NSX Manager actúa como un cliente LDAP y se conecta con servidores LDAP.

Se pueden configurar tres orígenes de identidad para la autenticación de usuarios. Cuando un usuario inicia sesión en NSX Manager, el usuario se autentica en el servidor LDAP apropiado del dominio del usuario. El servidor LDAP responde de nuevo con los resultados de la autenticación y la información del grupo de usuarios. Una vez que se haya autenticado correctamente, al usuario se le asignarán las funciones correspondientes a los grupos a los que pertenecen.

Cuando se integra con Active Directory, NSX Manager permite a los usuarios iniciar sesión con su samAccountName o userPrincipalName. Si la parte del @dominio del userPrincipalName no coincide con el dominio de la instancia de Active Directory, también deberá configurar un dominio alternativo en la configuración de LDAP para NSX.

En el siguiente ejemplo, el dominio de la instancia de Active Directory es "example.com" y un usuario con el atributo samAccountName "jsmith" tiene el userPrincipalName "John.Smith@acquiredcompany". Si configura el dominio alternativo "acquiredcompany.com", este usuario podrá iniciar sesión como "jsmith@example.com" usando el atributo samAccountName, o como "John.Smith@acquiredcompany.com" usando el atributo userPrincipalName. Si userPrincipalName no tiene ninguna parte @domain, el usuario no podrá iniciar sesión.

Iniciara sesión como jsmith@acquiredcompany.com no funcionará porque samAccountName solo se puede utilizar con el dominio principal.

Procedimiento

  1. Desplácese a Sistema > Administración de usuarios > LDAP.
  2. Haga clic en Agregar origen de identidad.
  3. Introduzca un Nombre para el origen de identidad.
  4. Introduzca el Nombre de dominio. Debe coincidir con el nombre de dominio del servidor de Active Directory, si utiliza Active Directory.
  5. Seleccione el tipo: Active Directory en LDAP o Abrir LDAP.
  6. Haga clic en Establecer para configurar los servidores LDAP. Puede agregar hasta tres servidores LDAP para admitir la conmutación por error en cada dominio.
    Nombre de host/IP

    El nombre de host o la dirección IP del servidor LDAP.

    Protocolo LDAP Seleccione el protocolo: LDAP (no protegido) o LDAPS (protegido).
    Puerto El puerto predeterminado se rellena en función del protocolo seleccionado. Si el servidor LDAP se ejecuta en un puerto no estándar, puede editar este cuadro de texto para asignar el número de puerto.
    Estado de conexión Rellene los cuadros de texto obligatorios, incluida la información del servidor LDAP, y haga clic en Estado de conexión para probar la conexión.
    Usar StartTLS

    Si se selecciona, se utilizará la extensión StartTLS de LDAPv3 para actualizar la conexión para utilizar el cifrado. Para determinar si debe utilizar esta opción, consulte al administrador del servidor LDAP.

    Esta opción solo está disponible si se selecciona el protocolo LDAP.
    Certificado
    • Si utiliza LDAPS o LDAP + StartTLS, introduzca el certificado X.509 con codificación PEM del servidor en el cuadro de texto.

      Si deja este cuadro de texto en blanco y hace clic en el vínculo Comprobar estado, NSX-T Data Center se conectará al servidor LDAP. A continuación, NSX-T Data Center recuperará el certificado del servidor LDAP y le preguntará si desea confiar en ese certificado. Si el certificado es correcto, haga clic en Aceptar. El cuadro de texto certificado se rellenará con el certificado recuperado.

    • Si el nombre de host o la IP son una VIP de equilibrador de carga de capa 4, los servidores LDAP detrás de la VIP deben presentar certificados firmados por la misma entidad de certificación (CA). Debe introducir el certificado X.509 con codificación PEM de la CA que firmó los certificados.

      Si no introduce el certificado de la CA, NSX-T Data Center le pedirá que acepte el certificado de un servidor LDAP seleccionado de forma aleatoria por el equilibrador de carga. Si el servidor presenta la cadena de confianza completa, incluido el certificado de la CA que firmó los certificados de los otros servidores del grupo, la conexión LDAP funcionará cuando se enrute a otro servidor. Si el certificado presentado inicialmente no incluye el certificado de CA, se rechazará el certificado presentado por los otros servidores LDAP.

      Por este motivo, debe introducir el certificado de la CA que firmó todos los certificados presentados por los diferentes servidores LDAP o LDAPS.

    • Si los servidores LDAP están detrás de una VIP de equilibrador de carga de capa 4, NSX-T Data Center admitirá certificados de los servidores LDAP firmados por CA diferentes si dichas CA están subordinadas a la misma CA raíz. En este caso, debe agregar el certificado de CA raíz al campo de certificado en la configuración LDAP de NSX
    Identidad de enlace Introduzca el formato como usuario@nombreDominio o puede especificar el nombre distintivo.

    Para Active Directory, utilice userPrincipalName (usuario@nombreDominio) o el nombre distintivo. Para OpenLDAP, debe proporcionar un nombre distintivo.

    Este cuadro de texto es obligatorio, a menos que el servidor LDAP sea compatible con el enlace anónimo, entonces es opcional. Si no está seguro, consulte al administrador del servidor LDAP.

    Contraseña Introduzca una contraseña para el servidor LDAP.

    Este cuadro de texto es obligatorio, a menos que el servidor LDAP sea compatible con el enlace anónimo, entonces es opcional. Consulte con el administrador del servidor LDAP.

  7. Haga clic en Agregar.
  8. Introduzca el DN base.
    Para agregar un dominio de Active Directory, se necesita un nombre distintivo base (DN base). Un DN base es el punto de partida que utiliza un servidor LDAP al buscar la autenticación de usuarios en un dominio de Active Directory. Por ejemplo, si el nombre de dominio es corp.local, el DN del DN base para Active Directory es "DC=corp,DC=local".

    Todas las entradas de usuario y grupo que desea utilizar para controlar el acceso a NSX-T Data Center deben estar dentro del árbol de directorios LDAP con acceso raíz en el DN base especificado. Si el DN base se establece en algo demasiado específico, como una unidad organizativa más profunda en el árbol LDAP, es posible que NSX no pueda encontrar las entradas que necesita para localizar usuarios y determinar la pertenencia a grupos. Es recomendable seleccionar un DN base amplio en caso de no estar seguro.

  9. Ahora, los usuarios finales de NSX-T Data Center pueden iniciar sesión con su nombre de inicio de sesión seguido de @ y el nombre de dominio del servidor LDAP, user_name@domain_name.

Qué hacer a continuación

Asigne funciones a usuarios o grupos. Consulte Agregar una asignación de funciones o la identidad principal.