NSX Manager 充当 LDAP 客户端,并与 LDAP 服务器进行交互。

可为用户身份验证配置三个标识源。当用户登录 NSX Manager 时,将根据用户域对应的 LDAP 服务器对用户进行身份验证。作为响应,LDAP 服务器将返回身份验证结果以及用户组信息。成功通过身份验证后,系统会为用户分配与他们所属的组对应的角色。

在与 Active Directory 集成时,NSX Manager允许用户使用其 samAccountName 或 userPrincipalName 登录。如果 userPrincipalName 的 @domain 部分与 Active Directory 实例的域不匹配,您还必须在 NSX 的 LDAP 配置中配置备用域。

在以下示例中,Active Directory 实例的域为“example.com”,samAccountName 为“jsmith”的用户的 userPrincipalName 为 [email protected]。如果您配置备用域“acquiredcompany.com”,则该用户可以使用 samAccountName 以“[email protected]”身份登录,或者使用 userPrincipalName 以 [email protected] 身份登录。如果 userPrincipalName 没有 @domain 部分,则用户将无法登录。

[email protected] 身份登录不起作用,因为 samAccountName 只能与主域一起使用。

NSX 只能使用 LDAP 简单身份验证向 Active Directory 或 OpenLDAP 进行身份验证。不支持 NTLM 和 Kerberos 身份验证。

过程

  1. 导航到 系统 > 用户管理 > LDAP
  2. 单击添加标识源
  3. 输入标识源的名称
  4. 输入域名。此域名必须与 Active Directory 服务器(如果使用 Active Directory)的域名相对应。
  5. 选择类型:基于 LDAP 的 Active DirectoryOpen LDAP
  6. 单击设置以配置 LDAP 服务器。最多可以向每个域添加三个 LDAP 服务器以作为故障切换备用。
    主机名/IP

    LDAP 服务器的主机名或 IP 地址。

    LDAP 协议 选择协议:LDAP(不安全)或 LDAPS(安全)。
    端口 将根据所选协议填充默认端口。如果 LDAP 服务器在非标准端口上运行,您可以编辑此文本框以提供端口号。
    连接状态 填写必填文本框(包括 LDAP 服务器信息),然后单击连接状态以测试连接。
    使用 StartTLS

    如果选择此选项,将使用 LDAPv3 StartTLS 扩展来升级连接以使用加密。要确定是否使用此选项,请咨询您的 LDAP 服务器管理员。

    仅当选择了 LDAP 协议时,才可使用此选项。
    证书
    • 如果使用 LDAPS 或 LDAP + StartTLS,请在文本框中输入服务器的 PEM 编码 X.509 证书。

      如果将此文本框留空并单击检查状态链接,NSX 将连接到 LDAP 服务器。然后,NSX 将检索 LDAP 服务器的证书,并询问您是否要信任该证书。如果确认证书正确无误,请单击确定。证书文本框中将填充检索到的证书。

    • 如果您的主机名/IP 是 L4 负载均衡器 VIP,则 VIP 后面的 LDAP 服务器必须提供由同一证书颁发机构 (CA) 签名的证书。您必须输入对证书进行签名的 CA 的 PEM 编码 X.509 证书。

      如果未输入 CA 的证书,NSX 将提示您接受其中一个 LDAP 服务器的证书,也就是负载均衡器随机选择的证书。如果服务器提供完整的信任链,包括签署池中其他服务器证书的 CA 的证书,则在路由到其他服务器时,LDAP 连接将正常工作。如果最初提供的证书不包含 CA 证书,则其他 LDAP 服务器提供的证书将被拒绝。

      因此,您必须输入对不同 LDAP 服务器提供的所有证书进行签名的 CA 的证书。

    • 如果 LDAP 服务器位于 L4 负载均衡器 VIP 后面,NSX 将支持由不同 CA 签名的 LDAP 服务器的证书,但前提是这些 CA 从属于同一根 CA。在这种情况下,您必须将根 CA 证书添加到 NSX LDAP 配置中的证书字段
    绑定身份 输入格式 user@domainName,或者您也可以指定标识名。

    对于 Active Directory,请使用 userPrincipalName (user@domainName) 或标识名。对于 OpenLDAP,您必须提供标识名。

    此文本框为必填项,除非您的 LDAP 服务器支持匿名绑定,在这种情况下,此文本框是可选的。如果您不确定,请咨询您的 LDAP 服务器管理员。

    密码 输入 LDAP 服务器的密码。

    此文本框为必填项,除非您的 LDAP 服务器支持匿名绑定,在这种情况下,此文本框是可选的。请咨询您的 LDAP 服务器管理员以了解具体信息。

  7. 单击添加
  8. 输入基本 DN
    要添加 Active Directory 域,需要提供基本标识名(基本 DN)。基本 DN 是 LDAP 服务器在 Active Directory 域中搜索用户身份验证时使用的起点。例如,如果您的域名为 corp.local,则 Active Directory 的基本 DN 的 DN 将为“DC=corp,DC=local”。

    对于要用于控制对 NSX 的访问权限的所有用户和组条目,必须将其包含在根为指定基本 DN 的 LDAP 目录树内。如果设置的基本 DN 过于具体(如 LDAP 树中处于较深层级的组织单位),则 NSX 可能无法找到定位用户并确定组成员资格所需的条目。如果您不确定,最佳做法是选择一个宽泛的基本 DN。

  9. 您的 NSX 最终用户现在可以使用登录名,后跟 @ 和 LDAP 服务器的域名登录,user_name@domain_name

下一步做什么

为用户或组分配角色。请参见添加角色分配或主体身份