Sie können Benutzern oder Benutzergruppen Rollen zuweisen, wenn VMware Identity Manager in NSX-T Data Center integriert ist oder wenn Sie LDAP als Authentifizierungsanbieter verwenden. Rollen können auch Prinzipalidentitäten zugewiesen werden.

Ein Prinzipal ist eine Komponente oder eine Drittanbieteranwendung, z. B. ein OpenStack-Produkt. Ein Prinzipal mit einer Prinzipalidentität kann den Identitätsnamen dazu verwenden, ein Objekt zu erstellen und sicherzustellen, dass nur eine Entität mit demselben Identitätsnamen das Objekt ändern oder löschen kann. Eine Prinzipalidentität hat folgende Attribute:
  • Name
  • Knoten-ID: Dies kann ein alphanumerischer Wert sein, der einer Prinzipalidentität zugewiesen wurde
  • Zertifikat
  • RBAC-Rolle, welche die Zugriffsrechte des Prinzipals definiert

Benutzer (lokale, Remote- oder Prinzipalidentität) mit der Enterprise-Administrator-Rolle können Objekte ändern oder löschen, die im Besitz von Prinzipalidentitäten sind. Benutzer (lokale, Remote- oder Prinzipalidentität) ohne die Enterprise-Administrator-Rolle können geschützte Objekte im Besitz von Prinzipalidentitäten weder ändern noch löschen. Ungeschützte Objekte können jedoch geändert oder gelöscht werden.

Wenn das Zertifikat eines Prinzipalidentitätsbenutzers abläuft, müssen Sie ein neues Zertifikat importieren und einen API-Aufruf durchführen, um das Zertifikat des Prinzipalidentitätsbenutzers zu aktualisieren. (Weitere Informationen finden Sie im nachfolgenden Verfahren.) Weitere Informationen zur NSX-T Data Center-API finden Sie in der Referenz zur NSX-T Data Center-API: https://code.vmware.com/.

Das Zertifikat eines Prinzipal-Identitätsbenutzers muss die folgenden Anforderungen erfüllen:
  • SHA256-basiert.
  • RSA/DSA-Meldungsalgorithmus mit einer Schlüsselgröße von 2048 Bits oder mehr.
  • Es kann kein Stammzertifikat sein.

Sie können eine Prinzipalidentität mithilfe der API löschen. Wenn Sie jedoch eine Prinzipaldentität löschen, wird das entsprechende Zertifikat nicht automatisch gelöscht. Sie müssen das Zertifikat manuell gelöscht haben.

Schritte zum Löschen einer Prinzipaldentität und ihres Zertifikats:
  1. Erhalten Sie die Details der Prinzipaldentität, um den Wert der certificate_id in der Antwort zu löschen.

    GET /api/v1/trust-management/principal-identities/<principal-identity-id>

  2. Löschen Sie die Prinzipalidentität.

    DELETE /api/v1/trust-management/principal-identities/<principal-identity-id>

  3. Löschen Sie das Zertifikat mithilfe des in Schritt 1 erzielten certificate_id-Werts.

    DELETE /api/v1/trust-management/certificates/<certificate_id>

Für LDAP konfigurieren Sie Benutzergruppen für Benutzerrollen-Zuordnungsinformationen. Die Gruppen entsprechen den Benutzergruppen, die im Active Directory (AD) angegeben sind. Um Benutzerberechtigungen für NSX-T Data Center zu erteilen, fügen Sie den jeweiligen Benutzer der zugeordneten Gruppe in AD hinzu.

Voraussetzungen

Sie müssen einen Authentifizierungsanbieter konfiguriert haben:

Prozedur

  1. Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
  2. Wählen Sie System > Benutzer und Rollen aus.
  3. Wählen Sie zum Zuweisen von Rollen zu Benutzern Hinzufügen > Rollenzuweisung für vIDM aus.
    1. Wählen Sie einen Benutzer oder eine Benutzergruppe aus.
    2. Wählen Sie eine Rolle aus.
    3. Klicken Sie auf Speichern.
  4. Wählen Sie zum Hinzufügen einer Prinzipalidentität Hinzufügen > Prinzipalidentität mit Rolle aus.
    1. Geben Sie einen Namen für die Prinzipalidentität ein.
    2. Wählen Sie eine Rolle aus.
    3. Geben Sie eine Knoten-ID ein.
    4. Geben Sie ein Zertifikat im PEM-Format ein.
    5. Klicken Sie auf Speichern.
  5. Wenn Sie eine Rollenzuweisung für LDAP hinzufügen möchten, wählen Sie Hinzufügen > Rollenzuweisung für LDAP aus.
    1. Wählen Sie eine Domäne aus.
    2. Geben Sie die ersten Zeichen des Benutzernamens, der Anmelde-ID oder eines Gruppennamens ein, um das LDAP-Verzeichnis zu durchsuchen. Wählen Sie dann einen Benutzer oder eine Gruppe aus der angezeigten Liste aus.
    3. Wählen Sie eine Rolle aus.
    4. Klicken Sie auf Speichern.
  6. Optional: Wenn Sie NSX Cloud verwenden, melden Sie sich bei der CSM-Appliance statt beim NSX Manager an und wiederholen Sie die Schritte 1 bis 4.
  7. Wenn das Zertifikat für die Prinzipalidentität abläuft, führen Sie die folgenden Schritte aus. Verwenden Sie dieses Verfahren nicht, um ein abgelaufenes Zertifikat Lokaler Manager oder Globaler Manager Prinzipalidentitätszertifikate zu ersetzen. Informationen zum Ersetzen von Zertifikaten finden Sie in Zertifikate ersetzen.
    1. Importieren Sie ein neues Zertifikat und notieren Sie sich die ID des Zertifikats. Siehe Importieren eines selbstsignierten oder von einer Zertifizierungsstelle signierten Zertifikats.
    2. Rufen Sie die folgende API auf, um die ID der Prinzipalidentität zu erhalten.
      GET https://<nsx-mgr>/api/v1/trust-management/principal-identities
    3. Rufen Sie die folgende API auf, um das Zertifikat der Prinzipalidentität zu aktualisieren. Sie müssen die ID des importierten Zertifikats und die ID des Prinzipalidentitätsbenutzers angeben.
      Beispiel:
      POST https://<nsx-mgr>/api/v1/trust-management/principal-identities?action=update_certificate
      {
          "principal_identity_id": "ebd3032d-728e-44d4-9914-d4f81c9972cb",
          "certificate_id" : "abd3032d-728e-44d4-9914-d4f81c9972cc"
      }