可以配置 NSX 联合基于角色的访问控制 (Role-based Access Control, RBAC) 以仅允许授权的用户进行系统访问。对于授权的用户,NSX 联合 RBAC 的工作方式与 NSX RBAC 类似。本主题提供了 NSX 联合上的 RBAC 与特定身份验证提供程序一起使用时的一些可选配置信息。
大多数身份验证和授权任务使用NSX 管理指南的“身份验证和授权”部分下所述的相同过程。一个例外是,VMware Identity Manager™ (vIDM) 和 LDAP 配置不会从活动或备用全局管理器 (GM) 同步到本地管理器 (LM)。这要求您为 vIDM 和 LDAP 分别配置每个 GM 或 LM(NSX 集群)。还要求用户在每个 NSX 联合服务器上具有相同的角色绑定,以便进行无缝访问。
例如,如果使用
NSX 联合和 vIDM 或 LDAP 身份验证,并希望使用 GM 页面中的“位置”下拉菜单在 GM 服务器和 LM 服务器之间进行切换,请确保完成以下简要任务,以便正确设置配置。这些配置任务可帮助使用 vIDM 和 LDAP 身份验证提供程序的用户避免出现用户权限错误消息。
任务 | 转到 |
---|---|
在活动和备用全局管理器服务器上分别配置 vIDM 或 LDAP。 | |
在每个本地管理器服务器上配置 vIDM 或 LDAP。 | |
确保要使用“位置”下拉菜单在 GM 和 LM 服务器之间进行切换的用户在 GM 和 LM 服务器上具有相同的用户角色。如果用户在 GM 上具有角色,但在 LM 上没有角色,用户可能会看到权限错误,例如“用户无权使用任何功能”(The user does not have permission on any feature)。 |
要确保“位置”下拉菜单允许用户在 GM 服务器和 LM 服务器之间切换,在将 LM 服务器上的用户角色从只读角色更新为写入或镜像 GM 角色后,请确认任务已完成。有关详细信息,请转到使用全局管理器和本地管理器 Web 界面和监控 NSX 联合位置。