 54страницы администрирования, устройство 33

Уузлов в кластере 86условия работы с заказчиком 18устранение неполадок

нет пользователей в группах 114отсутствие участников в группе 114отсутствующие пользователи 114синхронизация каталога 114

устранение неполадок Elasticsearch 114устранение неполадок RabbitMQ 114устранение неполадок в файле

domain_krb.properties 53

Ффайл domain_krb.properties 49, 51, 52Файл OVA

развертывание 19установка 19

файл runtime-config.properties 51, 98

Ццелевая аудитория 7центр сертификации 39цепочка сертификатов 40

Указатель

VMware Inc. 119


120 VMware Inc.

Documents

Установка и настройка VMware Identity Manager...50 Гбайт 50 Гбайт 50 Гбайт 100 Гбайт 100 Гбайт Требования к конфигурации