NSX Manager fungiert als LDAP-Client und bildet eine Schnittstelle mit LDAP-Servern.

Drei Identitätsquellen können für die Benutzerauthentifizierung konfiguriert werden. Wenn sich ein Benutzer bei NSX Manager anmeldet, wird der Benutzer mit dem entsprechenden LDAP-Server der Domäne des Benutzers authentifiziert. Der LDAP-Server antwortet mit den Authentifizierungsergebnissen und den Benutzergruppeninformationen. Nach erfolgreicher Authentifizierung werden dem Benutzer die Rollen zugewiesen, die den Gruppen entsprechen, zu denen er gehört.

Bei der Integration in Active Directory ermöglicht NSX Manager Benutzern die Anmeldung mithilfe des samAccountName oder userPrincipalName. Wenn der @domain-Teil von userPrincipalName nicht mit der Domäne der Active Directory-Instanz übereinstimmt, sollten Sie außerdem eine alternative Domäne in der LDAP-Konfiguration für NSX konfigurieren.

Im folgenden Beispiel lautet die Domäne der Active Directory-Instanz „beispiel.com“ und ein Benutzer mit dem samAccountName „jsmith“ besitzt den userPrincipalName „[email protected]“. Wenn Sie die alternative Domäne „unternehmen.com“ konfigurieren, kann sich dieser Benutzer als „[email protected]“ mithilfe des samAccountName oder als „[email protected]“ unter Verwendung des userPrincipalName anmelden.

Die Anmeldung als „[email protected]“ funktioniert nicht, da der samAccountName nur mit der primären Domäne verwendet werden kann.
Hinweis: Eine LDAP-Integration wird im Globaler Manager ( NSX-Verbund) nicht unterstützt.

NSX Manager unterstützt nicht mehrere LDAP-Server hinter einem Load Balancer und LDAPS oder StartTLS. Wenn sich LDAP-Server hinter einem Load Balancer befinden, konfigurieren Sie NSX für das Herstellen einer direkten Verbindung mit einem der LDAP-Server und nicht mit der virtuellen IP-Adresse des Load Balancers.

Prozedur

  1. Navigieren Sie zu System > Benutzer und Rollen > LDAP.
  2. Klicken Sie auf Identitätsquelle hinzufügen.
  3. Geben Sie im Feld Name einen Namen für die Identitätsquelle ein.
  4. Geben Sie unter Domänenname einen Namen ein. Dieser muss mit dem Domänennamen Ihres Active Directory-Servers übereinstimmen, wenn Sie Active Directory verwenden.
  5. Wählen Sie den Typ aus: entweder Active Directory über LDAP oder LDAP öffnen.
  6. Klicken Sie auf Festlegen, um LDAP-Server zu konfigurieren. Pro Domäne wird ein LDAP-Server unterstützt.
    Hostname/IP

    Der Hostname oder die IP-Adresse Ihres LDAP-Servers.
    LDAP-Protokoll Wählen Sie das Protokoll aus: „LDAP (ungesichert)“ oder „LDAPS (gesichert)“.
    Port Der Standardport wird basierend auf dem ausgewählten Protokoll aufgefüllt. Wenn Ihr LDAP-Server auf einem nicht standardmäßigen Port ausgeführt wird, können Sie dieses Textfeld bearbeiten, um die Portnummer zu erteilen.
    Verbindungsstatus Nach dem Ausfüllen der obligatorischen Textfelder, einschließlich der Informationen zum LDAP-Server, können Sie auf Verbindungsstatus klicken, um die Verbindung zu testen.
    StartTLS verwenden

    Wenn diese Option ausgewählt ist, wird die LDAPv3 StartTLS-Erweiterung verwendet, um die Verbindung so zu aktualisieren, dass die Verschlüsselung verwendet wird. Wenden Sie sich an Ihren LDAP-Serveradministrator, um festzustellen, ob Sie diese Option verwenden sollten.

    Diese Option kann nur verwendet werden, wenn ein LDAP-Protokoll ausgewählt ist.
    Zertifikat

    Wenn Sie LDAPS oder LDAP + StartTLS verwenden, sollte dieses Textfeld das PEM-kodierte X.509-Zertifikat des Servers enthalten. Wenn Sie dieses Textfeld leer lassen und auf den Link Status prüfen klicken, stellt NSX eine Verbindung mit dem LDAP-Server her. NSX ruft anschließend das Zertifikat des LDAP-Servers ab und fragt, ob Sie diesem Zertifikat vertrauen möchten. Wenn Sie bestätigt haben, dass das Zertifikat korrekt ist, klicken Sie auf OK und das Textfeld für das Zertifikat wird mit dem abgerufenen Zertifikat gefüllt.
    Bind-Identität Das Format lautet Benutzer@Domänenname. Sie können auch den definierten Namen angeben.

    Für Active Directory können Sie entweder den „userPrincipalName“ (Benutzer@Domänenname) oder den definierten Namen verwenden. Für OpenLDAP müssen Sie einen definierten Namen angeben.

    Dieses Textfeld ist erforderlich, es sei denn, Ihr LDAP-Server unterstützt die anonyme Bindung. In diesem Fall ist es optional. Wenn Sie sich nicht sicher sind, wenden Sie sich an Ihren LDAP-Serveradministrator.
    Kennwort Geben Sie ein Kennwort für den LDAP-Server ein.

    Dieses Textfeld ist erforderlich, es sei denn, Ihr LDAP-Server unterstützt die anonyme Bindung. In diesem Fall ist es optional. Wenden Sie sich an Ihren LDAP-Serveradministrator.
  7. Klicken Sie auf Hinzufügen.
  8. Geben Sie den Basis-DN ein.
    Zum Hinzufügen einer Active Directory-Domäne ist ein Basis-DN (Base Distinguished Name) erforderlich. Ein-Basis-DN ist der Startpunkt, den ein LDAP-Server bei der Suche nach Benutzerauthentifizierung innerhalb einer Active Directory-Domäne verwendet. Wenn „corp.local“ beispielsweise als Domänenname verwendet wird, lautet der DN für den Basis-DN für Active Directory auf „DC=corp, DC=local“.

    Alle Benutzer- und Gruppeneinträge, die Sie zum Steuern des Zugriffs auf NSX-T Data Center verwenden möchten, müssen in der LDAP-Verzeichnisstruktur enthalten sein, die sich auf dem angegebenen Basis-DN befindet. Wenn die Spezifikation des Basis-DN zu genau festgelegt ist, wie z. B. auf eine tiefer in der LDAP-Struktur befindliche Organisationseinheit, kann NSX die Einträge, die für die Suche nach Benutzern und die Bestimmung der Gruppenmitgliedschaft benötigt werden, unter Umständen nicht finden. Wenn Sie sich nicht sicher sind, sollten Sie einen umfassenden Basis-DN auswählen.

  9. Ihre NSX-T Data Center-Endbenutzer können sich jetzt mit ihrem Anmeldenamen gefolgt von @ und dem Domänennamen Ihres LDAP-Servers anmelden: user_name@domain_name.

Nächste Maßnahme

Weisen Sie Rollen zu Benutzern und Gruppen zu. Siehe Hinzufügen einer Rollenzuweisung oder Prinzipalidentität.