Rollenbasierte Zugriffssteuerung im NSX-Verbund

Sie können die rollenbasierte Zugriffssteuerung (RBAC) für NSX-Verbund konfigurieren, um den Systemzugriff auf autorisierte Benutzer einschränken. NSX-Verbund-RBAC funktioniert ähnlich wie NSX-RBAC für autorisierte Benutzer. Dieses Thema enthält einige optionale Konfigurationsinformationen für RBAC auf NSX-Verbund, bei Verwendung mit bestimmten Authentifizierungsanbietern.

Die meisten Authentifizierungs- und Autorisierungsaufgaben verwenden dieselben Verfahren wie im Abschnitt „Authentifizierung und Autorisierung“ des Administratorhandbuch für NSX beschrieben. Eine Ausnahme ist, dass die Konfiguration von VMware Identity Manager™ (vIDM) und LDAP nicht vom globalen Manager (GM) (aktiv oder im Standby) mit den lokalen Managern (LM) synchronisiert wird. Dazu müssen Sie jeden GM oder LM (NSX-Cluster) separat für vIDM und LDAP konfigurieren. Außerdem ist es erforderlich, dass Benutzer dieselben Rollenbindungen auf jedem NSX-Verbund-Server haben, um einen nahtlosen Zugriff zu ermöglichen.

Wenn Sie beispielsweise NSX-Verbund- und vIDM- oder LDAP-Authentifizierung verwenden und über das Dropdown-Menü „Speicherort“ auf der GM-Seite zwischen dem GM und dem LM-Server wechseln möchten, stellen Sie sicher, dass Sie die folgenden allgemeinen Aufgaben ausführen, damit Ihre Konfiguration ordnungsgemäß eingerichtet ist. Diese Konfigurationsaufgaben helfen Benutzern, die vIDM- und LDAP-Authentifizierungsanbieter verwenden, Fehlermeldungen zu Benutzerberechtigungen zu vermeiden.

Aufgabe	Gehe zu
Konfigurieren Sie vIDM oder LDAP auf dem aktiven und dem Standby-Server des globalen Managers separat.	Integration mit VMware Identity Manager/Workspace ONE Access Integration mit LDAP
Konfigurieren Sie vIDM oder LDAP auf jedem lokalen Manager-Server.	Integration mit VMware Identity Manager/Workspace ONE Access Integration mit LDAP
Stellen Sie sicher, dass Benutzer, die über das Dropdown-Menü „Speicherort“ zwischen den GM- und LM-Servern wechseln möchten, sowohl auf GM- als auch auf LM-Servern über dieselben Benutzerrollen verfügen. Wenn der Benutzer über eine Rolle für GM, nicht aber über eine Rolle für LM verfügt, wird Benutzern möglicherweise ein Berechtigungsfehler angezeigt, wie beispielsweise, dass der Benutzer nicht über ausreichende Berechtigungen für eine Funktion verfügt.	Verwenden der Webschnittstellen des globalen und lokalen Managers Verwalten von lokalen Benutzerkonten Erstellen oder Verwalten benutzerdefinierter Rollen Hinzufügen einer Rollenzuweisung oder Prinzipalidentität

Um sicherzustellen, dass der Benutzer im Dropdown-Menü „Speicherort“ zwischen dem GM und den LM-Servern wechseln kann, stellen Sie nach dem Aktualisieren der Benutzerrollen auf dem LM-Server von schreibgeschützt auf Schreiben oder Spielen der GM-Rollen sicher, dass die Aufgabe abgeschlossen ist. Weitere Informationen finden Sie unter Verwenden der Webschnittstellen des globalen und lokalen Managers und Überwachung von NSX-Verbund-Standorten.