Cómo integrar CA SDM con LDAP

Contenido
casm173
Contenido
Configuración de las opciones de LDAP
Se puede configurar CA SDM para acceder a los datos del directorio LDAP.
Siga los pasos siguientes:
  1. Instale manualmente las opciones de LDAP con el Gestor de opciones de la interfaz Web.
    Las opciones necesarias para la integración básica de LDAP están identificadas como obligatorias en la columna Descripción en la tabla siguiente. Las opciones identificadas como opcionales son funciones que sólo se pueden agregar si las opciones obligatorias están instaladas. Los valores que se especifican al instalar estas opciones se escriben en el archivo $NX_ROOT/NX.env.
  2. Reinicie el servicio de CA SDM.
    Los cambios se aplican.
Gestión de servidores LDAP mediante la utilidad de configuración de LDAP
Se puede utilizar la utilidad del servidor LDAP para gestionar varios servidores LDAP. Mediante esta utilidad se pueden realizar las tareas siguientes:
  • Agregar un nuevo servidor LDAP.
  • Suprimir un servidor LDAP que ya no se desea utilizar.
  • Visualizar los detalles de un servidor LDAP.
  • Reiniciar una base de datos virtual LDAP.
En una configuración de disponibilidad avanzada, ejecute la utilidad en el servidor en segundo plano. Después de agregar un nuevo servidor LDAP, se deben reiniciar los servicios de CA SDM en todos los servidores en espera.
Siga los pasos siguientes:
  1. (Opcional) Para especificar el nombre de dominio del servidor LDAP predeterminado, ejecute el siguiente comando:
    pdm_options_mgr -c -a pdm_option.inst -s LDAP_DOMAIN -v <Default_LDAP_DomainName> pdm_options_mgr -c -a pdm_option.inst -s LDAP_DOMAIN -v <Default_LDAP_DomainName> -t
    Configure el nombre de dominio del servidor LDAP predeterminado en los casos siguientes:
    • El servidor de CA EEM está configurado con varios dominios de Microsoft Active Directory.
    • El servidor LDAP predeterminado y cualquier otro servidor LDAP configurado con CA SDM comparten los mismos detalles de usuario.
    Una vez finalizada la configuración, todos los usuarios LDAP deben iniciar sesión en CA SDM siguiendo el formato nombre_dominio\ID_usuario.
  2. Abra el Símbolo del sistema de Windows y vaya a la ubicación $NX_ROOT/bin.
  3. Ejecute el siguiente comando:
    pdm_perl pdm_ldap_config.pl
  4. En función de la tarea que desee realizar, seleccione la opción adecuada.
Opción
Valor predeterminado
Descripción
ldap_domain
Necesaria para configurar varios servidores LDAP. Especifica el nombre de dominio del servidor LDAP.
default_ldap_tenant
Necesario para la instalación de multicliente. Especifica la asignación de cliente predeterminada para los contactos importados de LDAP. Debe usar el UUID del cliente cuando establece el campo Valor de opción.
Puede obtener el UUID del cliente a partir de una consulta de la base de datos. Por ejemplo, "SELECT * FROM ca_tenant".
ldap_enable
Obligatorio. Permite la integración de LDAP con CA SDM.
ldap_host
Obligatorio. Especifica el nombre de host o la dirección IP del servidor de base de datos LDAP.
ldap_port
389
Obligatorio. Especifica el número de puerto del servidor LDAP.
ldap_dn
Obligatorio. Especifica el nombre completo de inicio de sesión en el servidor LDAP.
Por ejemplo
: CN=Joe, CN=Users, DC=KLAND, DC=AD, DC=com
Si el servidor LDAP admite enlaces anónimos, este valor se puede dejar en blanco.
ldap_pwd
Obligatorio. Especifica la contraseña para el nombre completo de inicio de sesión en el servidor LDAP.
Si el servidor LDAP admite enlaces anónimos, este valor se puede dejar en blanco.
ldap_search_base
Obligatorio. Especifica el punto de partida para las búsquedas en el árbol del esquema LDAP:
(UNIX) Debe especificar un contenedor de inicio. Por ejemplo:
CN=Users, DC=KLAND, DC=AD, DC=com
(Windows) No es necesario especificar un contenedor. Puede fijar el inicio en lo más alto del árbol del esquema. Por ejemplo:
DC=KLAND, DC=AD, DC=com
ldap_filter_prefix
(&(objectClass=
user)
Especifica el prefijo que se aplica a los filtros de generación automática cuando se buscan usuarios LDAP.
Esta variable se ha sustituido por la opción ldap_user_object_class. No está disponible en el gestor de opciones, pero se puede definir manualmente en el archivo NX.env.
ldap_filter_suffix
)
Especifica el sufijo que se aplica a los filtros de generación automática cuando se buscan usuarios LDAP.
Esta variable se ha sustituido por la opción ldap_user_object_class. No está disponible en el gestor de opciones, pero se puede definir manualmente en el archivo NX.env.
ldap_user_object_class
person
Obligatorio. Especifica el valor del atributo LDAP objectClass que se aplica a un filtro de generación automática cuando se buscan usuarios LDAP.
ldap_enable_group
Opcional. Permite la asignación del tipo de acceso de CA SDM en función de la pertenencia a grupos LDAP.
ldap_group_object_class
grupo
Necesario solamente si ldap_enable_group está instalado. Especifica el nombre de objeto que se aplica a los filtros de generación automática cuando se buscan grupos.
ldap_group_filter_prefix
(&(objectClass=
group)
Especifica el prefijo que se aplica a los filtros de generación automática cuando se buscan grupos LDAP.
La opción ldap_group_object_class ha sustituido esta variable. No está disponible en el gestor de opciones, pero se puede definir manualmente en el archivo NX.env.
ldap_group_filter_suffix
)
Especifica el sufijo que se aplica a los filtros de generación automática cuando se buscan grupos LDAP.
La opción ldap_group_object_class ha sustituido esta variable. No está disponible en el gestor de opciones, pero se puede definir manualmente en el archivo NX.env.
ldap_enable_auto
Opcional. Habilita la generación automática de registros de contacto de datos LDAP.
ldap_sync_on_null
Opcional. Sobrescribe los atributos de contacto de CA SDM existentes con datos nulos si el atributo de usuario LDAP correspondiente contiene un valor nulo.
ldap_service_type
Active Directory
Opcional. Utilice esta opción si el entorno operativo de CA SDM es Windows y el directorio LDAP
no
es Active Directory (por ejemplo, eTrust o Novell).
En el entorno operativo UNIX, la funcionalidad No AD solo se utiliza si esta opción
no
está instalada. Si se instala, el tipo de servicio se establece en Active Directory.
ldap_enable_tls
No
Opcional. Especifica si está activado Transport Layer Security (TLS) durante el procesamiento de LDAP.
Verificación de la integración de LDAP
Después de haber instalado las opciones de LDAP necesarias, los usuarios de CA SDM pueden importar los datos de LDAP de forma individual y eliminar la necesidad de rellenar todos los campos de atributos de contacto de forma manual.
Procedimiento para verificar que puede buscar e importar registros LDAP
  1. Seleccione Archivo, Nuevo contacto de LDAP en la ficha Service Desk.
    Aparece la ventana Búsqueda de directorios LDAP.
  2. Especifique los criterios de filtrado y haga clic en Buscar. Por ejemplo, puede introducir b% en el campo Apellido para recuperar una lista de entradas de usuario de LDAP con los apellidos que empiecen por la letra B.
    Si el directorio LDAP contiene miles de entradas y no se filtran las búsquedas, la solicitud intenta recuperar
    todos
    los registros de usuarios de LDAP. Esto puede ocasionar que la solicitud finalice y devuelva cero registros.
    Se muestran los resultados de la búsqueda que coinciden con los criterios de filtrado.
  3. Seleccione una entrada.
    Aparece la ventana Crear nuevo contacto con los valores de los atributos LDAP importados.
  4. Haga clic en Guardar.
    Se crea el registro de contacto.
Procedimiento para verificar que puede actualizar un contacto con los datos LDAP
Antes de realizar este procedimiento, para fines de prueba, es posible que desee utilizar cualquier herramienta de edición de LDAP que tenga disponible para cambiar uno o más valores de los atributos en la entrada que usó para el procedimiento anterior. Puede comprobar si el contacto se ha actualizado con los datos LDAP más recientes.
  1. Seleccione Buscar, Contactos en la ficha Service Desk.
    Aparece la ventana Búsqueda de contactos.
  2. Especifique los criterios de filtrado para buscar un contacto que tenga una entrada de usuario LDAP correspondiente. Por ejemplo, podría buscar el contacto que creó en el procedimiento anterior.
    Se muestran los resultados de la búsqueda que coinciden con los criterios de filtrado.
  3. Seleccione el contacto que desea actualizar con los datos LDAP.
    La página Detalles del contacto aparece rellenada con la información de contacto de CA SDM.
  4. Haga clic en Editar.
    Aparecerá la página Actualización de contactos.
  5. Haga clic en Combinar LDAP.
    La página Lista de entradas LDAP muestra una lista de las entradas de usuarios LDAP que corresponden al contacto de CA SDM seleccionado.
    Para buscar el directorio LDAP para otras entradas, haga clic en Mostrar filtro, especifique los criterios de filtrado y haga clic en Buscar.
    Si el directorio LDAP contiene miles de entradas y no se filtran las búsquedas, la solicitud intenta recuperar
    todos
    los registros de usuarios de LDAP. Esto puede ocasionar que la solicitud finalice y devuelva cero registros.
  6. Haga clic en la entrada LDAP que desee.
    La página Detalles de LDAP muestra los valores de atributo para la entrada seleccionada. Verifique que ha seleccionado la entrada correcta para el contacto que desea actualizar y haga clic en Cerrar ventana.
  7. En la página Lista de entradas LDAP, haga clic con el botón secundario en la entrada que mejor coincida con el contacto que desea actualizar y seleccione Combinar en contacto.
    Vuelve a aparecer la página Actualización de contactos con los valores de los atributos LDAP actuales. Si los datos LDAP han cambiado desde que creó o actualizó por última vez el contacto, los cambios se reflejan en los campos de atributos de contacto.
    Si ha instalado la opción ldap_sync_on_null y la entrada LDAP contiene valores nulos para algunos campos de atributo que corresponden a los atributos de contacto que actualmente contienen valores, los valores del registro de contacto se sobrescribirán con valores nulos cuando guarde los datos de contacto.
  8. Haga clic en Guardar en la página Actualización de contactos.
    El contacto se actualiza con los datos LDAP correspondientes.
Creación de contactos
HID_CreateaContact
Un contacto es una persona que utiliza su sistema regularmente, como un analista o cliente. Tras crear la estructura de negocio y los grupos, cree los contactos y asígnelos a su respectiva ubicación y organización.
Puede crear contactos de las formas siguientes:
Creación de un contacto mediante los datos de LDAP
Si se configura la instalación para acceder a un servidor de Protocolo ligero de acceso a directorios (LDAP), como Microsoft Windows Active Directory, y se encuentran instaladas las opciones necesarias, se pueden crear y actualizar los contactos mediante los datos de la base de datos de LDAP. Este método facilita la sincronización de contactos con los datos de usuario de red.
Los administradores pueden configurar la sincronización automatizada de contactos con los datos de LDAP.
Siga los pasos siguientes:
  1. Seleccione Archivo, Nuevo contacto de LDAP de la barra de menús de la ficha Service Desk.
    Aparecerá la página Búsqueda de directorios LDAP.
  2. (Opcional) Complete uno o más de los siguientes campos de filtro para limitar la Lista de entradas LDAP a los registros de interés:
    • Apellidos
      Especifica el apellido del usuario tal como aparece en el directorio LDAP. Por ejemplo, puede introducir b% en el campo Apellido para recuperar una lista de entradas de usuario de LDAP con los apellidos que empiecen por la letra B.
    • Nombre
      Especifica el nombre del usuario tal como aparece en el directorio LDAP.
    • Segundo nombre
      Especifica el segundo nombre del usuario tal como aparece en el directorio LDAP.
    • ID de usuario
      Especifica el nombre de usuario para iniciar sesión en el sistema.
  3. Haga clic en Buscar.
    La página Lista de entradas LDAP muestra los registros de grupos que coinciden con los criterios de búsqueda.
    Para ver la información que contiene un registro de LDAP sin crear un contacto, haga clic con el botón secundario del ratón en el registro de interés y seleccione Ver. Aparecerá la página Detalles de entradas LDAP.
    Todos los campos de la página Detalles de entradas LDAP se explican por sí solos excepto los siguientes:
    • ID de usuario
      Especifica el ID que el usuario introduce para iniciar sesión en el sistema.
    • Nombre completo
      Especifica el nombre de inicio de sesión de LDAP totalmente cualificado. Por ejemplo: CN=Joe, CN=Users, DC=KLAND, DC=AD, DC=com
  4. Haga clic en la entrada de LDAP para crear un contacto.
    Se mostrará la página Crear nuevo contacto y se completa parcialmente con información de LDAP.
  5. Introduzca información adicional según sea necesario.
  6. Haga clic en Guardar.
    Se guardará el registro del contacto y aparecerá la página Detalles de contacto. Entonces, estarán disponibles los botones siguientes para configurar el contacto:
    • Actualizar entorno:
      muestra la ventana Elemento de configuración/Búsqueda de activos correspondiente al contacto u organización, donde se pueden especificar los criterios de búsqueda para los activos que se deseen considerar. Cuando se hace clic en Buscar, se muestra la ventana Actualizar entorno, donde puede agregar y quitar activos para el contacto o la organización.
      Actualizar grupos:
      Muestra la ventana Búsqueda de grupos, donde se pueden especificar criterios de búsqueda para los grupos que desee considerar para el contacto. Cuando se hace clic en Buscar, se muestra la ventana Actualización de grupos, donde puede agregar y quitar grupos para el contacto.
Creación automática de un contacto
Se puede configurar CA SDM para crear automáticamente un contacto a partir de un registro de usuario LDAP correspondiente siempre que un nuevo usuario inicie sesión en CA SDM.
Para activar esta función, instale todas las opciones obligatorias de LDAP más la opción ldap_enable_auto.
El registro de contacto se crea automáticamente de la siguiente manera:
  1. Si un usuario que inicia sesión en CA SDM todavía no tiene un registro de contacto, pero el nombre de inicio de sesión del usuario existe en un registro LDAP, los datos LDAP se importan de forma automática y se crea un registro de contacto.
  2. El registro de contacto creado de forma automática hereda la configuración de seguridad del tipo de acceso predeterminado.
  3. Se le puede asignar al contacto un tipo de acceso en forma explícita o se puede asignar el tipo de acceso en función de la pertenencia del usuario a los grupos LDAP.
El usuario no percibe este proceso, que se produce como cualquier otro inicio de sesión.
Creación de contactos manualmente
Si no se desea utilizar un directorio de Active Directory, como LDAP, para el almacenamiento de la información de los contactos, se pueden crear los contactos manualmente en CA SDM.
Si la opción multicliente está activada, seleccione el cliente adecuado de la lista desplegable.
Siga los pasos siguientes:
  1. Seleccione Archivo, Nuevo contacto en la barra de menús del panel de resultados.
    Se abre la ventana Crear nuevo contacto.
  2. Rellene los campos de contacto.
  3. Haga clic en Guardar.
    Se guardará la información del contacto.
Campos de contacto
Cliente
Especifica el cliente que se asocia al contacto (para instalaciones multicliente).
Contact ID
Especifica el identificador exclusivo del contacto. Si utiliza la autenticación de usuario predeterminada, el valor de este campo se utiliza como contraseña cuando el usuario inicia sesión.
ID de usuario
Especifica el nombre de usuario del contacto. El contacto utiliza este valor para registrarse en el sistema.
Tipo de servicio
Especifica el nivel de soporte que recibe el contacto.
Partición de datos
Especifica la partición de datos para este contacto. Este valor determina los registros a los que puede acceder este contacto.
Tipo de acceso
Especifica el tipo de acceso. El tipo de acceso determina las funciones del sistema a las que puede acceder el contacto.
Disponible
Indica si el contacto está disponible para asignaciones de tickets.
Confirmar guardar en modo autoservicio
Indica si el contacto recibe una confirmación al guardar un registro de la interfaz de autoservicio.
Grupo de clientes del analista
(Solo para contactos que sean analistas) Especifica el grupo de clientes del cual es responsable el analista.
Para configurar el contacto, utilice los siguientes controles disponibles en las fichas.
Notificación
Define la información de contacto y el método para notificar al contacto.
    • Seleccione el método de notificación de la lista desplegable (Correo electrónico, Notificación, Correo electrónico del buscapersonas, xMatters/Correo electrónico, xMatters/Notificación o xMatters/Correo electrónico del buscapersonas) que desea utilizar para cada nivel de urgencia del mensaje para este contacto.
      CA SDM admite únicamente un método de notificación a la vez. Si se está utilizando el método Correo electrónico, no se puede utilizar el método Notificación al mismo tiempo. Esta regla se aplica a todos los métodos de notificación listos para su uso: Correo electrónico, Notificación, Correo electrónico del buscapersonas, xMatters/Correo electrónico, xMatters/Notificación y xMatters/Correo electrónico del buscapersonas.
      Si la integración entre xMatters y CA SDM está desactivada, los administradores de CA SDM deben actualizar el método de notificación manualmente en la página de detalles del contacto. Para obtener más información, consulte Gestor de opciones, xMatters.
    • Seleccione el turno válido para cada nivel de urgencia de notificación.
Por ejemplo, puede asignar un turno normal (cinco días laborables, ocho horas al día) a las notificaciones de nivel normal, pero uno de 24 horas a las notificaciones de nivel de emergencia.
Dirección
Especifica la ubicación del contacto.
Información de la organización
Especifica la organización funcional o administrativa, el departamento, el centro de costes o la información de proveedor del contacto.
Entorno
Especifica el entorno del contacto, como por ejemplo, equipamiento, software y servicios.
Grupos
Asigna un contacto a un grupo (una recopilación de contactos con un área de responsabilidad común).
Roles
Asigna el contacto a uno o más roles.
Contratos de servicio
Muestra los acuerdos de servicio que se hayan asociado al contacto.
Tratamiento especial
Muestra una lista de contactos que requieren un tratamiento especial, y permite buscar y asociar contactos con tipos de tratamiento especial, como tipo de riesgo de seguridad o visitante.
Registro de eventos
Muestra una lista de eventos asociados con el contacto, como las actividades de conocimiento y de autoservicio.
Actividades
Muestra el registro de actividades para el contacto.
Combinación de contactos a través de LDAP
Puede sincronizar los contactos existentes con los datos LDAP actuales.
Siga los pasos siguientes:
  1. Seleccione Buscar, Contactos en el panel de resultados.
    Aparecerá la página Búsqueda de contactos.
  2. Rellene los campos de filtro como desee (o deje todos los campos de filtro en blanco para ver el listado de todos los contactos), a continuación, haga clic en Buscar.
    Aparecerá la página Lista de contactos.
  3. Haga clic en el contacto que desea editar.
    Aparecerá la página Detalles de contacto.
  4. Haga clic en Editar.
    Aparecerá la página Actualizar contactos.
  5. Haga clic en Combinar LDAP.
    Aparecerá la página Lista de entradas LDAP. Si el contacto que está editando tiene un registro LDAP correspondiente, aparecerá en esta página.
  6. Haga clic en la entrada de LDAP.
    Aparecerá la página Detalles de LDAP.
  7. Haga clic en Cerrar ventana después de verificar que la página Detalles de LDAP contiene los datos del usuario correcto.
  8. Haga clic con el botón derecho del ratón en la página Lista de entradas LDAP para el contacto que va a actualizar y seleccione Combinar en contacto.
  9. Haga clic en Guardar en la página de actualización de contacto.
Asignación de tipos de acceso mediante grupos LDAP
HID_AssignAccessTypesLDAPGroup
Asigne los valores de tipos de acceso a los contactos automáticamente, de acuerdo con el protocolo ligero de acceso a directorios (LDAP).
Para activar esta función, instale las opciones ldap_enable_group y ldap_group_object_class.
Siga estos pasos:
  1. Seleccione Gestión de roles y seguridad, Tipos de acceso en la ficha Administrador.
  2. Seleccione el tipo de acceso que desee asociar a un grupo LDAP. Por ejemplo, seleccione Administración.
    Si está instalada la opción ldap_enable_group, aparecerá el campo Grupo de acceso LDAP en la ficha Autenticación de Web.
    Si un grupo LDAP ya se ha asociado con el tipo de acceso seleccionado, aparece un vínculo a los detalles de grupo LDAP. Haga clic en el vínculo para obtener una descripción de solo lectura del grupo LDAP y una lista de sus miembros.
  3. Haga clic en Editar, en la página Detalles de tipo de acceso, para asociar un tipo de acceso a un grupo LDAP.
  4. Haga clic en el vínculo del grupo de acceso LDAP.
  5. (Opcional) Introduzca criterios de filtro si desea limitar la búsqueda a los grupos LDAP que le interesen.
  6. Seleccione el grupo LDAP que desee asociar con este tipo de acceso.
  7. Haga clic en Guardar.
    La asociación del grupo LDAP seleccionado con el tipo de acceso habrá terminado.
Asignación de atributos
Los valores de atributo de registro de contacto de CA SDM se sincronizan con los valores de atributo de usuario de LDAP basados en las definiciones de asignación de atributos en el archivo $NX_ROOT/bopcfg/majic/ldap.maj.
El extracto siguiente de ldap.maj ilustra la asignación. Los nombres de atributo de la columna izquierda (id) son los nombres de atributo de contacto de CA SDM. La columna del centro (distinguishedName) contiene los nombres de atributo de LDAP correspondientes.
id distinguishedName STRING 512; last_name sn,pzLastName STRING ; first_name givenName,pzFirstName STRING ; middle_name initials,pzMiddleName STRING ; userid uid,sAMAccountName,pzUserName STRING ; phone_number telephoneNumber,pzWorkPhoneNumber STRING ;
Si existe un SREL (una sola relación o la clave externa de otra tabla de la base de datos) en CA SDM, el valor de atributo del contacto se sincronizará con el valor de LDAP correspondiente. Si el SREL no existe aún, no se creará automáticamente durante el proceso de sincronización de LDAP.
De forma predeterminada, se configura la asignación de atributos para el esquema de LDAP de Microsoft Active Directory. Si es necesario, puede cambiar la asignación mediante un archivo mod.
Cómo modificar la asignación de atributos
Puede cambiar la asignación de atributos predeterminada.
Para cambiar la asignación de atributos predeterminada, realice los pasos siguientes:
  1. Desplácese a $NX_ROOT/site/mods/majic y abra el archivo mod.
  2. Use las instrucciones MODIFY del archivo mod como se indica a continuación.
    • Las instrucciones MODIFY deben ser siempre las primeras del archivo.
    • Tras las instrucciones MODIFY, debe indicarse cualquier campo adicional que no esté en el archivo ldap.maj con la sintaxis que se muestra en el siguiente ejemplo.
    • Si define un campo que contiene un carácter de guión en el nombre de atributo, el nombre debe ir entre comillas sencillas; en caso contrario, cuando cree el archivo mod, el atributo fallará debido a un error de sintaxis. Por ejemplo, el siguiente nombre de atributo debe ir entre comillas sencillas:
      c_nx_string1 'swsd-secret-question' STRING ;
  3. Guarde y cierre el archivo mod.
  4. Reinicie el servicio de CA SDM.
    El motor web no se iniciará si hay una discrepancia en la sintaxis o en el uso de mayúsculas y minúsculas.
    Sus cambios se aplicarán.
Ejemplo: utilización de instrucciones MODIFY
El ejemplo siguiente muestra cómo modificar dos campos y agregar otro.
// // Map CA SDM userid attribute to ADAM Userid // MODIFY ldap userid cn ; MODIFY ldap middle_name middleName ; OBJECT ldap LDAP { ATTRIBUTES LDAP_Entry{ contact_num employeeNumber STRING ; }; } ;
Cómo utiliza CA SDM los datos LDAP para establecer la comunicación
El
Protocolo ligero de acceso a directorios (LDAP)
es un protocolo de comunicaciones de red para consultar y modificar servicios de directorio que se ejecutan en una red TCP/IP. Un directorio LDAP es una estructura de árbol que contiene entradas para gestionar usuarios, grupos, equipos, impresoras y otras entidades de una red.
CA SDM se puede configurar para acceder a un directorio LDAP de modo que se puedan utilizar los datos LDAP para diferentes fines:
  • Sincronizar contactos con registros de los usuarios de LDAP. La sincronización puede llevarse a cabo de las siguientes maneras:
    • Durante el inicio de sesión:
      cuando un usuario inicia sesión en el producto, si existe un registro LDAP para ese usuario, pero no existe un registro de contacto correspondiente, se crea un registro de contacto basado en la información LDAP de forma automática.
    • Nuevo contacto
      :
      cuando se crea un registro de contacto de forma manual, se puede seleccionar un registro LDAP y combinar sus valores de atributo con los campos correspondientes en el nuevo registro de contacto.
    • Actualización por lotes:
      se puede ejecutar trabajos por lotes para automatizar los procesos de importación y actualización de registros de contacto con información de los registros LDAP correspondientes.
      La sincronización con LDAP es un proceso unidireccional. Los datos LDAP se pueden utilizar para crear y actualizar contactos, pero el producto no admite actualizaciones del directorio LDAP.
  • Para la asignación de tipos de acceso de CA SDM basados en la pertenencia a grupos LDAP.
  • Para la implementación de un método alternativo de autenticación de CA SDM.
El componente ldap_virtb proporciona la funcionalidad de integración de LDAP en los siguientes servidores en función de la configuración de CA SDM, independientemente del tipo de sistema operativo:
  • Convencional: servidor principal o servidor secundario
  • Disponibilidad avanzada: servidor de fondo o de aplicaciones
El archivo $NX_ROOT/bopcfg/majic/ldap.maj específica la asignación entre atributos LDAP y atributos de registro de contacto.
CA SDM requiere que los registros LDAP tengan una entrada en el campo Apellido para facilitar la búsqueda, la vista y la importación de los datos LDAP.
CA SDM admite la
búsqueda paginada
, mediante la cual se realizan búsquedas de todos los registros del directorio LDAP. La búsqueda paginada también le permite importar nuevos registros de contacto o sincronizar registros de contactos existentes de cualquier cantidad de registros LDAP. Sin embargo, estas capacidades están limitadas si está utilizando Sun Java System Directory Server o Novell eDirectory, dado que estos servidores LDAP no admiten la búsqueda paginada. En ese caso, solo puede buscar, importar y sincronizar la cantidad de registros de LDAP especificados por NX_LDAP_MAX_FETCH. Para obtener más información acerca de la búsqueda paginada, consulte el archivo NX.env.
Asignaciones del tipo de acceso de los grupos LDAP
Se puede configurar CA SDM para que asigne automáticamente los valores del tipo de acceso a los contactos en función de su pertenencia a los grupos LDAP. Con la asignación automática del tipo de acceso activada, si un registro de usuario LDAP que se usó para crear un contacto pertenece a un grupo LDAP asociado con uno de los tipos de acceso de CA SDM, se le asigna automáticamente al contacto ese tipo de acceso. De lo contrario, el contacto hereda el tipo de acceso predeterminado.
Para activar la asignación automática de tipos de acceso, se deben instalar las opciones ldap_enable_group y ldap_group_object_class.
Para obtener más información, consulte Configuración de las opciones de LDAP.
Autenticación LDAP
Se puede usar el protocolo LDAP para autenticar a los usuarios que inician una sesión en CA SDM. La autenticación LDAP está disponible cuando el componente de autenticación de CA EEM se integra con CA SDM, lo que reemplaza la validación predeterminada ejecutada por el sistema operativo del host. La autenticación LDAP solo se puede aplicar si se ha configurado CA EEM para que utilice un directorio LDAP externo y se ha seleccionado la autenticación del sistema operativo como tipo de validación del usuario en un registro de tipo de acceso.
Cuando se activa una función CA EEM, las solicitudes de inicio de sesión se comprueban con el servidor de CA EEM. Únicamente se acepta una solicitud de inicio de sesión cuando:
  • el ID de usuario especificado coincide con un registro de contacto de CA SDM.
  • el ID de usuario coincide con un perfil de usuario en CA EEM.
  • CA EEM ha validado correctamente la combinación de ID y contraseña del usuario.
Para obtener más información sobre el uso de CA EEM para la autenticación y para migrar el módulo de autenticación a un servidor externo, consulte Cómo migrar el módulo de autenticación a un servidor externo. y Asignación de tipos de acceso mediante grupos LDAP.
Transport Layer Security (seguridad de la capa de transporte)
Se puede configurar CA SDM para que utilice Transport Layer Security (TLS) durante el procesamiento de LDAP. TLS, un protocolo de comunicaciones seguras, es el sucesor del protocolo de seguridad Secure Socket Layer (SSL v3). Debe instalar la opción ldap_enable_tls para habilitar el protocolo TLS.
Si se habilita esta opción, se codifican todas las comunicaciones entre CA SDM y el servidor LDAP. Si
no
se activa, todas las comunicaciones de datos (incluidos el inicio de sesión administrativo y la contraseña utilizada para acceder al servidor LDAP) se envían en formato de texto sin encriptar.
Para obtener más información sobre cómo configurar TLS, consulte la documentación del servidor LDAP y del sistema operativo. Instale manualmente las opciones de LDAP mediante el Gestor de opciones de la interfaz web. Para obtener más información, consulte Configuración de las opciones de LDAP.