您可以将 NSX Manager 配置为使用目录服务(如基于 LDAP 的 Active Directory 或 OpenLDAP)对用户进行身份验证。

如果使用 Active Directory (AD),并且 AD 林由多个子域组成,则应该将 NSX-T Data Center 指向 AD 全局目录 (Global Catalog, GC),并将每个子域配置为 NSX 中的备用域名。全局目录服务通常在主 AD 域控制器上运行,并且是所有主域和辅助域中最重要信息的只读副本。GC 服务在端口 3268(纯文本)和 3269(LDAP over TLS,已加密)上运行。

例如,如果您的主域为“example.com”,并且您具有子域“americas.example.com”和“emea.example.com”,则应执行以下操作:
  1. 将 NSX 配置为使用端口 3268 上的 LDAP 协议或端口 3269 上的 LDAPS 协议。
  2. 在 NSX LDAP 配置中添加备用域名“americas.example.com”和“emea.example.com”。
位于任一子域中的用户必须使用包含相应域的登录名进行登录。例如,位于 emea.example.com 域中的用户“john”必须使用“john@emea.example.com”用户名进行登录。

全局管理器NSX 联合)上的 LDAP 支持与本地管理器相同。LDAP 配置不会从 全局管理器 同步到 本地管理器。应为 LDAP 单独配置每个 NSX 集群。