NSX Manager 充当 LDAP 客户端,并与 LDAP 服务器进行交互。

可为用户身份验证配置三个标识源。当用户登录 NSX Manager 时,将根据用户域对应的 LDAP 服务器对用户进行身份验证。作为响应,LDAP 服务器将返回身份验证结果以及用户组信息。成功通过身份验证后,系统会为用户分配与他们所属的组对应的角色。

在与 Active Directory 集成时,NSX Manager允许用户使用其 samAccountName 或 userPrincipalName 登录。如果 userPrincipalName 的 @domain 部分与 Active Directory 实例的域不匹配,您还应在 NSX 的 LDAP 配置中配置备用域。

在以下示例中,Active Directory 实例的域为“example.com”,samAccountName 为“jsmith”的用户的 userPrincipalName 为 John.Smith@acquiredcompany.com。如果您配置备用域“acquiredcompany.com”,则该用户可以使用 samAccountName 以“jsmith@example.com”身份登录,或者使用 userPrincipalName 以 John.Smith@acquiredcompany.com 身份登录。

以 jsmith@acquiredcompany.com 身份登录不起作用,因为 samAccountName 只能与主域一起使用。

NSX Manager 不支持负载均衡器后面有多个 LDAP 服务器,也不支持负载均衡器后面有多个 LDAPS 或 StartTLS 服务器。如果负载均衡器后面有多个 LDAP 服务器,请将 NSX 配置为直接连接到其中一个 LDAP 服务器,而不是负载均衡器虚拟 IP 地址。

过程

  1. 导航到系统 > 用户和角色 > LDAP
  2. 单击添加标识源
  3. 输入标识源的名称
  4. 输入域名。此域名必须与 Active Directory 服务器(如果使用 Active Directory)的域名相对应。
  5. 选择类型:基于 LDAP 的 Active DirectoryOpen LDAP
  6. 单击设置以配置 LDAP 服务器。每个域仅支持一个 LDAP 服务器。
    主机名/IP

    LDAP 服务器的主机名或 IP 地址。

    LDAP 协议 选择协议:LDAP(不安全)或 LDAPS(安全)。
    端口 将根据所选协议填充默认端口。如果您的 LDAP 服务器在非标准端口上运行,则可以编辑此文本框以指定端口号。
    连接状态 填写必填文本框(包括 LDAP 服务器信息)后,您可以单击连接状态以测试连接。
    使用 StartTLS

    如果选择此选项,将使用 LDAPv3 StartTLS 扩展来升级连接以使用加密。要确定是否应使用此选项,请咨询您的 LDAP 服务器管理员。

    仅当选择了 LDAP 协议时,才可使用此选项。
    证书

    如果您使用 LDAPS 或 LDAP + StartTLS,此文本框应包含经过 PEM 编码的 X.509 服务器证书。如果将此文本框留空并单击检查状态链接,NSX 将连接到 LDAP 服务器。然后,NSX 会检索 LDAP 服务器的证书,并询问您是否要信任此证书。如果您确认证书正确无误,请单击确定,此时“证书”文本框中将填充检索到的证书。

    绑定身份 格式为 user@domainName,或者您也可以指定标识名。

    对于 Active Directory,您可以使用 userPrincipalName (user@domainName) 或标识名。对于 OpenLDAP,您必须提供标识名。

    此文本框为必填项,除非您的 LDAP 服务器支持匿名绑定,在这种情况下,此文本框是可选的。如果您不确定,请咨询您的 LDAP 服务器管理员。

    密码 输入 LDAP 服务器的密码。

    此文本框为必填项,除非您的 LDAP 服务器支持匿名绑定,在这种情况下,此文本框是可选的。请咨询您的 LDAP 服务器管理员以了解具体信息。

  7. 单击添加
  8. 输入基本 DN
    要添加 Active Directory 域,需要提供基本标识名(基本 DN)。基本 DN 是 LDAP 服务器在 Active Directory 域中搜索用户身份验证时使用的起点。例如,如果您的域名为 corp.local,则 Active Directory 的基本 DN 的 DN 将为“DC=corp,DC=local”。

    对于要用于控制对 NSX-T Data Center 的访问权限的所有用户和组条目,必须将其包含在根为指定基本 DN 的 LDAP 目录树内。如果设置的基本 DN 过于具体(如 LDAP 树中处于较深层级的组织单位),则 NSX 可能无法找到定位用户并确定组成员资格所需的条目。如果您不确定,最佳做法是选择一个宽泛的基本 DN。

  9. 您的 NSX-T Data Center 最终用户现在可以使用登录名,后跟 @ 和 LDAP 服务器的域名登录,user_name@domain_name

后续步骤

为用户或组分配角色。请参见添加角色分配或主体身份