VMware vIDM与NSX，vRops, vRLI, vRNI的相互关联及配置（其二）

下面我们初始化vIDM，可以去VMware官网下载，也可以选择我分享的组件来完成搭建。本片分为两部分，第一部分是安装，第二部分是初始化。

第一部分、vIDM的安装

组件的全名为VMware Identity Manager 3.3.7 (for vRA, vRops, vRLI, vRB, vRNI, NSX only)，切记跟workspace one是两回事，具体查看上一篇说明。

https://cowtransfer.com/s/f4dbd73618e647 点击链接查看 [ identity-manager-3.3.7.0-21173100_OVF10.ova ] ，或访问奶牛快传 cowtransfer.com 输入传输口令 oxxw59 查看；

由于是OVA格式的文件，整个安装的过程比较简单。

1、选择一台有资源的主机节点，点击右键，选择部署OVF模版。

2、选择本地文件，上传下载的文件。

3、起一个虚拟机的名字，选择vIDM出生在哪个文件夹中。

4、选择vIDM出生在哪个vApp中。

5、确定所安装的vIDM的版本

6、勾选协议，点击下一步。

7、选择规模，由于vIDM只负责vmware内部的管理平台之间的互联，所匹配的资源不用很多。

8、选择vIDM出生的磁盘位置。

9、选择vIDM的管理网络。网络需要与域控，DNS以及vmware之间的管理组件互通。

10、选择时区，选择亚洲，香港。并且取消CEIP计划

11、设置重要参数

                设置主机名，必须是FQDN，vIDM必须采用域名解析的方式。例如vidm.abc.local

              设置默认网关。                                                                          例如192.168.1.1

              设置域名，域名与主机名相同即可。                                           例如vidm.abc.local

               设置域搜索路径                                                                          例如abc.local

                设置DNS                                                                                     例如192.168.1.2

                设置vIDM ip地址                                                                        例如192.168.1.3

                设置子网掩码                                                                        例如255.255.255.0

vIDM的运行机制是与域强关联的，所有所有信息必须准确无误，否则初始化会失败，英雄给重新来过。

12、确认配置信息，无误后点击完成

13、vCenter会完成OVA的上传

14、点击开机，vIDM会自动完成安装部署

15、经过几分钟的等待，vIDM完成了安装，下面来进行初始化

第二章、vIDM的初始化

1、根据安装结束的指示，我们需要使用浏览器登录来完成最后的配置。

设置admin、root以及sshuser三个管理员的密码，这三个密码后面都会用到，请记住。

2、域名解析的设置

之前提示过各位小伙伴，vIDM是与域强关联的，如果我们用ip地址登录的话，你会发现在初始化的第二步，系统会强制让你是用域名来完成初始化，否则进行不下去。

登录到DNS上，完成对vIDM的域名解析

测试，并且解析成功。

使用域名重新登录后继续初始化

3、耐心等待

4、登录

使用admin登录到web界面，此处就到了vIDM的水晶所在，但是不意味至这里是整个配置的核心，其实vIDM是作为协调和颁布临时授权令牌的机构，所以这里面的配置需要结合域控以及vmware的管理组件中账户管理中的设置。初来乍到，能过初始化到这的小伙伴可以多点点，多熟悉熟悉，但是就是上一篇提到过的，在vIDM这个版本的workspace中，绝大部分功能都被阉割掉了，你点着点着就会发现，有报错，这是正常现象，因为vIDM的唯一作用就是在统一vmware管理平台的入口。

5、设置vIDM与域控之间的关联

这里花开两朵各表一枝，DNS需要先进行规划和梳理

5.1、DNS的设置

DNS中需要规划和设计出用来访问VMware管理平台的用户，比如通常情况下我们用来访问vCenter的用户是administrator@vsphere.local，用来访问NSX的用户是admin，而vIDM是帮助我们管理员区分不同权限的人进入平台，所做的操作留痕到相关人员以及在一次登录后可以方便快捷的穿梭在各个平台中，无需重复输入密码的机制，那么我们需要在DNS中设置相应的组织单位-组-联系人。

这里我借用了Horzion里已经设置过的相应管理人员的组织架构。

按照外国人的标准，那么我们的基础组织单位的地址是ou=team,dc=abc,dc=local。像这样我们需要把平时涉及到的运维人员加入到这个目录下

5.2、vIDM的设置

选择身份和访问管理-目录-添加目录，选择添加通过LDAP访问的Active Dirctory

添写名字

其他保持默认

在这里基本DN，指的是需要访问vmware各个管理平台的管理员所在的组织单位地址，也就是5.1中我们设置的目录。当然我们也可以采用非常偷懒的方式，那就是填写整个域，dc=abc,dc=local

绑定DN，指的是vIDM需要一个拥有读取域组织架构权限的用户来获得基本DN信息的帐号，这里我们可以使用域的管理员，cn=administrator,cn=users,dc=abc,dc=local

默认，下一步

默认，下一步

这里需要我们填写的地址，要求我们指定到组DN，也就是cn=yunwei,ou=team,dc=abc,dc=local

同样我们还是可以继续偷懒，在这里填写域的全局，dc=abc,dc=local，再点击查找组，之后系统会列出域内所有组的，勾选我们刚刚建立的组即可。

下面不要着急点同步目录，先设置限vIDM与域控同步目录的频率，默认是一周一次，这样的速度显然是不符合实际需要求，点击编辑。

选择每15分钟，点击保存

这时候我们发现，系统提示频率改为15分钟，之后我们点击同步目录。

稍等片刻，刷新，就会发现目录已经顺利同步到了vIDM中了。

同时可以检查下身份提供程序一同生成了。

如果你能够坚持到了这里，那么恭喜你，vIDM的平台基本已经搭建成功，接下来就是与NSX，vRops，vRLI，vRNI之间的对接了，后面的工作相信依然不会一帆风顺，但是请相信经验丰富的将士就是会在无人的夜里独自拭好自己的武器，敢于第二天继续走进命中注定的暴风雨之中继续战斗，不要从外部世界中寻求他人的力量，只要我们内心不放弃。