NSX Advanced Load Balancer 支持使用轻型目录访问协议 (Lightweight Directory Access Protocol, LDAP) 的用户身份验证。LDAP 是一种访问目录服务的常用协议。目录服务是身份验证系统的面向对象的分层数据库视图。可以在身份验证配置文件中配置 LDAP 设置。

创建 LDAP 身份验证配置文件

要创建 LDAP 身份验证配置文件,请执行以下步骤。

1. 导航到模板 > 安全性 > 身份验证配置文件

2. 在常规选项卡下,输入配置文件的名称,然后选择“LDAP”作为身份验证配置文件的类型

3. 配置 LDAP 设置。

4. 配置 HTTP 身份验证设置。

5. 单击 保存

配置 LDAP 设置

1. 在“LDAP”选项卡下,单击添加以输入 LDAP 服务器 IP。

注:

对于控制器身份验证,仅当多个 LDAP 服务器属于同一集群时,才支持这些服务器。否则,控制器会尝试在第一个可访问的服务器中进行身份验证。

2. 如果需要,选择 LDAP 连接安全模式

3. 输入 NSX Advanced Load Balancer 查询 LDAP 服务器所用的端口。对 LDAP 使用端口 389,对 LDAPS (SSL) 使用 636。

注:

仅配置端口并不能确定 LDAP 安全模式是否为 LDAPS。因此,请明确选择 LDAPS 作为 LDAP 连接安全模式以确保使用安全 LDAP。

4. 在基本 DN 字段中,输入目录服务器对象层次结构中的顶级路径。

注:

使用特定的基本 DN 可以加快对 LDAP 服务器的所有查询速度,而使用通用的高级别基本 DN 可以使查询找到目录层次结构的更多部分。基本 DN 必须设置为帐户有权访问的最顶级(最通用)路径。



5. 选择 LDAP 绑定设置

管理员绑定

  • 提供的管理员帐户将用于在 LDAP 服务器中搜索用户和用户组成员资格。

注:

“管理员绑定”是推荐的 LDAP 绑定选项。

  • 输入管理员绑定 DN管理员绑定密码。使用的帐户必须具有访问权限,以便在目录树中搜索用户和用户组。

    • NSX Advanced Load Balancer 使用配置以搜索用户或组。LDAP 搜索通常要求:

    • 使用顶级目录层次结构(搜索 DN)以开始搜索。

    • 范围值会将搜索限制为以下内容之一:基本(一级深度)或整个子树。

    • 使用筛选器以仅匹配给定类或类别的条目

匿名绑定

  • 在您无权访问 LDAP 服务器上的管理员帐户时,匿名绑定是非常有用的。匿名绑定只能用于对用户进行身份验证,而不能用于对用户进行授权。

  • 要配置匿名绑定,请输入以下内容:

    • 用户 DN 模式,用于在将用户令牌替换为实际用户名后绑定 LDAP 用户。该模式必须与 LDAP 服务器中的用户记录路径相匹配。

    • 用户令牌,将在用户 DN 模式中替换为实际用户名。

    • 用户 ID 属性,这是标识单个用户记录的唯一属性。此值必须与在登录提示中所使用的用户名相匹配。

注:

使用匿名绑定的身份验证配置文件不能用于角色或租户映射。

配置了匿名绑定的 LDAP 配置文件如下所示:



6.启用 忽略推荐,以便组搜索跳过连接到另一个 LDAP 服务器的推荐链接。
注:

启用忽略推荐选项时,可以防止 LDAP 组搜索由于不必要的推荐搜索而延迟,从而加快组搜索的速度。

7. 在用户下,为登录到 NSX Advanced Load Balancer 的用户定义搜索范围。

用户搜索 DN

LDAP 用户搜索 DN 是在 LDAP 目录中搜索给定用户的根域。仅允许在此 LDAP 目录子树中存在的用户记录进行身份验证。如果未配置该值,则使用基本 DN 值。

用户搜索范围

LDAP 用户搜索范围定义从用户搜索 DN 开始搜索用户的深度。

用户 ID 属性

LDAP 用户 ID 属性是唯一标识单个用户记录的登录属性。此属性的值必须与在登录提示中所使用的用户名相匹配。

8. 在下,定义用于搜索用户组成员资格的参数。

组搜索 DN

  • LDAP 组搜索 DN 是在 LDAP 目录中搜索给定组的根域。将仅检查该 LDAP 目录子树中存在的匹配组的用户成员资格。

  • 如果未定义此值,则将使用基本 DN 值。

组搜索范围

  • 使用筛选器为从组搜索 DN 开始的组定义 LDAP 组搜索范围。

  • 可用的不同组搜索级别包括:

    • 范围基准

    • 范围一级

    • 范围子树

组筛选器

  • 搜索操作可以在搜索 DN 下找到许多不同类型的对象。指定“组筛选器”可只选取特定于该组的对象。

  • NSX Advanced Load Balancer 将用户特定的组成员资格筛选器附加到配置的组筛选器后面,以检查特定用户的组成员资格。

组成员属性

  • 输入标识每个组成员的 LDAP 组属性。

  • 例如,member 和 memberUid 是常用的属性。

为组成员属性启用完整 DN

  • 如果组成员条目具有完整 DN,而不仅仅是用户 ID 属性,请启用此选项。

  • 例如,在用户“bob”登录时,NSX Advanced Load Balancer 将配置的组筛选器 (objectClass=group) 扩展为完整筛选器,如下所示:(&(objectClass=group)(member=bob))



配置 LDAP 设置后,请配置 HTTP 身份验证选项卡下的设置。

配置 HTTP 身份验证

  1. 输入客户端用户 ID 标头名称,以在将客户端请求发送到目标服务器之前,在客户端请求中插入 HTTP 标头。该字段用于命名标头。该值是客户端的用户 ID。该相同用户 ID 值将用于填充虚拟服务日志中的用户 ID 字段。

  2. 所需的用户组成员资格下,单击添加以确定用户必须是其成员的组。每个组都由 DN 标识,例如,“cn=testgroup,ou=groups,dc=LDAP,dc=example,dc=com”。

  3. 身份验证凭据缓存过期时间字段中,指定缓存客户端身份验证时允许的最大时间长度。



  4. 单击保存完成 LDAP 身份验证配置文件创建。