NSX Manager actúa como un cliente LDAP y se conecta con servidores LDAP.

Se pueden configurar tres orígenes de identidad para la autenticación de usuarios. Cuando un usuario inicia sesión en NSX Manager, el usuario se autentica en el servidor LDAP apropiado del dominio del usuario. El servidor LDAP responde de nuevo con los resultados de la autenticación y la información del grupo de usuarios. Una vez que se haya autenticado correctamente, al usuario se le asignarán las funciones correspondientes a los grupos a los que pertenecen.

Cuando se integra con Active Directory, NSX Manager permite a los usuarios iniciar sesión con su samAccountName o userPrincipalName. Si la parte del @dominio del userPrincipalName no coincide con el dominio de la instancia de Active Directory, también deberá configurar un dominio alternativo en la configuración de LDAP para NSX.

En el siguiente ejemplo, el dominio de la instancia de Active Directory es "example.com" y un usuario con el atributo samAccountName "jsmith" tiene el userPrincipalName "John.Smith@acquiredcompany". Si configura el dominio alternativo "acquiredcompany.com", este usuario podrá iniciar sesión como "jsmith@example.com" usando el atributo samAccountName, o como "John.Smith@acquiredcompany.com" usando el atributo userPrincipalName.

Iniciara sesión como jsmith@acquiredcompany.com no funcionará porque samAccountName solo se puede utilizar con el dominio principal.
Nota: No se admite la integración de LDAP en Global Manager ( NSX Federation)

NSX Manager no admite varios servidores LDAP detrás de un equilibrador de carga, y LDAPS o StartTLS. Si los servidores LDAP se encuentran detrás de un equilibrador de carga, configure NSX para que se conecte directamente a uno de los servidores LDAP y no a la dirección IP virtual del equilibrador de carga.

Procedimiento

  1. Desplácese hasta Sistema > Usuarios y funciones > LDAP.
  2. Haga clic en Agregar origen de identidad.
  3. Introduzca un nombre para el origen de identidad.
  4. Introduzca el nombre de dominio. Debe coincidir con el nombre de dominio del servidor de Active Directory, si utiliza Active Directory.
  5. Seleccione el tipo: Active Directory en LDAP o Abrir LDAP.
  6. Haga clic en Establecer para configurar los servidores LDAP. Cada dominio admite un servidor LDAP.
    Nombre de host/IP

    El nombre de host o la dirección IP del servidor LDAP.

    Protocolo LDAP Seleccione el Protocolo: LDAP (no protegido) o LDAPS (protegido).
    Puerto El puerto predeterminado se rellena en función del protocolo seleccionado. Si el servidor LDAP se ejecuta en un puerto no estándar, puede editar este cuadro de texto para proporcionar el número de puerto.
    Estado de conexión Después de rellenar los cuadros de texto obligatorios, incluida la información del servidor LDAP, puede hacer clic en Estado de conexión para probar la conexión.
    Usar StartTLS

    Si se selecciona, se utilizará la extensión StartTLS de LDAPv3 para actualizar la conexión para utilizar el cifrado. Para determinar si debe utilizar esta opción, consulte al administrador del servidor LDAP.

    Esta opción solo se puede utilizar si se selecciona el protocolo LDAP.
    Certificado

    Si utiliza LDAPS o LDAP + StartTLS, este cuadro de texto debe contener el certificado X.509 con codificación PEM del servidor. Si deja este cuadro de texto en blanco y hace clic en el vínculo Comprobar estado, NSX se conectará al servidor LDAP. A continuación, NSX recuperará el certificado del servidor LDAP y le preguntará si desea confiar en ese certificado. Si ha verificado que el certificado es correcto, haga clic en Aceptar y el cuadro de texto del certificado se rellenará con el certificado recuperado.

    Identidad de enlace El formato es usuario@nombreDominio, o puede especificar el nombre distintivo.

    Para Active Directory, puede utilizar userPrincipalName (usuario@nombreDominio) o el nombre distintivo. Para OpenLDAP, debe proporcionar un nombre distintivo.

    Este cuadro de texto es obligatorio, a menos que el servidor LDAP sea compatible con el enlace anónimo, entonces es opcional. Si no está seguro, consulte al administrador del servidor LDAP.

    Contraseña Introduzca una contraseña para el servidor LDAP.

    Este cuadro de texto es obligatorio, a menos que el servidor LDAP sea compatible con el enlace anónimo, entonces es opcional. Consulte con el administrador del servidor LDAP.

  7. Haga clic en Agregar.
  8. Introduzca el DN base.
    Para agregar un dominio de Active Directory, se necesita un nombre distintivo base (DN base). Un DN base es el punto de partida que utiliza un servidor LDAP al buscar la autenticación de usuarios en un dominio de Active Directory. Por ejemplo, si el nombre de dominio es corp.local, el DN del DN base para Active Directory es "DC=corp,DC=local".

    Todas las entradas de usuario y grupo que desea utilizar para controlar el acceso a NSX-T Data Center deben estar dentro del árbol de directorios LDAP con acceso raíz en el DN base especificado. Si el DN base se establece en algo demasiado específico, como una unidad organizativa más profunda en el árbol LDAP, es posible que NSX no pueda encontrar las entradas que necesita para localizar usuarios y determinar la pertenencia a grupos. Es recomendable seleccionar un DN base amplio en caso de no estar seguro.

  9. Ahora, los usuarios finales de NSX-T Data Center pueden iniciar sesión con su nombre de inicio de sesión seguido de @ y el nombre de dominio del servidor LDAP, user_name@domain_name.

Qué hacer a continuación

Asigne funciones a usuarios o grupos. Consulte Agregar una asignación de funciones o la identidad principal.