Como integrar o CA SDM com o LDAP

Índice
casm173
Índice
Configurar opções de LDAP
Você pode configurar o CA SDM para acessar dados do diretório LDAP.
Siga estas etapas:
  1. Instale manualmente as opções do LDAP usando o Gerenciador de opções da interface da web.
    As opções necessárias para integração básica de LDAP são identificadas como obrigatórias na coluna Descrição na tabela a seguir. As opções identificadas como opcionais são recursos que só poderão ser adicionados se todas as opções obrigatórias estiverem instaladas. Os valores que você especifica ao instalar estas opções são gravados no arquivo $NX_ROOT/NX.env.
  2. Reinicie o serviço do CA SDM.
    As mudanças entram em vigor.
Gerenciar servidores LDAP usando o utilitário de configuração de LDAP
Você pode usar o utilitário de servidor LDAP para gerenciar vários servidores LDAP. É possível realizar as seguintes tarefas usando o utilitário:
  • Adicione um novo servidor LDAP.
  • Exclua um servidor LDAP que você não deseja mais usar.
  • Exibir detalhes do servidor LDAP.
  • Reiniciar o banco de dados virtual do LDAP.
Em uma configuração de disponibilidade avançada, execute o utilitário no servidor de segundo plano. Depois de adicionar um novo servidor LDAP, reinicie os serviços do CA SDM em todos os servidores em espera.
Siga estas etapas:
  1. (Opcional) Para especificar o nome do domínio do servidor LDAP padrão, execute o seguinte comando:
    pdm_options_mgr -c -a pdm_option.inst -s LDAP_DOMAIN -v <Default_LDAP_DomainName> pdm_options_mgr -c -a pdm_option.inst -s LDAP_DOMAIN -v <Default_LDAP_DomainName> -t
    Configure o nome de domínio do servidor LDAP padrão nos seguintes casos:
    • Servidor do CA EEM está configurado com vários domínios do Microsoft Active Directory.
    • Servidor LDAP padrão e qualquer outro servidor LDAP configurado com o CA SDM têm os mesmos detalhes do usuário.
    Após a configuração ser concluída, os usuários do LDAP padrão devem efetuar logon no CA SDM no formato nome_do_domínio\id_do_usuário.
  2. Abra o comando do Windows e vá para o local $NX_ROOT/bin.
  3. Execute o seguinte comando:
    pdm_perl pdm_ldap_config.pl
  4. Com base na tarefa que você deseja executar, selecione a opção apropriada.
Opção
Valor padrão
Descrição
ldap_domain
Necessário para a configuração de vários servidores LDAP. Especifica o nome do domínio do servidor LDAP.
default_ldap_tenant
Exigido para instalação de multilocação. Especifica a atribuição de inquilino padrão para contatos importados do LDAP. Você deve usar o inquilino UUID ao configurar o campo Valor da opção.
Você pode obter o UUID do inquilino em uma consulta ao banco de dados. Por exemplo, "SELECT * FROM ca_tenant".
ldap_enable
Sim
Obrigatório. Permite a integração do LDAP com o CA SDM.
ldap_host
Obrigatório. Especifica o endereço IP ou o nome de host do servidor de banco de dados LDAP.
ldap_port
389
Obrigatório. Especifica o número da porta do servidor LDAP.
ldap_dn
Obrigatório. Especifica o distinguishedName de logon de servidor LDAP.
Por exemplo
: CN=Joe, CN=Users, DC=KLAND, DC=AD, DC=com
Se o servidor LDAP aceitar vínculos anônimos, este valor pode estar vazio.
ldap_pwd
Obrigatório. Especifica a senha para o distinguishedName de logon de servidor LDAP.
Se o servidor LDAP aceitar vínculos anônimos, este valor pode estar vazio.
ldap_search_base
Obrigatório. Especifica o ponto inicial para pesquisas na árvore de esquema de LDAP:
(UNIX) Você deve especificar um contêiner inicial. Por exemplo:
CN=Users, DC=KLAND, DC=AD, DC=com
(Windows) Você não precisa especificar um contêiner. Você pode iniciar no alto da árvore do esquema. Por exemplo:
DC=KLAND, DC=AD, DC=com
ldap_filter_prefix
(&(objectClass=
user)
Especifica o prefixo aplicado a um filtro gerado automaticamente durante a pesquisa por usuários LDAP.
Esta variável foi substituída pela opção ldap_user_object_class. Não está disponível no Gerenciador de opções, mas pode ser configurado manualmente no arquivo NX.env.
ldap_filter_suffix
)
Especifica o sufixo aplicado a um filtro automaticamente gerado durante pesquisa por usuários LDAP.
Esta variável foi substituída pela opção ldap_user_object_class. Não está disponível no Gerenciador de opções, mas pode ser configurado manualmente no arquivo NX.env.
ldap_user_object_class
pessoa
Obrigatório. Especifica o valor do atributo objectClass do LDAP aplicado a um filtro gerado automaticamente ao pesquisar para usuários LDAP.
ldap_enable_group
Sim
Opcional Ativa a atribuição do tipo de acesso do CA SDM com base na inscrição do grupo LDAP.
ldap_group_object_class
group
Obrigatório somente se ldap_enable_group estiver instalado. Especifica o nome de objeto aplicado a um filtro gerado automaticamente durante a pesquisa por grupos.
ldap_group_filter_prefix
(&(objectClass=
group)
Especifica o prefixo aplicado a um filtro gerado automaticamente ao pesquisar por grupos LDAP.
Esta variável foi substituída pela opção ldap_group_object_class. Não está disponível no Gerenciador de opções, mas pode ser configurado manualmente no arquivo NX.env.
ldap_group_filter_suffix
)
Especifica o sufixo aplicado a um filtro gerado automaticamente ao pesquisar por grupos LDAP.
Esta variável foi substituída pela opção ldap_group_object_class. Não está disponível no Gerenciador de opções, mas pode ser configurado manualmente no arquivo NX.env.
ldap_enable_auto
Sim
Opcional Ativa a geração automática de registros de contato dos dados LDAP.
ldap_sync_on_null
Sim
Opcional Substitui atributos de contato do CA SDM existentes por dados nulos se o atributo de usuário LDAP correspondente contiver um valor nulo.
ldap_service_type
Active Directory
Opcional Use essa opção se o ambiente operacional do CA SDM no Windows e no diretório LDAP
não
for Active Directory (por exemplo, se for eTrust ou Novell).
Em ambientes operacionais UNIX, a funcionalidade "Não-AD" só é usada se essa opção
não
estiver instalada. Se estiver instalado, o tipo de serviço é definido como Diretório ativo.
ldap_enable_tls
Não
Opcional Especifica se TLS (Transport Layer Security) está ativado durante o processamento de LDAP.
Verifique a integração LDAP
Após a instalação das opções de LDAP necessárias, os usuários do CA SDM podem importar dados LDAP caso a caso, sem necessidade de preencher todos os campos de atributo de contato manualmente.
Para verificar se você pode pesquisar e importar registros LDAP.
  1. Selecione Arquivo, Novo contato do LDAP na guia Service Desk.
    A janela Pesquisa de diretório LDAP é exibida.
  2. Especifique os critérios de filtro e, então, clique em Pesquisar. Por exemplo, você pode digitar b% no campo Sobrenome para recuperar uma lista das entradas de usuário LDAP com os sobrenomes que começam com a letra B.
    Se seu diretório LDAP contiver milhares de entradas e você não filtrar sua pesquisa, sua solicitação tentará recuperar
    todos
    os registros de usuário LDAP. Isso pode fazer a solicitação atingir o tempo limite e retornar zero registro.
    São exibidos os resultados da pesquisa que corresponderem a seus critérios de filtro.
  3. Selecione uma entrada.
    A janela Criar novo contato é exibida, preenchida com valores de atributo importados do LDAP.
  4. Clique em Salvar.
    O registro de contato é criado.
Para verificar se você pode atualizar um contato usando os dados LDAP
Antes de realizar esse procedimento, para fins de teste, você pode querer usar qualquer ferramenta de edição LDAP que tenha disponível para alterar um ou mais valores de atributo na entrada usada para o procedimento anterior. Você pode verificar se o contato está atualizado com os últimos dados LDAP.
  1. Selecione Pesquisar, Contatos na guia Service Desk.
    A janela Pesquisa de contato é exibida.
  2. Especifique os critérios de filtro para um contato que possui uma entrada de usuário LDAP correspondente. Por exemplo, é possível pesquisar o contato criado no procedimento anterior.
    São exibidos os resultados da pesquisa que corresponderem a seus critérios de filtro.
  3. Selecione o contato que deseja atualizar com os dados LDAP.
    A página Detalhes do contato é exibida, preenchida com as informações de contato do CA SDM.
  4. Clique em Editar.
    A página Atualização de contatos aparece.
  5. Clique em Mesclar LDAP.
    A página Lista de entrada LDAP exibe uma lista de entradas de usuário LDAP que correspondem ao contato selecionado do CA SDM.
    Para pesquisar no diretório LDAP por outras entradas, você pode clicar em Exibir filtro, especificar os critérios de filtro e clicar em Pesquisar.
    Se seu diretório LDAP contiver milhares de entradas e você não filtrar sua pesquisa, sua solicitação tentará recuperar
    todos
    os registros de usuário LDAP. Isso pode fazer a solicitação atingir o tempo limite e retornar zero registro.
  6. Clique na entrada LDAP de interesse.
    A página Detalhes do LDAP exibe os valores de atributo para a entrada selecionada. Verifique se você selecionou a entrada correta para o contato que deseja atualizar, então clique em Fechar janela.
  7. Na página Lista de entrada LDAP, Clique com o botão direito do mouse na entrada que melhor corresponde ao contato que você deseja atualizar e então selecione Mesclar no contato.
    A página Atualização de contato é exibida novamente, preenchida com os valores de atributo LDAP atuais. Se os dados LDAP foram alterados desde que você criou ou atualizou o contato, as mudanças são refletidas nos campos de atributo do contato.
    Se você instalou a opção ldap_sync_on_null e a entrada LDAP contiver valores nulos para quaisquer campos de atributo que correspondam aos atributos de contato que atualmente contêm valores, os valores no registro de contato serão substituídos por valores nulos quando você salvar os dados do contato.
  8. Clique em Salvar na página Atualizar contato.
    O contato é atualizado com os dados LDAP correspondentes.
Criar um contato
HID_CreateaContact
Um contato é uma pessoa que usa o sistema regularmente, como um analista ou cliente. Após criar a estrutura de negócios e grupos, você cria contatos e mapeia-os aos seus respectivos locais e organizações.
É possível criar contatos das seguintes maneiras:
Criar um contato usando dados do LDAP
Se a instalação estiver configurada para acessar um servidor LDAP (Lightweight Directory Access Protocol), como o Microsoft Windows Active Directory, e tiver as opções necessárias instaladas, será possível criar e atualizar contatos, usando dados do banco de dados LDAP. Isso facilita a sincronização de contatos com os dados de usuário da rede.
Os administradores podem configurar a sincronização automatizada dos contatos com os dados LDAP.
Siga estas etapas:
  1. Selecione Arquivo, Novo contato do LDAP na barra de menus da guia Service Desk.
    Aparece a página Pesquisa de diretório LDAP.
  2. (Opcional) Preencha um ou mais dos seguintes campos de filtro para limitar a lista de entradas LDAP aos registros de seu interesse:
    • Sobrenome
      Especifica o sobrenome do usuário conforme aparece no diretório do LDAP. Por exemplo, você pode digitar b% no campo Sobrenome para recuperar uma lista das entradas de usuário LDAP com os sobrenomes que começam com a letra B.
    • Nome
      Especifica o primeiro nome do usuário conforme aparece no diretório do LDAP.
    • Nome do meio
      Especifica o nome do meio do usuário conforme aparece no diretório do LDAP.
    • ID do usuário
      Especifica o nome de usuário para efetuar logon no sistema.
  3. Clique em Pesquisar.
    A página Lista de entradas LDAP exibe os registros correspondentes aos critérios de pesquisa.
    Para ver informações contidas em um registro LDAP sem criar um novo contato, clique com o botão direito do mouse no registro de interesse e selecione Exibir. A página LDAP Entry Detail é exibida.
    Todos os campos da página LDAP Entry Detail são autoexplicativos, exceto os seguintes:
    • ID do usuário
      Especifica a ID que o usuário insere para efetuar logon no sistema.
    • Nome exclusivo
      Especifica o nome de logon no LDAP totalmente qualificado Por exemplo: CN=Joe, CN=Usuários, DC=KLAND, DC=AD, DC=com.
  4. Clique na entrada LDAP para criar um contato.
    A página Criar contato é exibida e é parcialmente preenchida com informações do LDAP.
  5. Insira as informações adicionais, caso sejam necessárias.
  6. Clique em Salvar.
    O registro de contato é salvo e a página Detalhes do contato aparece. Agora os seguintes botões estão disponíveis para configurar o contato:
    • Atualizar ambiente
      -- Exibe a janela Pesquisa de ativo/item de configuração para o contato ou organização, na qual é possível especificar critérios de pesquisa para os ativos que deseja considerar. Quando você clica em Pesquisar, a janela Atualizar ambiente é exibida, onde você pode adicionar e remover ativos para esse contato ou organização.
      Atualizar grupos
      - Exibe a janela Pesquisa de grupos, na qual é possível especificar critérios de pesquisa para os grupos que você deseja levar em conta para esse contato. Quando você clica em Pesquisar, a janela Atualizar grupos é exibida, onde você pode adicionar e remover grupos para esse contato.
Criar um contato automaticamente
Você pode configurar o CA SDM para criar um contato automaticamente de um registro de usuário LDAP correspondente sempre que um novo usuário efetua logon no CA SDM.
Para ativar esse recurso, instale todas as opções de LDAP obrigatórias mais a opção ldap_enable_auto.
O registro de contato é criado automaticamente, como segue:
  1. Se um usuário que efetuou logon no CA SDM ainda não possuir um registro de contato, mas o seu nome de logon existir em um registro LDAP, os dados LDAP são automaticamente importados e o registro de contato é criado.
  2. O registro de contato criado automaticamente herda as configurações de segurança de tipo de acesso padrão.
  3. Então pode ser atribuído explicitamente um tipo de acesso ao contato, ou o tipo de acesso pode ser atribuído com base na inscrição do usuário em um Grupo LDAP.
Esse processo é completamente transparente para o usuário, aparecendo como qualquer outra sessão de logon.
Criar contatos manualmente
Se você não quiser usar um diretório ativo como o LDAP para suas informações de contatos, é possível criar os contatos manualmente no CA SDM.
Se a multilocação estiver ativada, selecione o inquilino apropriado na lista suspensa.
Siga estas etapas:
  1. Selecione Arquivo, Novo contato na barra de menus no Gerenciador de filas.
    A janela Criar novo contato é aberta.
  2. Preencha os campos de contato.
  3. Clique em Salvar.
    As seguintes informações são salvas.
Campos de Contato
Inquilino
Especifica o inquilino associado ao contato (para instalações de vários inquilinos).
Entrar em contato com a ID
Especifica um identificador exclusivo para o contato. Se a autenticação de usuário padrão estiver sendo usada, o valor nesse campo será usado como senha na conexão do usuário.
ID do usuário
Especifica o nome de usuário do contato. O contato usa esse valor para efetuar logon no sistema.
Tipo de serviço
Especifica o nível de suporte recebido pelo contato.
Partição de dados
Especifica a partição de dados para esse contato. Esse valor determina os registros que esse contato pode acessar.
Tipo de acesso
Especifica o tipo de acesso. O tipo de acesso determina as funções do sistema que o contato pode acessar.
Disponível
Indica se o contato está disponível para atribuições do ticket.
Confirmar salvamento de autoatendimento
Indica se o contato receberá uma confirmação ao salvar um registro na interface de auto-atendimento.
Analyst's Tenant Group
(Apenas para o tipo de contato Analista) Especifica o grupo de inquilinos pelo qual o analista é responsável.
Para configurar o contato, use os seguintes controles disponíveis nas guias.
Notificação
Define as informações do contato e o método para notificá-lo.
    • Selecione o método de notificação na lista suspensa (email, notificação, Pager_Email, xMatters/Email, xMatters/Notification e xMatters/Pager_Email) que você deseja usar para cada nível de urgência de mensagem para esse contato.
      O CA SDM oferece suporte a apenas um método de notificação por vez. Se estiver usando o email, não será possível usar a notificação ao mesmo tempo. Isso se aplica a todos os métodos de notificação predefinidos como email, notificação, Pager_Email, xMatters/Email, xMatters/Notification e xMatters/Pager_Email.
      Os administradores do CA SDM devem atualizar o método de notificação manualmente na página de detalhes dos contatos se a integração do xMatters com o CA SDM estiver desativada. Para obter mais informações, consulte Gerenciador de opções, xMatters.
    • Selecione o turno de trabalho válido para cada nível de urgência de notificação.
Por exemplo, você pode atribuir um turno de trabalho Regular (semana de cinco dias, oito horas por dia) à notificação de nível Normal, mas um turno de trabalho de 24 horas à notificação de nível Emergência.
Endereço
Especifica a localização do contato.
Informações organizacionais
Especifica a organização funcional ou administrativa, departamento, centro de custo ou informações de fornecedor do contato.
Ambiente
Especifica o ambiente do contato, como equipamento, software e serviços.
Grupos
Atribui um contato a um grupo (um conjunto de contatos com uma área de responsabilidade comum).
Funções
Atribui o contato a uma ou mais funções.
Contratos de serviço
Exibe contratos de serviço que foram associados ao contato.
Tratamento especial
Relaciona contatos de tratamento especial e permite procurar e associar um contato a um tipo de tratamento especial, tais como visitante ou tipo de risco de segurança.
Log de eventos
Relaciona eventos associados ao contato, tais como atividades de autoatendimento e conhecimento.
Atividades
Relaciona o log de atividades do contato.
Mesclar contatos usando o LDAP
Você pode sincronizar os contatos existentes com os dados de LDAP atuais.
Siga estas etapas:
  1. Selecione Pesquisar, Contatos no Gerenciador de filas.
    A página Pesquisa de contato aparece.
  2. Preencha os campos do filtro conforme desejado (ou deixe todos os campos do filtro em branco para ver uma listagem de todos os contatos) e clique em Pesquisar.
    A página Lista de contatos aparece.
  3. Clique no contato que você quer editar.
    A página Detalhes do contato aparece.
  4. Clique em Editar.
    A página Atualizar do contato aparece.
  5. Clique em Mesclar LDAP.
    A página Lista de entradas LDAP aparece. Se o contato que você está editando tiver um registro de LDAP correspondente, ele aparecerá nessa página.
  6. Clique na entrada LDAP.
    A página Detalhes do LDAP aparece.
  7. Clique em Fechar janela após verificar se a página Detalhes do LDAP contém os dados do usuário correto.
  8. Clique com o botão direito do mouse na entrada da página Lista de entradas LDAP para o contato que você está atualizando e selecione Mesclar no contato.
  9. Clique em Salvar na página Atualizar do contato.
Atribuir tipo de acesso usando grupos de LDAP
HID_AssignAccessTypesLDAPGroup
Atribua automaticamente valores de tipo de acesso a contatos, com um servidor LDAP (Lightweight Directory Access Protocol).
Para ativar esse recurso, instale as opções ldap_enable_group e ldap_group_object_class.
Siga estas etapas:
  1. Selecione Gerenciamento da segurança e das funções, Tipos de acesso na guia Administrador.
  2. Selecione o tipo de acesso que você quer associar a um Grupo LDAP. Por exemplo, selecione Administração.
    Se a opção de ldap_enable_group estiver instalada, o campo Grupo de acesso LDAP aparecerá na guia Autenticação pela web.
    Se um grupo LDAP já estiver associado ao tipo de acesso selecionado, aparecerá um link para os detalhes do grupo LDAP. Clique no link para ver uma descrição somente leitura do Grupo LDAP e uma listagem de seus membros.
  3. Clique em Editar na página Detalhes do tipo de acesso para associar um tipo de acesso a um grupo LDAP.
  4. Clique no link Grupo de acesso LDAP.
  5. (Opcional) Insira critérios de filtro para limitar a pesquisa aos grupos LDAP que você deseja.
  6. Selecione o Grupo LDAP que você quer associar a esse tipo de acesso.
  7. Clique em Salvar.
    A associação do Grupo LDAP selecionado ao tipo de acesso está concluída.
Mapeamento de atributo
Os valores de atributo de registro de contato do CA SDM são sincronizados com os valores de atributo de usuário do LDAP com base nas definições de mapeamento de atributo no arquivo $NX_ROOT/bopcfg/majic/ldap.maj.
O seguinte trecho do ldap.maj ilustra o mapeamento. Os nomes do atributo na coluna da esquerda (id) são nomes do atributo de contato do CA SDM. A coluna central (distinguishedName) contém os nomes de atributo LDAP correspondentes.
id distinguishedName STRING 512; last_name sn,pzLastName STRING ; first_name givenName,pzFirstName STRING ; middle_name initials,pzMiddleName STRING ; userid uid,sAMAccountName,pzUserName STRING ; phone_number telephoneNumber,pzWorkPhoneNumber STRING ;
Se houver um SREL (um relacionamento único ou uma chave estrangeira em outra tabela do banco de dados) no CA SDM, o valor do atributo de contato será sincronizado com o valor LDAP correspondente. Se não houver um SREL, ele não será criado automaticamente durante o processamento da sincronização LDAP.
Por padrão, o mapeamento de atributos é configurado para o esquema LDAP do Microsoft Active Directory. Se necessário, é possível modificar o mapeamento usando um arquivo mod.
Como modificar o mapeamento do atributo
Você pode alterar o mapeamento do atributo padrão.
Para alterar o mapeamento do atributo padrão, execute as seguintes etapas:
  1. Navegue até $NX_ROOT/site/mods/majic e abra o arquivo mod.
  2. Use instruções MODIFY no arquivo mod como segue.
    • As instruções MODIFY sempre devem ser expressas primeiro no arquivo.
    • Seguindo as instruções MODIFY, todos os campos adicionais que não estiverem no arquivo ldap.maj devem ser declarados com a sintaxe do seguinte exemplo.
    • Se você definir um campo que contém um caractere hífen no nome do atributo, é necessário colocar o nome entre aspas simples; caso contrário, ao criar o arquivo mod, o atributo irá falhar com um erro de sintaxe. Por exemplo, o seguinte nome de atributo deve ser colocado entre aspas simples:
      c_nx_string1 'swsd-secret-question' STRING ;
  3. Salve e feche a arquivo mod.
  4. Reinicie o serviço do CA SDM.
    O web engine não iniciará se houver uma discrepância na sintaxe ou se letras maiúsculas/minúsculas não coincidirem.
    Suas mudanças têm efeito.
Exemplo: usar instruções MODIFY
O exemplo a seguir mostra como modificar dois campos existentes e adicionar um novo campo.
// // Map CA SDM userid attribute to ADAM Userid // MODIFY ldap userid cn ; MODIFY ldap middle_name middleName ; OBJECT ldap LDAP { ATTRIBUTES LDAP_Entry{ contact_num employeeNumber STRING ; }; } ;
Como o CA SDM usa dados LDAP para se comunicar
O
LDAP (Lightweight Directory Access Protocol)
é um protocolo de comunicação de rede para consulta e modificação de serviços de diretório executando em uma rede TCP/IP. Um diretório LDAP é uma estrutura em árvore que contém entradas para gerenciamento de usuários, grupos, computadores, impressoras e outras entidades em uma rede.
O CA SDM pode ser configurado para acessar um diretório LDAP, que permite usar os dados LDAP de várias maneiras:
  • Sincronizar contatos com registros de usuário LDAP. A sincronização pode ocorrer das seguintes formas:
    • No logon
      : Quando um usuário efetua o logon no produto, se existir um registro LDAP para aquele usuário, mas o registro de contato correspondente não existir, um registro de contato é automaticamente criado com base nas informações do LDAP.
    • Novo contato
      :
      ao criar um contato manualmente, você pode selecionar um registro LDAP e mesclar seus valores de atributo com seus campos correspondentes no novo registro de contato.
    • Atualização em lote
      : É possível executar rotinas em lote para automatizar os processos de importação e atualização de registros de contato com informações dos registros LDAP correspondentes.
      A sincronização com LDAP é um processo unilateral. Os dados LDAP podem ser usados para criar e atualizar contatos, mas o produto não oferece suporte às atualizações para o diretório LDAP.
  • Atribua tipos de acesso do CA SDM com base na associação de grupo do LDAP.
  • Implementar um método alternativo de realizar a autenticação no CA SDM.
O componente ldap_virtb fornece funcionalidade de integração com LDAP nos seguintes servidores dependendo da configuração do CA SDM, independentemente do tipo de sistema operacional:
  • Convencional: servidor principal ou secundário.
  • Disponibilidade avançada: servidor de aplicativos ou de segundo plano.
O arquivo $NX_ROOT/bopcfg/majic/ldap.maj especifica o mapeamento entre atributos LDAP e atributos de registro de contato.
O CA SDM requer que registros LDAP tenham uma entrada no campo de sobrenome para facilitar a pesquisa, exibição e importação dos dados LDAP.
O CA SDM oferece suporte à
pesquisa paginada
, que pesquisa todos os registros em seu diretório LDAP. A pesquisa paginada também permite importar novos registros de contato ou sincronizar registros de contato existentes de qualquer número de registros LDAP. Esses recursos serão limitados, no entanto, se você estiver usando o Sun Java System Directory Server ou o Novell eDirectory, pois esses servidores LDAP não oferecem suporte a pesquisa paginada. Neste caso, é possível somente pesquisar, importar e sincronizar com o número de registros LDAP especificados por NX_LDAP_MAX_FETCH. Para obter mais informações sobre a pesquisa paginada, consulte o arquivo NX.env.
Atribuições de tipo de acesso a partir de grupos LDAP
É possível configurar o CA SDM para atribuir valores de tipo de acesso a contatos automaticamente, com base na inscrição em grupos LDAP. Com a atribuição automática de tipo de acesso habilitada, se um registro de usuário LDAP que tiver sido usado para criar um contato pertencer a um grupo LDAP associado com um dos tipos de acesso do CA SDM, então o tipo de acesso é automaticamente atribuído ao contato. Caso contrário, o contato herdará o tipo de acesso padrão.
Para ativar a atribuição automática de tipo de acesso, é preciso instalar as opções ldap_enable_group e ldap_group_object_class.
Para obter mais informações, consulte Configurar opções de LDAP.
Autenticação LDAP
Você pode usar o LDAP para autenticar usuários que façam logon no CA SDM. A autenticação LDAP está disponível quando o componente de autenticação do CA SDM. está integrado com o CA SDM, que substitui a validação padrão realizada pelo sistema operacional host. A autenticação LDAP é aplicável apenas quando o CA EEM está configurado para usar um diretório LDAP externo e você selecionou autenticação de SO para um tipo de validação do usuário em um registro de tipo de acesso.
Quando um recurso do CA EEM é ativado, solicitações de logon são verificadas no servidor do CA EEM. Uma solicitação de logon é concedida somente se ocorrer o seguinte:
  • A ID de usuário especificada corresponde a um registro de contato no CA SDM.
  • A ID do usuário corresponde a um perfil de usuário no CA EEM.
  • A combinação de ID e senha do usuário é validada com êxito pelo CA EEM.
Para obter mais informações sobre o uso do CA EEM para autenticação e para mover o módulo de autenticação para o servidor externo, consulte Como mover o módulo de autenticação para um servidor externo. Além disso, consulte atribuir grupos LDAP usando o tipo de acesso.
Transport Layer Security
É possível configurar o CA SDM para usar TLS (Transport Layer Security - Segurança de Camada de Transporte) durante o processamento LDAP. O TLS, um protocolo de comunicação seguro, é o sucessor da segurança SSL v3 (Secure Socket Layer). Você instala a opção ldap_enable_tls para ativar o TLS.
Se esse recurso estiver ativado, todas as comunicações entre o CA SDM e o servidor LDAP serão criptografadas. Se esse recurso
não
estiver ativado, todas as comunicações de dados (incluindo o logon e a senha administrativos usados para acessar o servidor LDAP) serão enviadas em texto não criptografado.
Para obter informações sobre a configuração do TLS, consulte a documentação de seu servidor LDAP e sistema operacional. Instale manualmente as opções do LDAP usando o gerenciador de opções da interface da web. Para obter mais informações, consulte Configurar opções de LDAP.