NSX Manager fungiert als LDAP-Client und bildet eine Schnittstelle mit LDAP-Servern.

Drei Identitätsquellen können für die Benutzerauthentifizierung konfiguriert werden. Wenn sich ein Benutzer bei NSX Manager anmeldet, wird der Benutzer mit dem entsprechenden LDAP-Server der Domäne des Benutzers authentifiziert. Der LDAP-Server antwortet mit den Authentifizierungsergebnissen und den Benutzergruppeninformationen. Nach erfolgreicher Authentifizierung werden dem Benutzer die Rollen zugewiesen, die den Gruppen entsprechen, zu denen er gehört.

Bei der Integration in Active Directory ermöglicht NSX Manager Benutzern die Anmeldung mithilfe des samAccountName oder userPrincipalName. Wenn der @domain-Teil von userPrincipalName nicht mit der Domäne der Active Directory-Instanz übereinstimmt, sollten Sie außerdem eine alternative Domäne in der LDAP-Konfiguration für NSX konfigurieren.

Im folgenden Beispiel lautet die Domäne der Active Directory-Instanz „beispiel.com“ und ein Benutzer mit dem samAccountName „jsmith“ besitzt den userPrincipalName „[email protected]“. Wenn Sie die alternative Domäne „unternehmen.com“ konfigurieren, kann sich dieser Benutzer als „[email protected]“ mithilfe des samAccountName oder als „[email protected]“ unter Verwendung des userPrincipalName anmelden. Wenn der userPrincipalName keinen @domain-Teil enthält, kann sich der Benutzer nicht anmelden.

Die Anmeldung als „[email protected]“ funktioniert nicht, da der samAccountName nur mit der primären Domäne verwendet werden kann.

NSX kann nur mithilfe der einfachen LDAP-Authentifizierung bei Active Directory oder OpenLDAP authentifiziert werden. NTLM- und Kerberos-Authentifizierung werden nicht unterstützt.

Prozedur

  1. Navigieren Sie zu System > Benutzerverwaltung > LDAP.
  2. Klicken Sie auf Identitätsquelle hinzufügen.
  3. Geben Sie im Feld Name einen Namen für die Identitätsquelle ein.
  4. Geben Sie unter Domänenname einen Namen ein. Wenn Sie Active Directory verwenden, muss dieser mit dem Domänennamen Ihres Active Directory-Servers übereinstimmen.
  5. Wählen Sie den Typ aus: entweder Active Directory über LDAP oder LDAP öffnen.
  6. Klicken Sie auf Festlegen, um LDAP-Server zu konfigurieren. Sie können jeder Domäne bis zu drei LDAP-Server für die Failover-Unterstützung hinzufügen.
    Hostname/IP

    Der Hostname oder die IP-Adresse Ihres LDAP-Servers.

    LDAP-Protokoll Wählen Sie das Protokoll aus: „LDAP“ (nicht gesichert) oder „LDAPS“ (gesichert).
    Port Der Standardport wird basierend auf dem ausgewählten Protokoll aufgefüllt. Wenn Ihr LDAP-Server auf einem nicht standardmäßigen Port ausgeführt wird, können Sie dieses Textfeld bearbeiten, um die Portnummer zu erhalten.
    Verbindungsstatus Füllen Sie die obligatorischen Textfelder, einschließlich der Informationen zum LDAP-Server, aus und klicken Sie dann auf Verbindungsstatus, um die Verbindung zu testen.
    StartTLS verwenden

    Wenn diese Option ausgewählt ist, wird die LDAPv3 StartTLS-Erweiterung verwendet, um die Verbindung so zu aktualisieren, dass die Verschlüsselung verwendet wird. Wenden Sie sich an Ihren LDAP-Serveradministrator, um festzustellen, ob diese Option verwendet werden sollte.

    Diese Option ist nur verfügbar, wenn das LDAP-Protokoll ausgewählt ist.
    Zertifikat
    • Wenn Sie LDAPS oder LDAP + StartTLS verwenden, geben Sie das PEM-codierte X.509-Zertifikat des Servers in das Textfeld ein.

      Wenn Sie dieses Textfeld leer lassen und auf den Link Status prüfen klicken, stellt NSX eine Verbindung mit dem LDAP-Server her. NSX ruft anschließend das Zertifikat des LDAP-Servers ab und fragt, ob Sie diesem Zertifikat vertrauen möchten. Wenn Sie bestätigen, dass das Zertifikat korrekt ist, klicken Sie auf OK. Das Textfeld des Zertifikats wird mit dem abgerufenen Zertifikat gefüllt .

    • Wenn es sich bei Ihrem Hostnamen/Ihrer IP um eine L4-Load Balancer-VIP handelt, müssen die LDAP-Server hinter der VIP Zertifikate darstellen, die von derselben Zertifizierungsstelle (CA) signiert wurden. Sie müssen das PEM-codierte X.509-Zertifikat der Zertifizierungsstelle eingeben, die die Zertifikate signiert hat.

      Wenn Sie das Zertifikat der Zertifizierungsstelle nicht eingeben, werden Sie von NSX aufgefordert, das Zertifikat eines der LDAP-Server zu akzeptieren, den der Load Balancer nach dem Zufallsprinzip auswählt. Wenn der Server die vollständige Vertrauenskette präsentiert, einschließlich des Zertifikats der Zertifizierungsstelle, die die Zertifikate der anderen Server im Pool signiert hat, funktioniert die LDAP-Verbindung, falls sie zu einem anderen Server weitergeleitet wird. Wenn das anfänglich vorgelegte Zertifikat nicht das CA-Zertifikat enthält, wird das von den anderen LDAP-Servern bereitgestellte Zertifikat abgelehnt.

      Aus diesem Grund müssen Sie das Zertifikat der Zertifizierungsstelle eingeben, die alle Zertifikate der verschiedenen LDAP-Server signiert hat.

    • Wenn sich die LDAP-Server hinter einer L4-Load Balancer-VIP befinden, unterstützt NSX Zertifikate der LDAP-Server, die von unterschiedlichen Zertifizierungsstellen signiert wurden, wenn diese Zertifizierungsstellen derselben Stammzertifizierungsstelle untergeordnet sind. In diesem Fall müssen Sie das Zertifikat der Stamm-CA zum Zertifikatsfeld in der NSX LDAP-Konfiguration hinzufügen.
    Bind-Identität Geben Sie das Format als user@domainName ein oder können Sie den definierten Namen angeben.

    Verwenden Sie für Active Directory entweder den „userPrincipalName“ (Benutzer@Domänenname) oder den definierten Namen. Für OpenLDAP müssen Sie einen definierten Namen angeben.

    Dieses Textfeld ist erforderlich, es sei denn, Ihr LDAP-Server unterstützt die anonyme Bindung. In diesem Fall ist es optional. Wenn Sie sich nicht sicher sind, wenden Sie sich an Ihren LDAP-Serveradministrator.

    Kennwort Geben Sie ein Kennwort für den LDAP-Server ein.

    Dieses Textfeld ist erforderlich, es sei denn, Ihr LDAP-Server unterstützt die anonyme Bindung. In diesem Fall ist es optional. Wenden Sie sich an Ihren LDAP-Serveradministrator.

  7. Klicken Sie auf Hinzufügen.
  8. Geben Sie den Basis-DN ein.
    Zum Hinzufügen einer Active Directory-Domäne ist ein Basis-DN (Base Distinguished Name) erforderlich. Ein-Basis-DN ist der Startpunkt, den ein LDAP-Server bei der Suche nach Benutzerauthentifizierung innerhalb einer Active Directory-Domäne verwendet. Wenn „corp.local“ beispielsweise als Domänenname verwendet wird, lautet der DN für den Basis-DN für Active Directory auf „DC=corp, DC=local“.

    Alle Benutzer- und Gruppeneinträge, die Sie zum Steuern des Zugriffs auf NSX verwenden möchten, müssen in der LDAP-Verzeichnisstruktur enthalten sein, die sich auf dem angegebenen Basis-DN befindet. Wenn die Spezifikation des Basis-DN zu genau festgelegt ist, wie z. B. auf eine tiefer in der LDAP-Struktur befindliche Organisationseinheit, kann NSX die Einträge, die für die Suche nach Benutzern und die Bestimmung der Gruppenmitgliedschaft benötigt werden, unter Umständen nicht finden. Wenn Sie sich nicht sicher sind, sollten Sie einen umfassenden Basis-DN auswählen.

  9. Ihre NSX-Endbenutzer können sich jetzt mit ihrem Anmeldenamen gefolgt von @ und dem Domänennamen Ihres LDAP-Servers anmelden: user_name@domain_name.

Nächste Maßnahme

Weisen Sie Rollen zu Benutzern und Gruppen zu. Siehe Hinzufügen einer Rollenzuweisung oder Prinzipalidentität.