La integración LDAP permite a los administradores de VMS vincular una base de datos de usuario ya existente al sistema WAVE, manteniendo las contraseñas LDAP y proporcionando una opción para asignar derechos de acceso específicos.
Las instrucciones sobre cómo integrar y configurar un servidor LDAP se pueden encontrar aquí.
Antes de continuar:
P: ¿Por qué no puedo usar una dirección IP al configurar LDAP en el cliente de escritorio?
R: En su lugar, se debe utilizar el estándar FQND*. Ver más información en la parte inferior de la página.
P: ¿Se puede configurar el sistema para que extraiga LDAP periódicamente para cambios o actualizaciones?
R: El servidor multimedia intenta sincronizarse con el servidor LDAP/AD cada 5 o 10 minutos de forma predeterminada.
P: ¿Por qué los usuarios de LDAP no pueden iniciar sesión en el cliente web hasta después de haber iniciado sesión correctamente en el cliente de escritorio una vez?
R: Está previsto que la funcionalidad se implemente en versiones posteriores.
P: Al configurar la integración LDAP, no puedo especificar el DN base del dominio como base de búsqueda, pero puedo especificar unidades organizativas debajo del DN base. ¿Por qué?
R: No puede filtrar por pertenencia a unidades organizativas, pero puede filtrar por pertenencia a grupos. Para recuperar todos los usuarios que son miembros de un grupo especificado, filtre por el atributo memberOf.
Ejemplo:
memberOf=CN=Security Users,CN=Users,DC=DOMAIN,DC=LOCAL
P: ¿VMS conserva las contraseñas LDAP?
R: No, por razones de seguridad.
P: ¿Un servidor LDAP tiene que formar parte de una red local junto con el servidor multimedia?
R: No. Un servidor LDAP debe estar disponible para el servidor multimedia en lugar de en LAN o a través de WAN.
P: ¿Por qué no puedo ver el "botón" LDAP en el cliente de escritorio?
R: Los usuarios LDAP con cualquier rol asignado no pueden modificar la configuración del servidor LDAP. El concepto básico es que si modifican accidentalmente esta configuración, perderán el permiso para conectarse.
P: ¿Por qué LDAPS (LDAP sobre SSL) no funciona?
R: Lo más probable es que deba cambiar los certificados o instalar certificados en ambas máquinas: LDAP Server y Media Server.
¿Qué pasa si todavía no funciona?
Paso I
Primero, entendamos si un problema está relacionado con el VMS. Para ello, le recomendamos que utilice un navegador/cliente LDAP alternativo para conectarse a su servidor LDAP de la siguiente lista:
Ganar --> Softerra LDAP Browser
Ubuntu --> OpenLDAP
Para instalar (Ubuntu):
sudo apt-get update && sudo apt-get install ldap-utils
Una consulta de prueba puede ser similar a la siguiente:
ldapsearch -LLL -x -H ldap://ad.my.domain.com:389 -s sub -D Administrator@my.domain.com -b CN=Users,DC=my,DC=domain,DC=com -w PaSsWoRd123 -o ldif-wrap=150
Dónde:
Dirección URL: ldap://ad.my.domain.com
Puerto: 389
DN de un administrador: Administrator@my.domain.com o CN=Administrador,CN=Usuarios,DC=mi,DC=dominio,DC=com
Base de búsqueda: CN=Usuarios,DC=mi,DC=dominio,DC=com
contraseña: PaSsWoRd123
Salida válida:
dn: CN=Users,DC=my,DC=domain,DC=com
objectClass: top
objectClass: container
cn: Users
description: Default container for upgraded user accounts
distinguishedName: CN=Users,DC=my,DC=domain,DC=com
instanceType: 4
whenCreated: 20151113032937.0Z
whenChanged: 20151113032937.0Z
uSNCreated: 5696
uSNChanged: 5696
showInAdvancedViewOnly: FALSE
name: Users
objectGUID:: puf/DK2dGkCF/7bTR7V+iw==
systemFlags: -1946157056
objectCategory: CN=Container,CN=Schema,CN=Configuration,DC=my,DC=domain,DC=com
isCriticalSystemObject: TRUE
dSCorePropagationData: 20170619233637.0Z
dSCorePropagationData: 16010101000001.0Z
.....
Si logra obtener / navegar por la información, continúe con el Paso II. De lo contrario, le recomendamos encarecidamente que hable con el administrador del sistema LDAP para obtener ayuda.
Paso II
Si el Paso I tuvo éxito ***
Elevar el nivel de registro principal del servidor multimedia a DEBUG2 (DETALLADO)
Intente realizar / volver a crear la misma operación relacionada con LDAP con la que no tuvo éxito.
Recopile los registros del servidor y cree un ticket a través de nuestro Portal de soporte con los archivos adjuntos.
*FQND: es necesario utilizar el nombre de dominio completo (FQDN) correcto como URL. Para determinar:
1) Inicie sesión en el servidor
LDAP 2) Abra el símbolo del sistema y escriba: nombre de host ASDDC6
3) Ingrese:
setspn -L ASDDC6 (ASDDC6 es su nombre
de host). Verás algo como:
Registered ServicePrincipalNames for CN=ASDDC6,OU=Domain Controllers,DC=asd,DC=local:
DNS/ASDDC6.asd.local RPC/1b3acc4a-88ec-4b0f-a72d-6a67831626c2._msdcs.asd.local HOST/ASDDC6/ASD HOST/ASDDC6.asd.local/ASD GC/ASDDC6.asd.local/asd.local exchangeAB/ASDDC6.asd.local HOST/ASDDC6.asd.local/asd.local
exchangeAB/ASDDC6 ldap/ASDDC6/ASD
ldap/ 1b3acc4a-88ec-4b0f-a72d-6a67831626c2._msdcs.asd.local ldap/ASDDC6.asd.local/ASD
ldap/ASDDC6 ldap/ASDDC6.asd.local ldap/ASDDC6.asd.local/DomainDnsZones.asd.local ldap/ASDDC6.asd.local/ForestDnsZones.asd.local
ldap/ASDDC6.asd.local/asd.local E3514235-4B06-11D1-AB04-00C04FC2DCD2/1b3acc4a-88ec-4b0f-a72d-6a67831626c2/asd.local
NTFRS-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/ASDDC6.asd.local Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/ASDDC6.asd.local WSMAN/ASDDC6.asd.local WSMAN/ASDDC6 TERMSRV/ASDDC6.asd.local TERMSRV/ASDDC6 RestrictedKrbHost/ASDDC6 HOST/ASDDC6 RestrictedKrbHost/ASDDC6.asd.local
HOST/ASDDC6.asd.local
ldap/ASDDC6.asd.local es el nombre de host correcto (usamos ldap://ASDDC6.asd.local)