您可以使用本地用户帐户、由 VMware Identity Manager (vIDM) 管理的用户帐户或由目录服务(如基于 LDAP 的 Active Directory 或 OpenLDAP)管理的用户帐户登录 NSX Manager。从 NSX 4.1.2 开始,您可以通过使用 VMware Cloud Foundation SDDC Manager 将 NSX 连接到 Workspace ONE Access Broker,以将 VMware vCenter 用作外部身份提供程序。您还可以为由 vIDM、OpenID Connect 或目录服务管理的用户帐户分配角色以实施基于角色的访问控制。
NSX Manager 仅识别系统生成的会话标识符,并在管理员注销或其他会话终止后使会话标识符失效。在成功登录后,NSX Manager 使用随机数生成器创建一个随机会话 ID,并将该 ID 存储在内存中。在客户端向 NSX Manager 发出请求时,只有在它们提供的会话 ID 与服务器生成的某个 ID 匹配时,它才允许客户端进行身份验证。在任何用户从 NSX Manager 注销时,将立即销毁会话标识符而无法重复使用。
通过 UI、API 和 CLI 访问 NSX Manager 需要进行身份验证和授权。此外,此类访问将生成审核日志。默认情况下,将启用这种日志记录,并且无法将其禁用。会话审核是在系统启动时启动的。审核日志消息在日志消息的结构化数据部分中包含 audit="true"
文本。
NSX 设备上的本地用户密码是使用在 /etc/shadow 中存储哈希和加密盐表示形式的默认 Linux/PAM 库保护的。NSX Manager 使用 SHA512 加密哈希算法对本地用户密码进行哈希处理。在身份验证过程中,将对用户输入的密码进行模糊处理。其他密码是使用本地文件系统中存储的随机密钥进行加密的。有关更多详细信息,请参见 VMware 安全强化指南,或者查看 SHA512 Ubuntu MAN 页面以及标题为“了解 Linux 上的 /etc/shadow 文件格式”的 Internet 常见问题解答。