Si vos comptes d'utilisateurs administratifs sont conservés dans une source d'identité LDAP (Active Directory ou OpenLDAP), vous pouvez configurer le SDDC NSX Manager pour permettre aux utilisateurs LDAP d'accéder à NSX avec des rôles que vous attribuez à leur compte ou à leur groupe LDAP dans NSX Manager.

Dans la plupart des cas, après configuré le service LDAP, il vous suffira de pointer NSX Manager vers un contrôleur de domaine sur le port 389 (LDAP) ou 636 (LDAPS).

Si vous utilisez Active Directory (AD) et que votre forêt AD se compose de plusieurs sous-domaines, vous devez pointer NSX Manager vers votre catalogue global AD (GC, Global Catalog) et configurer chaque sous-domaine comme nom de domaine alternatif dans NSX. Le service Catalogue global s'exécute généralement sur vos contrôleurs de domaine AD principaux. Il s'agit d'une copie en lecture seule des informations les plus importantes de tous les domaines principaux et secondaires. Le service GC s'exécute sur les ports 3268 (texte brut) et 3269 (LDAP sur TLS, chiffré).

Par exemple, si votre domaine principal est « example.com » et que vous avez des sous-domaines « americas.example.com » et « emea.example.com », vous devez :
  1. Configurez NSX Manager pour utiliser le protocole LDAP sur le port 3268 ou le protocole LDAPS sur le port 3269.
  2. Ajoutez les autres noms de domaines « americas.example.com » et « emea.example.com » dans la configuration LDAP de NSX.
Les utilisateurs de l'un des sous-domaines doivent se connecter en utilisant le domaine approprié dans leur nom de connexion. Par exemple, l'utilisateur « john » dans le domaine emea.example.com, doit se connecter avec le nom d'utilisateur « john@emea.example.com ».

Conditions préalables

Votre SDDC NSX Manager doit être configuré pour authentifier les utilisateurs à l'aide d'un service d'annuaire comme Active Directory sur LDAP ou OpenLDAP, et pouvoir accéder à votre source d'identité LDAP via le pare-feu de passerelle de gestion. Reportez-vous à la section Source d'identité LDAP du Guide d'administration de NSX.

Procédure

  1. Connectez-vous à VMware Cloud Services à l'adresse https://vmc.vmware.com.
  2. Cliquez sur Inventaire > SDDC, puis choisissez une carte SDDC et cliquez sur OUVRIR NSX MANAGER pour ouvrir l'instance de NSX Manager locale à son adresse IP publique par défaut. Vous êtes connecté à NSX à l'aide de vos informations d'identification VMware Cloud on AWS. Reportez-vous à la section Ouvrir NSX Manager pour plus d'informations sur les règles de pare-feu qui peuvent être nécessaires lors de la connexion à NSX Manager à partir de la Console VMware Cloud.
  3. Attribuez des rôles NSX à partir de la source d'identité LDAP NSX Manager.
    Dans l'interface utilisateur de NSX Manager, cliquez sur Système > Gestion des utilisateurs. Dans l'onglet Attribution de rôle d'utilisateur, cliquez sur AJOUTER UN RÔLE POUR UTILISATEUR LDAP et sélectionnez un domaine LDAP à rechercher.
  4. Spécifiez les rôles NSX pour l'utilisateur ou le groupe LDAP. portées.
    1. Entrez les premiers caractères du nom d'un utilisateur ou d'un groupe pour effectuer une recherche dans l'annuaire LDAP, puis sélectionnez un utilisateur ou un groupe dans la liste qui s'affiche.
    2. Sur la page Définir Rôles/Portée, attribuez un rôle NSX à l'utilisateur ou au groupe.
      Vous pouvez attribuer l'un des rôles NSX suivants :
      Administrateur de cloud
      Ce rôle peut effectuer toutes les tâches liées au déploiement et à l'administration du service NSX.
      Opérateur de Cloud
      Ce rôle peut afficher les paramètres et les événements de service NSX, mais ne peut apporter aucune modification au service.
      Aucun autre rôle ne peut être attribué ici.
    3. Cliquez sur APPLIQUER.
    4. Cliquez sur ENREGISTRER.

Résultats

Les membres du groupe LDAP disposant de rôles NSX peuvent utiliser ce workflow pour se connecter à l'URL privée NSX Manager à l'aide de leurs informations d'identification LDAP.

Dans l'onglet Paramètres, accédez à Informations sur NSX et développez URL NSX Manager. Cliquez sur le lien affiché sous URL privée (connexion via les informations d'identification de NSX Manager) et fournissez vos informations d'identification LDAP.