在 NSX-T Data Center 3.1 中,您可以使用本地用户帐户、由 VMware Identity Manager (vIDM) 管理的用户帐户或由目录服务(如基于 LDAP 的 Active Directory 或 OpenLDAP)管理的用户帐户登录到 NSX Manager。您还可以为由 vIDM 或目录服务管理的用户帐户分配角色以实施基于角色的访问控制。
此外,从 NSX-T Data Center 3.1.1 开始,引入了两个来宾用户,可以在 NSX Manager UI 中使用这些用户。
NSX Manager 仅识别系统生成的会话标识符,并在管理员注销或其他会话终止后使会话标识符失效。在成功登录后,NSX Manager 使用随机数生成器创建一个随机会话 ID,并将该 ID 存储在内存中。在客户端向 NSX Manager 发出请求时,只有在它们提供的会话 ID 与服务器生成的某个 ID 匹配时,它才允许客户端进行身份验证。在任何用户从 NSX Manager 注销时,将立即销毁会话标识符而无法重复使用。
通过 UI、API 和 CLI 访问 NSX Manager 需要进行身份验证和授权。此外,此类访问将生成审核日志。默认情况下,将启用这种日志记录,并且无法将其禁用。会话审核是在系统启动时启动的。审核日志消息在日志消息的结构化数据部分中包含 audit="true"
文本。
NSX 设备上的本地用户密码是使用在 /etc/shadow 中存储哈希和加密盐表示形式的默认 Linux/PAM 库保护的。NSX Manager 使用 SHA512 加密哈希算法对本地用户密码进行哈希处理。在身份验证过程中,将对用户输入的密码进行模糊处理。其他密码是使用本地文件系统中存储的随机密钥进行加密的。有关更多详细信息,请参见 VMware 安全强化指南,或者查看 SHA512 Ubuntu MAN 页面以及标题为“了解 Linux 上的 /etc/shadow 文件格式”的 Internet 常见问题解答。