OpenLDAP-Anbindung an vRealize Automation 7.5.0

In Folgendem Artikel wird die Anbindung einer kompletten Neuinstallation des Verzeichnisdienst OpenLDAP an eine bestehende VMware vRealize Automation (vRA) Installation beschrieben.

Die Einrichtung von OpenLDAP wird hierbei über ein Webinterface zur einfacheren Verwaltung vorgenommen (siehe unten).

Bei der Installation wurden folgende Versionen verwendet.

Anleitung

1. Minimale Konfiguration von OpenLDAP
   1. Erstellen von Organisational Units
   2. Anlegen von Benutzern und Gruppen
2. Konfiguration in vRealize Automation
   1. Hinzufügen eines neuen Directories
   2. Fehlerbehebung über das Sync Log

Minimale Konfiguration von OpenLDAP

Erstellen von Organisational Units

Es wird empfohlen mindestens folgende Organisational Units (ou) anzulegen.

• groups
• users

Vorgehen

1. Beginne mit einem Klick auf Create new Entry in der linken Seitenleiste.
2. Durch Auswahl von Generic: Organisational Unit kann eine Organisational Unit angelegt und ein Name vergeben werden.
3. Klicke auf Create Object.
4. Bestätige die Konfiguration mit einem Klick auf Commit.

Nach Abschluss der zuvor genannten Schritte sollte folgende Konfiguration vorliegen.

Anlegen von Benutzern und Gruppen

Vorgehen (Benutzer anlegen)

1. Beginne mit einem Klick auf die zuvor angelegte Organisational Unit users.
2. Klicke auf Create a child entry. 
3. Durch Auswahl von Default kann ein Custom Object angelegt werden.
4. Wähle inetOrgPerson aus der Liste von ObjectClasses.

5. Klicke auf Proceed >>.
6. Wähle cn aus der Auswahlliste unter RDN und ergänze die Werte unter Required Attributes mit eigenen.
7. Im Bereich Optional Attributs können nach belieben eigene Werte ergänzt werden.

8. Klicke auf Create Object.
9. Bestätige die Konfiguration mit einem Klick auf Commit.

Nach Abschluss der oben genannten Schritte sollte folgende Konfiguration vorliegen.

Vorgehen (Gruppen anlegen)

1. Beginne mit einem Klick auf die zuvor angelegte Organisational Unit users.
2. Klicke auf Create a child entry. 
3. Durch Auswahl von Default kann ein Custom Object angelegt werden.
4. Wähle groupOfUniqueNames aus der Liste von ObjectClasses.

5. Klicke auf Proceed >>.
6. Wähle cn aus der Auswahlliste unter RDN und ergänze den Gruppennamen (cn) unter Required Attributes.
7. Im Feld uniqueMember wird unser zuvor erstellter Benutzer der Gruppe zugeordnet.
8. Im Bereich Optional Attributs können nach belieben eigene Werte ergänzt werden.

9. Bestätige die Konfiguration mit einem Klick auf Commit.

Nach Abschluss der oben genannten Schritte sollte folgende Konfiguration vorliegen.

Vorgehen (Benutzer nachträglich einer Gruppe zuordnen)

1. Wähle in der linken Seitenleiste die gewünschte Gruppe, welcher der Benutzer zugeordnet werden soll.
2. Unter dem Attribut memberOf kann über da Klicken auf add value ein Benutzer hinzugefügt werden.
3. Klicke abschließend auf Update Object.

Konfiguration in vRealize Automation

Hinzufügen eines neuen Directories

Vorbedingung

• als vRA Tenant Administrator angemeldet

Vorgehen

1. Wähle Administration > Directories Management > Directories.
2. Klicke Add Directory und wähle add LDAP Directory aus
3. Wähle einen Directory Name und ersetze die Werte Server Host und Server Port im Bereich Server Location durch eigene.

4. Im Bereich LDAP Configuration müssen folgende Werte für die Filter Queries konfiguriert werden.

5. Im Bereich Bind User Details müssen folgende Werte ergänzt werden und das Bind User Password durch das bei der OpenLDAP Installation festgelegte Administrator Passwort ersetzt werden.

6. Prüfe die Verbindung mit einem Klick auf den Button „Test Connection“ (Achtung der Base DN wird hierbei nicht geprüft).
7. Klicke Save & Next um die Konfiguration zu speichern und zum nächsten Schritt zu gelangen.
8. Die Domain unter Select Domains sollte automatisch erkannt werden und kann mit Next bestätigt werden.
9. Das Mapping unter Map User Attributes ist standardmäßig nicht notwendig und kann ebenso mit Next bestätigt werden.
10. Als nächstes können einzelne Gruppen über den Button Select für die Synchronisation ausgewählt werden. Wir wählen die Checkbox Select All um alle gefundenen Gruppen zu synchronisieren und bestätigen mit Next.

11. An dieser Stelle können die Distinguished Names (DNs) einzelner Benutzer angegeben werden. Wir entscheiden uns für die Domain Component (dc) um alle Benutzer zu synchronisieren und bestätigen mit Next.

12. Schließe die Konfiguration durch Sync Directory ab.

Folgender Import Status sollte nun unter Administration > Directories Management > Directories zu sehen sein.

Im Bereich Administration > Users & Groups > Directory Users and Groups sollte der angelegte Benutzer nun zu finden sein.

Fehlerbehebung über das Sync Log

Eine falsche Konfiguration kann unter anderem dazu führen, dass in vRA folgende Fehlermeldung angezeigt wird.

Problem:

Zu Demonstrationszwecken wurde ein falscher Base DN in der Directory Konfiguration angegeben.
Es folgt die oben genannte Fehlermeldung – „Got failed response from connector.“

Diese Fehlermeldung macht es einem unmöglich den Fehler eindeutig zu identifizieren, die Fehlerbeseitigung stellt sich als sehr schwierig heraus.

Lösung:

1. Navigiere zu Administration > Directories Management > Directories und wähle das betroffene Directory aus.
2. Klicke auf Sync Settings.

3. Navigiere zu Sync Settings > Sync Frequency. Konfiguriere eine Frequency von „Every 15 Minutes“. Es kann alternativ auch eine andere Frequency eingestellt werden.
   

4. Klicke auf Save & Sync.
5. Navigiere zu Administration > Directories Management > Directories und wähle das betroffene Directory.
6. Unter dem Reiter Sync Log sollte nach Ablauf der zuvor eingestellten Frequency eine detailliertere Fehlermeldung auftauchen.

7.   Nach Beseitigung der Fehler sollte die Sync Frequency gegebenenfalls wieder auf ein Normalwert zurückgestellt werden.

Für weitere Fragen stehe ich gerne in den Kommentaren zur Verfügung.