您可以将 NSX Manager 配置为使用目录服务(如基于 LDAP 的 Active Directory 或 OpenLDAP)对用户进行身份验证。

如果使用 Active Directory (AD),并且 AD 林由多个子域组成,则应该将 NSX-T Data Center 指向 AD 全局目录 (Global Catalog, GC),并将每个子域配置为 NSX 中的备用域名。全局目录服务通常在主 AD 域控制器上运行,并且是所有主域和辅助域中最重要信息的只读副本。GC 服务在端口 3268(纯文本)和 3269(LDAP over TLS,已加密)上运行。

例如,如果您的主域为“example.com”,并且您具有子域“americas.example.com”和“emea.example.com”,则应执行以下操作:
  1. 将 NSX 配置为使用端口 3268 上的 LDAP 协议或端口 3269 上的 LDAPS 协议。
  2. 在 NSX LDAP 配置中添加备用域名“americas.example.com”和“emea.example.com”。
位于任一子域中的用户必须使用包含相应域的登录名进行登录。例如,位于 emea.example.com 域中的用户“john”必须使用“john@emea.example.com”用户名进行登录。
注: 如果要配置活动和备用全局管理器,则需要确保对活动和备用全局管理器上的 LDAP 标识源使用相同的名称。在 添加标识源屏幕上,活动和备用全局管理器的 名称字段必须相同。如果名称不相同,备用全局管理器上的 LDAP 身份验证可能无法正常进行。