如果使用 LDAP 或 TACACS+ 远程身份验证,您可以为用户分配角色。

将根据以下情况为用户分配角色:

LDAP 组

将为任何组中的用户或者专门为属于特定组成员或不属于特定组成员的用户分配角色。

LDAP 属性

对于与 LDAP 组筛选器匹配的用户,将为具有或没有特定属性和值的用户分配角色。

映射是在 NSX Advanced Load Balancer 中配置的,而不是在 LDAP 或 TACACS+ 服务器中配置的。

要将 LDAP 或 TACACS+ 用户映射到 NSX Advanced Load Balancer 角色,请使用以下步骤。如果需要,可以为用户组名称和属性:值对的任意组合配置多个映射。

前提条件

  • NSX Advanced Load Balancer 身份验证或授权将设置为远程,并且应用 LDAP 或 TACACS+ 身份验证配置文件。

  • 对于 LDAP 映射,组名称区分大小写。

过程

  1. 导航到管理 > 设置 > 身份验证/授权
  2. 单击新建映射
  3. 为 LDAP 组选择筛选器。

    • 任意:任何 LDAP 组中的用户都与筛选器匹配。

    • 成员:用户必须是指定组的成员。如果输入多个组名称,请在名称之间使用逗号。

    • 不是成员:用户不能是指定组的成员。

  4. 为 LDAP 属性选择筛选器。

    • 任意:无论属性或其值如何,用户都匹配。

    • 包含:用户必须具有指定的属性,并且该属性必须具有指定的值之一。

    • 不包含:用户不能具有指定的属性和值。

  5. 用户角色下拉菜单中选择角色。

    • 从选择列表中:显示“角色”下拉菜单。从菜单中选择角色。

    • 全部:分配所有角色。

    • 匹配属性值:分配名称与 LDAP 服务器中的属性值匹配的角色。

    • 匹配组名称:分配名称与 LDAP 服务器上的组名称匹配的角色。

  6. 如果使用多租户,也可以将用户映射到租户。请参阅租户设置
  7. 单击保存

结果

新映射显示在租户和角色映射表中。