In NSX-T Data Center 3.1 können Sie sich bei NSX Manager mit einem lokalen Benutzerkonto, einem von VMware Identity Manager (vIDM) verwalteten Benutzerkonto oder einem von einem Verzeichnisdienst wie Active Directory über LDAP oder OpenLDAP verwalteten Benutzerkonto anmelden. Benutzerkonten, die von vIDM oder einem Verzeichnisdienst verwaltet werden, können Sie auch Rollen zuweisen, um die rollenbasierte Zugriffssteuerung zu implementieren.
Darüber hinaus wurden ab NSX-T Data Center 3.1.1 zwei Gastbenutzer eingeführt und können auf der NSX Manager-Benutzeroberfläche verwendet werden..
NSX Manager erkennt nur vom System generierte Sitzungs-IDs und betrachtet die Sitzungs-IDs bei der Abmeldung des Administrators oder einer anderen Art der Sitzungsbeendigung als ungültig. Nach erfolgreicher Anmeldung verwendet der NSX Manager einen Zufallszahlengenerator, um eine zufällige Sitzungs-ID zu erstellen und diese ID im Arbeitsspeicher zu speichern. Wenn Clients Anforderungen an die NSX Manager stellen, kann sich der Benutzer nur authentifizieren, wenn die angegebene Sitzungs-ID einer der vom Server generierten IDs entspricht. Wenn sich ein Benutzer von NSX Manager abmeldet, wird die Sitzungs-ID sofort gelöscht und kann nicht wiederverwendet werden.
Der Zugriff auf NSX Manager über Benutzeroberfläche, API und CLI unterliegt der Authentifizierung und Autorisierung. Darüber hinaus werden durch einen solchen Zugriff Überwachungsprotokolle generiert. Diese Protokollierung ist standardmäßig aktiviert und kann nicht deaktiviert werden. Die Prüfung der Sitzungen wird beim Systemstart initiiert. Überwachungsprotokollmeldungen enthalten den Text audit="true"
im strukturierten Datenteil der Protokollmeldung.
Lokale Benutzerkennwörter auf NSX-Appliances werden mithilfe der standardmäßigen Linux/PAM-Bibliotheken geschützt, die die per Hash- und Salt-Funktion verschlüsselte Repräsentation in /etc/shadow speichern. NSX Manager verwendet den kryptografischen Hash-Algorithmus SHA512 zum Hashing der lokalen Benutzerkennwörter. Während der Authentifizierung wird das vom Benutzer eingegebene Kennwort verschleiert. Andere Kennwörter werden mit einem Zufallsschlüssel verschlüsselt, der im lokalen Dateisystem gespeichert ist. Weitere Details finden Sie in den VMware Security Hardening Guides oder auf den SHA512 Ubuntu MAN-Seiten und in der Internet-FAQ mit dem Titel „Verstehen des /etc/shadow-Dateiformats unter Linux“.