NSX Manager 充当 LDAP 客户端,并与 LDAP 服务器进行交互。
可为用户身份验证配置三个标识源。当用户登录 NSX Manager 时,将根据用户域对应的 LDAP 服务器对用户进行身份验证。作为响应,LDAP 服务器将返回身份验证结果以及用户组信息。成功通过身份验证后,系统会为用户分配与他们所属的组对应的角色。
在与 Active Directory 集成时,NSX Manager允许用户使用其 samAccountName 或 userPrincipalName 登录。如果 userPrincipalName 的 @domain 部分与 Active Directory 实例的域不匹配,您还应在 NSX 的 LDAP 配置中配置备用域。
在以下示例中,Active Directory 实例的域为“example.com”,samAccountName 为“jsmith”的用户的 userPrincipalName 为 [email protected]。如果您配置备用域“acquiredcompany.com”,则该用户可以使用 samAccountName 以“[email protected]”身份登录,或者使用 userPrincipalName 以 [email protected] 身份登录。
以
[email protected] 身份登录不起作用,因为 samAccountName 只能与主域一起使用。
注:
全局管理器(
NSX 联合)上不支持 LDAP 集成
NSX Manager 不支持负载均衡器后面有多个 LDAP 服务器,也不支持负载均衡器后面有多个 LDAPS 或 StartTLS 服务器。如果负载均衡器后面有多个 LDAP 服务器,请将 NSX 配置为直接连接到其中一个 LDAP 服务器,而不是负载均衡器虚拟 IP 地址。
过程
- 导航到。
- 单击添加标识源。
- 输入标识源的名称。
- 输入域名。此域名必须与 Active Directory 服务器(如果使用 Active Directory)的域名相对应。
- 选择类型:基于 LDAP 的 Active Directory 或 Open LDAP。
- 单击设置以配置 LDAP 服务器。每个域仅支持一个 LDAP 服务器。
|
|
主机名/IP |
LDAP 服务器的主机名或 IP 地址。 |
LDAP 协议 |
选择协议:LDAP(不安全)或 LDAPS(安全)。 |
端口 |
将根据所选协议填充默认端口。如果您的 LDAP 服务器在非标准端口上运行,则可以编辑此文本框以指定端口号。 |
连接状态 |
填写必填文本框(包括 LDAP 服务器信息)后,您可以单击连接状态以测试连接。 |
使用 StartTLS |
如果选择此选项,将使用 LDAPv3 StartTLS 扩展来升级连接以使用加密。要确定是否应使用此选项,请咨询您的 LDAP 服务器管理员。 仅当选择了 LDAP 协议时,才可使用此选项。 |
证书 |
如果您使用 LDAPS 或 LDAP + StartTLS,此文本框应包含经过 PEM 编码的 X.509 服务器证书。如果将此文本框留空并单击检查状态链接,NSX 将连接到 LDAP 服务器。然后,NSX 会检索 LDAP 服务器的证书,并询问您是否要信任此证书。如果您确认证书正确无误,请单击确定,此时“证书”文本框中将填充检索到的证书。 |
绑定身份 |
格式为 user@domainName,或者您也可以指定标识名。 对于 Active Directory,您可以使用 userPrincipalName (user@domainName) 或标识名。对于 OpenLDAP,您必须提供标识名。 此文本框为必填项,除非您的 LDAP 服务器支持匿名绑定,在这种情况下,此文本框是可选的。如果您不确定,请咨询您的 LDAP 服务器管理员。 |
密码 |
输入 LDAP 服务器的密码。 此文本框为必填项,除非您的 LDAP 服务器支持匿名绑定,在这种情况下,此文本框是可选的。请咨询您的 LDAP 服务器管理员以了解具体信息。 |
- 单击添加。
- 输入基本 DN。
要添加 Active Directory 域,需要提供基本标识名(基本 DN)。基本 DN 是 LDAP 服务器在 Active Directory 域中搜索用户身份验证时使用的起点。例如,如果您的域名为 corp.local,则 Active Directory 的基本 DN 的 DN 将为“DC=corp,DC=local”。
对于要用于控制对 NSX-T Data Center 的访问权限的所有用户和组条目,必须将其包含在根为指定基本 DN 的 LDAP 目录树内。如果设置的基本 DN 过于具体(如 LDAP 树中处于较深层级的组织单位),则 NSX 可能无法找到定位用户并确定组成员资格所需的条目。如果您不确定,最佳做法是选择一个宽泛的基本 DN。
- 您的 NSX-T Data Center 最终用户现在可以使用登录名,后跟 @ 和 LDAP 服务器的域名登录,user_name@domain_name 。
下一步做什么
为用户或组分配角色。请参见添加角色分配或主体身份。