Si las cuentas de usuario administrativo se mantienen en un origen de identidad de LDAP (Active Directory u OpenLDAP), puede configurar el SDDC de NSX Manager para permitir que los usuarios de LDAP accedan a NSX con las funciones que asigne a sus cuentas o grupo de LDAP en NSX Manager.

En la mayoría de los casos, todo lo que necesitará hacer después de configurar el servicio LDAP es apuntar NSX Manager a cualquier controladora de dominio en el puerto 389 (LDAP) o 636 (LDAPS).

Si utiliza Active Directory (AD) y su bosque de AD está compuesto por varios subdominios, debe apuntar NSX Manager al catálogo global de AD (GC) y configurar cada subdominio como un nombre de dominio alternativo en NSX. El servicio Catálogo global (GC) se suele ejecutar en los controladores de dominio de AD principales y es una copia de solo lectura de la información más importante de todos los dominios principal y secundario. El servicio GC se ejecuta en el puerto 3268 (texto sin formato) y 3269 (LDAP a través de TLS, cifrado).

Por ejemplo, si el dominio principal es "example.com" y tiene los subdominios "americas.example.com" y "emea.example.com", debe:
  1. Configurar NSX Manager para utilizar el protocolo LDAP en el puerto 3268 o el protocolo LDAPS en el puerto 3269.
  2. Agregar los nombres de dominio alternativos "americas.example.com" y "emea.example.com" en la configuración LDAP de NSX.
Los usuarios de uno de los subdominios deben iniciar sesión con el dominio adecuado en su nombre de inicio de sesión. Por ejemplo, el usuario "john" del emea.example.com debe iniciar sesión con el nombre de usuario "[email protected]".

Requisitos previos

El SDDC de NSX Manager debe configurarse para autenticar a los usuarios mediante un servicio de directorio como Active Directory en LDAP u OpenLDAP y tener acceso a su origen de identidad de LDAP a través del firewall de puerta de enlace de administración. Consulte Origen de identidad de LDAP en la Guía de administración de NSX.

Procedimiento

  1. Inicie sesión en VMware Cloud Services en https://vmc.vmware.com.
  2. Haga clic en Inventario > SDDC, seleccione una tarjeta de SDDC y haga clic en ABRIR NSX MANAGER. para abrir la instancia de NSX Manager local en su dirección IP pública predeterminada. Ha iniciado sesión en NSX con sus credenciales de VMware Cloud on AWS. Consulte Abrir NSX Manager para obtener más información sobre las reglas de firewall que pueden ser necesarias al conectarse a NSX Manager desde la Consola de VMware Cloud.
  3. Asigne funciones de NSX desde el origen de identidad de LDAP de NSX Manager.
    En la interfaz de usuario de NSX Manager, haga clic en Sistema > Administración de usuarios. En la pestaña Asignación de funciones de usuario, haga clic en AÑADIR FUNCIÓN PARA USUARIO DE LDAP y seleccione un dominio LDAP en el que desea buscar.
  4. Especifique funciones de NSX para el grupo o el usuario de LDAP. ámbitos.
    1. Introduzca los primeros caracteres de un nombre de usuario o grupo para buscarlos en el directorio LDAP y después seleccione un usuario o un grupo de la lista que se muestra.
    2. En la página Establecer funciones/ámbito, asigne una función de NSX al usuario o al grupo.
      Puede asignar cualquiera de estas funciones de NSX:
      Administrador de nube
      Esta función puede realizar todas las tareas relacionadas con la implementación y la administración del servicio NSX.
      Operador de nube
      Esta función puede ver los eventos y la configuración del servicio NSX, pero no puede realizar ningún cambio en el servicio.
      Aquí no se pueden asignar otras funciones.
    3. Haga clic en APLICAR.
    4. Haga clic en GUARDAR.

Resultados

Los miembros del grupo LDAP con funciones de NSX pueden utilizar este flujo de trabajo para iniciar sesión en la URL privada de NSX Manager con sus credenciales de LDAP.

En la pestaña Configuración del SDDC, desplácese hasta Información de NSX y expanda Direcciones URL de NSX Manager. Haga clic en el vínculo que se muestra en URL privada (iniciar sesión mediante credenciales de NSX Manager) y proporcione sus credenciales de LDAP.