使用 SSL VPN-Plus 选项卡上的身份验证屏幕为 Edge 网关 SSL VPN 服务设置本地身份验证服务器并(可选)启用客户端证书身份验证。VMware Cloud Director 将使用此身份验证服务器对连接的用户进行身份验证。将对本地身份验证服务器中配置的所有用户进行身份验证。
您只能在 Edge 网关上配置一个本地 SSL VPN-Plus 身份验证服务器。如果单击 + 本地并指定其他身份验证服务器,则尝试保存配置时会显示一条错误消息。
通过 SSL VPN 进行身份验证的最长时间为三 (3) 分钟。此最大值由非身份验证超时确定,该超时值默认为 3 分钟且无法进行配置。因此,如果您一连串的授权中有多个身份验证服务器,且用户身份验证用时超过 3 分钟,那么将不会对该用户进行身份验证。
前提条件
- 在 VMware Cloud Director Tenant Portal中导航到 NSX Data Center for vSphere Edge 网关的“SSL-VPN Plus”屏幕。
- 在 VMware Cloud Director Tenant Portal 中添加专用网络以与 NSX Data Center for vSphere Edge 网关上的 SSL VPN-Plus 配合使用。
- 如果您打算启用客户端证书身份验证,请确认已将 CA 证书添加到 Edge 网关。请参见使用 VMware Cloud Director Tenant Portal 将 CA 证书添加到 Edge 网关进行 SSL 证书信任验证。
过程
- 单击 SSL VPN-Plus 选项卡和身份验证。
- 单击本地。
- 配置身份验证服务器设置。
- (可选) 启用和配置密码策略。
选项 描述 启用密码策略 启用您在此处配置的密码策略设置的实施。 密码长度 输入密码长度允许的最少和最多字符数。 最少字母数 (可选)键入密码中需要的最少字母字符数。 最少数字数 (可选)键入密码中需要的最少数字字符数。 最少特殊字符数 (可选)键入密码中需要的最少特殊字符数,如与号 (&)、井号 (#)、百分号 (%) 等。 密码不应包含用户 ID (可选)启用后可以强制密码不得包含用户 ID。 密码到期时间 (可选)键入用户必须更改密码前密码可存在的最大天数。 到期通知时间 (可选)键入密码到期时间前的天数,在该日期会向用户发送密码即将到期通知。 - (可选) 启用和配置帐户锁定策略。
选项 描述 启用帐户锁定策略 启用您在此处配置的帐户锁定策略设置的实施。 重试次数 输入用户可以尝试访问其帐户的次数。 重试持续时间 输入登录尝试失败后锁定用户帐户的时间段(以分钟为单位)。 例如,如果将重试次数指定为 5,将重试持续时间指定为 1 分钟,则当用户在 1 分钟内尝试登录 5 次均失败后,其帐户将被锁定。
锁定持续时间 输入用户帐户保持锁定的时间段。 在此时间过后,该帐户将自动解锁。
- 在“状态”部分中,启用此身份验证服务器。
- (可选) 配置辅助身份验证。
选项 描述 使用此服务器进行辅助身份验证 (可选)指定是否使用此服务器作为第二级身份验证。 如果身份验证失败,则终止会话 (可选)指定在身份验证失败时是否结束 VPN 会话。 - 单击保留。
- (可选) 启用和配置密码策略。
- (可选) 要启用客户端证书身份验证,请单击更改证书,然后打开启用开关,选择要使用的 CA 证书并单击确定。
下一步做什么
将本地用户添加到本地身份验证服务器,以便他们可以使用 SSL VPN-Plus 连接。请参见使用 VMware Cloud Director Tenant Portal将 SSL VPN-Plus 用户添加到 NSX Data Center for vSphere Edge 网关上的本地 SSL VPN-Plus 身份验证服务器。
创建包含 SSL 客户端的安装软件包,以便远程用户可以在自己的本地系统上进行安装。请参见使用 VMware Cloud Director Tenant Portal在 NSX Data Center for vSphere Edge 网关上添加 SSL VPN-Plus 客户端安装软件包。
