Sie können Benutzern oder Benutzergruppen Rollen zuweisen, wenn VMware Identity Manager in NSX-T Data Center integriert ist oder wenn Sie LDAP als Authentifizierungsanbieter verwenden. Rollen können auch Prinzipalidentitäten zugewiesen werden.

Ein Prinzipal ist eine NSX-T Data Center-Komponente oder eine Drittanbieteranwendung, wie z. B. ein OpenStack-Produkt. Ein Prinzipal mit einer Prinzipalidentität kann den Identitätsnamen dazu verwenden, ein Objekt zu erstellen und sicherzustellen, dass nur eine Entität mit demselben Identitätsnamen das Objekt ändern oder löschen kann. Eine Prinzipalidentität hat folgende Attribute:
  • Name
  • Knoten-ID: Dies kann ein alphanumerischer Wert sein, der einer Prinzipalidentität zugewiesen wurde
  • Zertifikat
  • RBAC-Rolle, welche die Zugriffsrechte des Prinzipals definiert

Benutzer (lokale, Remote- oder Prinzipalidentität) mit der Enterprise-Administrator-Rolle können Objekte ändern oder löschen, die im Besitz von Prinzipalidentitäten sind. Benutzer (lokale, Remote- oder Prinzipalidentität) ohne die Enterprise-Administrator-Rolle können geschützte Objekte im Besitz von Prinzipalidentitäten weder ändern noch löschen. Ungeschützte Objekte können jedoch geändert oder gelöscht werden.

Wenn das Zertifikat eines Prinzipalidentitätsbenutzers abläuft, müssen Sie ein neues Zertifikat importieren und einen API-Aufruf durchführen, um das Zertifikat des Prinzipalidentitätsbenutzers zu aktualisieren. (Weitere Informationen finden Sie im nachfolgenden Verfahren.) Weitere Informationen zur NSX-T Data Center-API und einen Link zur API-Ressource finden Sie unter https://docs.vmware.com/de/VMware-NSX-T-Data-Center.

Das Zertifikat eines Prinzipal-Identitätsbenutzers muss die folgenden Anforderungen erfüllen:
  • SHA256-basiert.
  • RSA/DSA-Meldungsalgorithmus mit einer Schlüsselgröße von 2048 Bits oder mehr.
  • Kann kein Stammzertifikat sein.

Für LDAP konfigurieren Sie Benutzergruppen für Benutzerrollen-Zuordnungsinformationen. Die Gruppen entsprechen den Benutzergruppen, die im Active Directory (AD) angegeben sind. Um Benutzerberechtigungen für NSX zu erteilen, fügen Sie den jeweiligen Benutzer der zugeordneten Gruppe in AD hinzu.

Voraussetzungen

Sie müssen einen Authentifizierungsanbieter konfiguriert haben:

Prozedur

  1. Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
  2. Wählen Sie System > Benutzer und Rollen aus.
  3. Wählen Sie zum Zuweisen von Rollen zu Benutzern Hinzufügen > Rollenzuweisung für vIDM aus.
    1. Wählen Sie einen Benutzer oder eine Benutzergruppe aus.
    2. Wählen Sie eine Rolle aus.
    3. Klicken Sie auf Speichern.
  4. Wählen Sie zum Hinzufügen einer Prinzipalidentität Hinzufügen > Prinzipalidentität mit Rolle aus.
    1. Geben Sie einen Namen für die Prinzipalidentität ein.
    2. Wählen Sie eine Rolle aus.
    3. Geben Sie eine Knoten-ID ein.
    4. Geben Sie ein Zertifikat im PEM-Format ein.
    5. Klicken Sie auf Speichern.
  5. Wenn Sie eine Rollenzuweisung für LDAP hinzufügen möchten, wählen Sie Hinzufügen > Rollenzuweisung für LDAP aus.
    1. Wählen Sie eine Domäne aus.
    2. Geben Sie die ersten Zeichen des Benutzernamens, der Anmelde-ID oder eines Gruppennamens ein, um das LDAP-Verzeichnis zu durchsuchen. Wählen Sie dann einen Benutzer oder eine Gruppe aus der angezeigten Liste aus.
    3. Wählen Sie eine Rolle aus.
    4. Klicken Sie auf Speichern.
  6. (Optional) Wenn Sie NSX Cloud verwenden, melden Sie sich bei der CSM-Appliance statt beim NSX Manager an und wiederholen Sie die Schritte 1 bis 4.
  7. Wenn das Zertifikat für die Prinzipalidentität abläuft, führen Sie die folgenden Schritte aus:
    1. Importieren Sie ein neues Zertifikat und notieren Sie sich die ID des Zertifikats. Siehe Importieren eines Zertifikats.
    2. Rufen Sie die folgende API auf, um die ID der Prinzipalidentität zu erhalten.
      GET https://<nsx-mgr>/api/v1/trust-management/principal-identities
    3. Rufen Sie die folgende API auf, um das Zertifikat der Prinzipalidentität zu aktualisieren. Sie müssen die ID des importierten Zertifikats und die ID des Prinzipalidentitätsbenutzers angeben.
      Beispiel:
      POST https://<nsx-mgr>/api/v1/trust-management/principal-identities?action=update_certificate
      {
          "principal_identity_id": "ebd3032d-728e-44d4-9914-d4f81c9972cb",
          "certificate_id" : "abd3032d-728e-44d4-9914-d4f81c9972cc"
      }