Zuweisen von NSX-Rollen aus einer LDAP-Identitätsquelle

Wenn Ihre Administratorbenutzerkonten in einer LDAP-Identitätsquelle (Active Directory oder OpenLDAP) verwaltet werden, können Sie den SDDC NSX Manager so konfigurieren, dass LDAP-Benutzer auf NSX mit Rollen, die Sie ihrem Konto oder ihrer LDAP-Gruppe in NSX Manager zuweisen, zugreifen können.

In den meisten Fällen müssen Sie nach dem Einrichten des LDAP-Diensts nur NSX Manager auf einen beliebigen Domänencontroller an Port 389 (LDAP) oder 636 (LDAPS) verweisen.

Wenn Sie Active Directory (AD) verwenden und Ihre AD-Gesamtstruktur aus mehreren Unterdomänen besteht, sollten Sie NSX Manager auf Ihren globalen AD-Katalog (AD Global Catalog, GC) verweisen lassen und jede Unterdomäne als alternativen Domänennamen in NSX konfigurieren. Der globale Katalogdienst wird in der Regel auf Ihren primären AD-Domänencontrollern ausgeführt und ist eine schreibgeschützte Kopie der wichtigsten Informationen aus allen primären und sekundären Domänen. Der GC-Dienst wird an Port 3268 (Klartext) und Port 3269 (LDAP über TLS, verschlüsselt) ausgeführt.

Wenn Ihre primäre Domäne beispielsweise „example.com“ ist und Sie die Unterdomänen „americas.example.com“ und „emea.example.com“ besitzen, gehen Sie wie folgt vor:

Konfigurieren Sie NSX Manager entweder für die Verwendung des LDAP-Protokolls an Port 3268 oder für die Verwendung des LDAPS-Protokolls an Port 3269.
Fügen Sie der NSX-LDAP-Konfiguration die alternativen Domänennamen „americas.example.com“ und „emea.example.com“ hinzu.

Benutzer in einer der Unterdomänen müssen bei der Anmeldung in ihrem Anmeldenamen die entsprechende Domäne angeben. Beispiel: Benutzer „john“ in der Domäne emea.example.com muss sich mit dem Benutzernamen „[email protected]“ anmelden.

Voraussetzungen

Der SDDC NSX Manager muss so konfiguriert sein, dass Benutzer mithilfe eines Verzeichnisdiensts wie Active Directory über LDAP oder OpenLDAP authentifiziert werden und über die Verwaltungs-Gateway-Firewall auf Ihre LDAP-Identitätsquelle zugreifen können. Weitere Informationen finden Sie unter LDAP-Identitätsquelle im Administratorhandbuch für NSX.

Prozedur

Melden Sie sich unter https://vmc.vmware.com bei VMware Cloud Services an.
Klicken Sie auf Bestandsliste > SDDCs, wählen Sie dann eine SDDC-Karte aus und klicken Sie auf NSX MANAGER ÖFFNEN, um den lokalen NSX Manager unter seiner standardmäßigen öffentlichen IP-Adresse zu öffnen. Sie sind mit Ihren VMware Cloud on AWS-Anmeldedaten bei NSX Manager angemeldet. Unter NSX Manager öffnen finden Sie weitere Informationen zu Firewallregeln, die zur Herstellung einer Verbindung zu NSX Manager über die VMware Cloud-Konsole möglicherweise erforderlich sind.
Weisen Sie NSX-Rollen aus der NSX Manager-LDAP-Identitätsquelle zu.
Klicken Sie in der NSX Manager-Benutzeroberfläche auf System > Benutzerverwaltung. Klicken Sie auf der Registerkarte „Benutzerrollenzuweisung“ auf ROLLE FÜR LDAP-BENUTZER HINZUFÜGEN und wählen Sie eine zu durchsuchende LDAP-Domäne aus.
Geben Sie NSX-Rollen für den LDAP-Benutzer oder die LDAP-Gruppe an. Geltungsbereiche.
1. Geben Sie die ersten Zeichen eines Benutzer- oder Gruppennamens ein, um das LDAP-Verzeichnis zu durchsuchen. Wählen Sie dann aus der angezeigten Liste einen Benutzer oder eine Gruppe aus.
2. Weisen Sie auf der Seite Rollen/Geltungsbereich festlegen dem Benutzer oder der Gruppe eine NSX-Rolle zu.
  Sie können eine der folgenden NSX-Rollen zuweisen:
  
  Cloud-Administrator
  
  Diese Rolle darf alle Aufgaben ausführen, die in Zusammenhang mit der Bereitstellung und der Verwaltung des NSX-Diensts stehen.
  
  Cloud Operator
  
  Diese Rolle darf NSX-Diensteinstellungen und -ereignisse anzeigen, darf jedoch keine Änderungen an dem Dienst vornehmen.
  
  Hier können keine anderen Rollen zugewiesen werden.
3. Klicken Sie auf ÜBERNEHMEN.
4. Klicken Sie auf SPEICHERN.

Ergebnisse

LDAP-Gruppenmitglieder mit NSX-Rollen können diesen Workflow verwenden, um sich mit ihren LDAP-Anmeldedaten bei der privaten NSX Manager-URL anzumelden.

Navigieren Sie auf der SDDC-Registerkarte Einstellungen zu NSX-Informationen und erweitern Sie NSX Manager-URLs. Klicken Sie auf den Link, der unterhalb von Private URL (mit NSX Manager-Anmeldedaten anmelden) angezeigt wird, und geben Sie Ihre LDAP-Anmeldedaten ein.