如果您的管理用户帐户在 LDAP 标识源(Active Directory 或 OpenLDAP)中维护,则可以配置 SDDC NSX Manager,使 LDAP 用户能够使用您在 NSX Manager 中为其帐户或 LDAP 组分配的角色访问 NSX

在大多数情况下,设置 LDAP 服务后,只需将 NSX Manager 指向端口 389 (LDAP) 或 636 (LDAPS) 上的任何域控制器。

如果使用 Active Directory (AD),并且 AD 林由多个子域组成,则应该将 NSX Manager 指向 AD 全局目录 (Global Catalog, GC),并将每个子域配置为 NSX 中的备用域名。全局目录服务通常在主 AD 域控制器上运行,并且是所有主域和辅助域中最重要信息的只读副本。GC 服务在端口 3268(纯文本)和 3269(LDAP over TLS,已加密)上运行。

例如,如果您的主域为“example.com”,并且您具有子域“americas.example.com”和“emea.example.com”,则应执行以下操作:
  1. NSX Manager 配置为使用端口 3268 上的 LDAP 协议或端口 3269 上的 LDAPS 协议。
  2. NSX LDAP 配置中添加备用域名“americas.example.com”和“emea.example.com”。
位于任一子域中的用户必须使用包含相应域的登录名进行登录。例如,位于 emea.example.com 域中的用户“john”必须使用“john@emea.example.com”用户名进行登录。

前提条件

必须将 SDDC NSX Manager 配置为使用目录服务(例如,基于 LDAP 的 Active Directory 或 OpenLDAP)对用户进行身份验证,并且能够通过管理网关防火墙访问 LDAP 标识源。请参见《NSX 管理指南》中的 LDAP 标识源

过程

  1. 登录到 VMware Cloud Services (https://vmc.vmware.com)。
  2. 单击清单 > SDDC,然后选择一个 SDDC 卡视图并单击打开 NSX MANAGER,以通过其默认公用 IP 地址打开本地 NSX Manager。您将使用 VMware Cloud on AWS 凭据登录到 NSX。有关从 VMware Cloud 控制台连接到 NSX Manager 时可能需要的防火墙规则的详细信息,请参见打开 NSX Manager
  3. NSX Manager LDAP 标识源分配 NSX 角色。
    NSX Manager UI 中,单击 系统 > 用户管理。在“用户角色分配”选项卡中,单击 为 LDAP 用户添加角色,然后选择要搜索的 LDAP 域。
  4. 为 LDAP 用户或组指定 NSX 角色。
    1. 输入用户或组名称的前几个字符以搜索 LDAP 目录,然后从显示的列表中选择一个用户或组。
    2. 设置角色/范围页面上,为用户或组分配 NSX 角色。
      可以分配以下任一 NSX 角色:
      云管理员
      此角色可以执行与 NSX 服务部署和管理相关的所有任务。
      云操作员
      此角色可以查看 NSX 服务设置和事件,但无法对服务进行任何更改。
      无法在此处分配其他角色。
    3. 单击应用
    4. 单击保存

结果

具有 NSX 角色的 LDAP 组成员可以使用以下工作流通过其 LDAP 凭据登录到 NSX Manager 专用 URL。

在 SDDC 设置选项卡上,导航到 NSX 信息,然后展开 NSX Manager URL。单击专用 URL (通过 NSX Manager 凭据登录) 下显示的链接并提供您的 LDAP 凭据。