Conexión a un directorio LDAP
La tarea de abajo se aplica a un entorno
UEM
local. En un entorno UEM Cloud
, instale y configure BlackBerry Connectivity Node para conectarse al directorio de la empresa.- Cree una cuenta LDAP deUEMque se ubique en el directorio LDAP pertinente. La cuenta debe cumplir los siguientes requisitos:
- La cuenta debe tener permiso para leer todos los usuarios del directorio.
- La contraseña debe configurarse para que no caduque y no necesita cambiarse en el siguiente inicio de sesión.
- Si la conexión LDAP cuenta con cifrado SSL, asegúrese de tener el certificado del servidor para la conexión LDAP y de que el servidor LDAP admita TLS 1.2. Si se ha activado SSL, la conexión LDAP conUEMdebe usar TLS 1.2.
- Verifique los valores de atributo LDAP que utiliza su empresa (los pasos siguientes proporcionan ejemplos de valores de atributo típicos); los utilizará en los pasos siguientes.
- En la barra de menús de la consola de administración deUEM, haga clic enConfiguración > Integración externa > Directorio de empresa.
- Haga clic en> Conexión LDAP.
- En el campoNombre de la conexión de directorio, escriba un nombre para la conexión de directorio.
- En la lista desplegableDetección del servidor LDAP, realice una de las siguientes acciones:
- Para detectar automáticamente el servidor LDAP, haga clic enAutomático. En el campoNombre del dominio DNS, escriba el nombre del dominio del servidor que aloja el directorio de la compañía.
- Para especificar una lista de servidores LDAP, haga clic enSeleccionar servidor de la lista a continuación. En el campoServidor LDAP, escriba el nombre del servidor LDAP. Para añadir más servidores LDAP, haga clic en .
- En la lista desplegableActivar SSL, lleve a cabo una de las siguientes acciones:
- Si la conexión LDAP cuenta con cifrado SSL, haga clic enSí. Junto al campoCertificado SSL del servidor LDAP, haga clic enExaminary seleccione el certificado de servidor LDAP.
- Si la conexión LDAP no cuenta con cifrado SSL, haga clic enNo.
- En el campoPuerto LDAP, escriba el número de puerto TCP para la comunicación. Los valores predeterminados son 636 para SSL activado o 389 para SSL desactivado.
- En la lista desplegableAutorización requerida, realice una de las siguientes acciones:
- Si se requiere autorización para la conexión, haga clic enSí. En el campoIniciar sesión, escriba el DN del usuario autorizado para iniciar sesión en LDAP (por ejemplo, an=admin, o=Org1). En el campoContraseña, escriba la contraseña.
- Si no se requiere autorización para la conexión, haga clic enNo.
- En el campoBase de búsqueda de usuario, escriba el valor que desea utilizar como el DN de base para las búsquedas de información del usuario.
- En el campoFiltro de búsqueda LDAP de usuario, escriba el filtro de búsqueda LDAP que se requiere para encontrar objetos de usuario en el servidor del directorio de la empresa. Por ejemplo, paraIBM Domino Directory, escriba(objectClass=Person).
- En la lista desplegableÁmbito de búsqueda de usuario de LDAP, realice una de las siguientes acciones:
- Para buscar todos los objetos que siguen al objeto base, haga clic enTodos los niveles. Esta es la configuración predeterminada.
- Para buscar objetos que están justo un nivel después del DN de base, haga clic enUn nivel.
- En el campoIdentificador único, escriba el nombre del atributo que identifica de forma única a cada usuario en el directorio LDAP de la empresa (debe ser una cadena invariable y exclusiva a nivel global). Por ejemplo,dominoUNID.
- En el campoNombre, escriba el atributo del nombre de cada usuario (por ejemplo,givenName).
- En el campoApellidos, escriba el atributo de los apellidos de cada usuario (por ejemplo,sn).
- En el campoAtributo de inicio de sesión, escriba el atributo de inicio de sesión que se utilizará para la autenticación (por ejemplo,uid).
- En el campoDirección de correo, escriba el atributo de la dirección de correo electrónico de cada usuario (por ejemplo,mail). Si no define el valor, se utilizará un valor predeterminado.
- En el campoNombre para mostrar, escriba el atributo del nombre para mostrar de cada usuario (por ejemplo,displayName). Si no define el valor, se utilizará un valor predeterminado.
- En el campoNombre principal del usuario, escriba el nombre principal del usuario para SCEP (por ejemplo,mail).
- En el campoDepartamento, escriba el atributo del departamento de cada usuario.
- En el campoCargo, escriba el atributo del cargo de cada usuario.
- Si desea sincronizar campos adicionales del directorio LDAP, seleccione la casilla de verificaciónSincronizar detalles adicionales del usuario. Escriba los atributos de los campos adicionales según sea necesario.
- Para activar los grupos vinculados a directorios en la conexión de directorio, seleccione la casilla de verificaciónPermitir los grupos vinculados a directorios.
- En el campoBase de búsqueda de grupos, escriba el valor que desea utilizar como DN de base para las búsquedas de información de grupos.
- En el campoFiltro de búsqueda LDAP de grupos, escriba el filtro de búsqueda LDAP que se requiere para encontrar objetos de grupos en el directorio de la empresa. Por ejemplo, paraIBM Domino Directory, escriba(objectClass=dominoGroup).
- En el campoIdentificador exclusivo de grupo, escriba el atributo del identificador exclusivo de cada grupo. Este atributo debe ser invariable y exclusivo globalmente (por ejemplo,cn).
- En el campoNombre para mostrar del grupo, escriba el atributo de nombre para mostrar de cada grupo (por ejemplocn).
- En el campoAtributo de pertenencia al grupo, escriba el nombre del atributo de pertenencia al grupo. Los valores del atributo deben estar en formato DN (por ejemplo,CN=jsmith,CN=Users,DC=example,DC=com).
- En el campoProbar nombre de grupo, escriba el nombre de un grupo actual para validar los atributos de grupo especificados.
- Si desea habilitar la búsqueda paginada para los miembros del grupo, seleccione la casilla de verificaciónHabilitar búsqueda de grupo paginada.
- Haga clic enGuardar.
- Haga clic enCerrar.
- Haga cualquiera de las siguientes tareas opcionales:
- Si elimina una conexión a un directorio, todos los usuarios que se añadieron aUEMdesde ese directorio se convertirán en usuarios locales. Una vez que los usuarios se convierten en usuarios locales, no se pueden volver a convertir en usuarios vinculados a directorios, ni siquiera si posteriormente vuelve a agregar la conexión al directorio de la empresa. Los usuarios seguirán funcionando como usuarios locales, peroUEMno podrá sincronizar las actualizaciones desde el directorio de la empresa.