Sie können Benutzern oder Benutzergruppen Rollen zuweisen, wenn VMware Identity Manager™ in NSX integriert ist oder wenn Sie LDAP als Authentifizierungsanbieter verwenden. Rollen können auch Prinzipalidentitäten zugewiesen werden.
- Name
- Knoten-ID: Dies kann ein alphanumerischer Wert sein, der einer Prinzipalidentität zugewiesen wurde
- Zertifikat
- RBAC-Rolle, welche die Zugriffsrechte des Prinzipals definiert
Benutzer (lokale, Remote- oder Prinzipalidentität) mit der Enterprise-Administrator-Rolle können Objekte ändern oder löschen, die im Besitz von Prinzipalidentitäten sind. Benutzer (lokale, Remote- oder Prinzipalidentität) ohne die Enterprise-Administrator-Rolle können geschützte Objekte im Besitz von Prinzipalidentitäten weder ändern noch löschen. Ungeschützte Objekte können jedoch geändert oder gelöscht werden.
Wenn das Zertifikat eines Prinzipalidentitätsbenutzers abläuft, müssen Sie ein neues Zertifikat importieren und einen API-Aufruf durchführen, um das Zertifikat des Prinzipalidentitätsbenutzers zu aktualisieren. (Weitere Informationen finden Sie im nachfolgenden Verfahren.) Weitere Informationen zur NSX-API und einen Link zur API-Ressource finden Sie unter https://code.vmware.com.
- SHA256-basiert.
- RSA/DSA-Meldungsalgorithmus mit einer Schlüsselgröße von 2048 Bits oder mehr.
- Es kann kein Stammzertifikat sein.
Sie können eine Prinzipalidentität mithilfe der API löschen. Wenn Sie jedoch eine Prinzipaldentität löschen, wird das entsprechende Zertifikat nicht automatisch gelöscht. Sie müssen das Zertifikat manuell gelöscht haben.
- Erhalten Sie die Details der Prinzipaldentität, um den Wert der certificate_id in der Antwort zu löschen.
GET /api/v1/trust-management/principal-identities/<principal-identity-id>
- Löschen Sie die Prinzipalidentität.
DELETE /api/v1/trust-management/principal-identities/<principal-identity-id>
- Löschen Sie das Zertifikat mithilfe des in Schritt 1 erzielten certificate_id-Werts.
DELETE /api/v1/trust-management/certificates/<certificate_id>
Für LDAP konfigurieren Sie Benutzergruppen für Benutzerrollen-Zuordnungsinformationen. Die Gruppen entsprechen den Benutzergruppen, die im Active Directory (AD) angegeben sind. Um Benutzerberechtigungen für NSX zu erteilen, fügen Sie den jeweiligen Benutzer der zugeordneten Gruppe in AD hinzu. Ab NSX 4.2 kann eine einzelne LDAP-Identitätsquelle bis zu 20 Gruppen zu NSX hinzufügen. Ein Fehler tritt auf, wenn dies für mehr als 20 Gruppen versucht wird.
Voraussetzungen
Sie müssen einen Authentifizierungsanbieter konfiguriert haben:
- Stellen Sie für die Rollenzuweisung für vIDM sicher, dass NSX ein vIDM-Host zugeordnet ist. Weitere Informationen finden Sie unter Konfigurieren der VMware Identity Manager-/Workspace ONE Access-Integration.
- Stellen Sie für die Rollenzuweisung für LDAP sicher, dass Sie über eine LDAP-Identitätsquelle verfügen. Weitere Informationen finden Sie unter LDAP-Identitätsquelle.
Prozedur
- Melden Sie sich mit Administratorrechten bei NSX Manager an.
- Klicken Sie auf .
- Wählen Sie zum Zuweisen von Rollen zu Benutzern
aus.
- Wählen Sie einen Benutzer oder eine Benutzergruppe aus.
- Wählen Sie eine Rolle aus.
- Klicken Sie auf Speichern.
- Wählen Sie zum Hinzufügen einer Prinzipalidentität
aus.
- Geben Sie einen Namen für die Prinzipalidentität ein.
- Wählen Sie eine Rolle aus.
- Geben Sie eine Knoten-ID ein.
- Geben Sie ein Zertifikat im PEM-Format ein.
- Klicken Sie auf Speichern.
- Wenn Sie eine Rollenzuweisung für LDAP hinzufügen möchten, wählen Sie
aus.
- Wählen Sie eine Domäne aus.
- Geben Sie die ersten Zeichen des Benutzernamens, der Anmelde-ID oder eines Gruppennamens ein, um das LDAP-Verzeichnis zu durchsuchen. Wählen Sie dann einen Benutzer oder eine Gruppe aus der angezeigten Liste aus.
- Wählen Sie eine Rolle aus.
- Klicken Sie auf Speichern.
- Wenn das Zertifikat für die Prinzipalidentität abläuft, führen Sie die folgenden Schritte aus. Verwenden Sie dieses Verfahren nicht, um ein abgelaufenes Zertifikat Lokaler Manager oder Globaler Manager Prinzipalidentitätszertifikate zu ersetzen. Informationen zum Ersetzen dieser Zertifikate finden Sie in Zertifikate durch API ersetzen.
- Importieren Sie ein neues Zertifikat und notieren Sie sich die ID des Zertifikats. Siehe Importieren eines selbstsignierten oder von einer Zertifizierungsstelle signierten Zertifikats.
- Rufen Sie die folgende API auf, um die ID der Prinzipalidentität zu erhalten.
GET https://<nsx-mgr>/api/v1/trust-management/principal-identities
- Rufen Sie die folgende API auf, um das Zertifikat der Prinzipalidentität zu aktualisieren. Sie müssen die ID des importierten Zertifikats und die ID des Prinzipalidentitätsbenutzers angeben.
Beispiel:
POST https://<nsx-mgr>/api/v1/trust-management/principal-identities?action=update_certificate { "principal_identity_id": "ebd3032d-728e-44d4-9914-d4f81c9972cb", "certificate_id" : "abd3032d-728e-44d4-9914-d4f81c9972cc" }