NSX Manager agit comme un client LDAP et communique avec les serveurs LDAP.

Trois sources d'identité peuvent être configurées pour l'authentification utilisateur. Lorsqu'un utilisateur se connecte à NSX Manager, il est authentifié sur le serveur LDAP approprié du domaine de l'utilisateur. Le serveur LDAP répond avec les résultats de l'authentification et les informations du groupe d'utilisateurs. Une fois l'utilisateur authentifié, les rôles correspondant aux groupes auxquels ils appartiennent lui sont attribués.

Lors de l'intégration à Active Directory, NSX Manager permet aux utilisateurs de se connecter à l'aide de samAccountName ou userPrincipalName. Si la partie @domain de userPrincipalName ne correspond pas au domaine de l'instance Active Directory, vous devez également configurer un autre domaine dans la configuration LDAP pour NSX.

Dans l'exemple suivant, le domaine de l'instance Active Directory est « example.com » et un utilisateur avec le nom de compte samAccountName « jsmith » a l'attribut userPrincipalName John.Smith@acquiredcompany.com. Si vous configurez un domaine alternatif de « acquiredcompany.com », cet utilisateur peut se connecter en tant que « jsmith@example.com » avec samAccountName ou en tant que John.Smith@acquiredcompany.com avec userPrincipalName.

La connexion en tant que jsmith@acquiredcompany.com ne fonctionnera pas, car samAccountName peut uniquement être utilisé avec le domaine principal.
Note : L'intégration LDAP n'est pas prise en charge sur Gestionnaire global ( NSX Federation)

NSX Manager ne prend pas en charge plusieurs serveurs LDAP derrière un équilibreur de charge et LDAPS ou StartTLS. Si les serveurs LDAP se trouvent derrière un équilibreur de charge, configurez NSX pour vous connecter directement à l'un des serveurs LDAP, et pas à l'adresse IP virtuelle de l'équilibreur de charge.

Procédure

  1. Accédez à Système > Utilisateurs et rôles > LDAP.
  2. Cliquez sur Ajouter une source d'identité.
  3. Entrez un Nom pour la source d'identité.
  4. Entrez le nom de domaine Il doit correspondre au nom de domaine de votre serveur Active Directory, si vous utilisez Active Directory.
  5. Sélectionnez le type : Active Directory via LDAP ou Ouvrir LDAP.
  6. Cliquez sur définir pour configurer les serveurs LDAP. Un serveur LDAP est pris en charge pour chaque domaine.
    Nom d'hôte/Adresse IP

    Le nom d'hôte ou l'adresse IP de votre serveur LDAP.

    Protocole LDAP Sélectionnez le protocole : LDAP (non sécurisé) ou LDAPS (sécurisé).
    Port Le port par défaut est renseigné en fonction du protocole sélectionné. Si votre serveur LDAP s'exécute sur un port non standard, vous pouvez modifier cette zone de texte pour fournir le numéro de port.
    État de la connexion Après avoir rempli les zones de texte obligatoires, y compris les informations du serveur LDAP, vous pouvez cliquer sur État de la connexion pour tester la connexion.
    Utiliser StartTLS

    Si cette option est sélectionnée, l'extension LDAPv3 StartTLS est utilisée pour mettre à niveau la connexion afin d'utiliser le chiffrement. Pour déterminer si vous devez utiliser cette option, consultez votre administrateur de serveur LDAP.

    Cette option ne peut être utilisée que si le protocole LDAP est sélectionné.
    Certificat

    Si vous utilisez LDAPS ou LDAP + StartTLS, cette zone de texte doit contenir le certificat X.509 codé au format PEM du serveur. Si vous laissez cette zone de texte vide et que vous cliquez sur le lien Vérifier l'état, NSX se connecte au serveur LDAP. NSX récupère ensuite le certificat du serveur LDAP et vous demande si vous souhaitez faire confiance à ce certificat. Si vous avez vérifié que le certificat est correct, cliquez sur OK, et la zone de texte certificat sera renseignée avec le certificat récupéré.

    Lier l'identité Le format est user@domainName ou vous pouvez spécifier le nom unique.

    Pour Active Directory, vous pouvez utiliser userPrincipalName (user@domainName) ou le nom unique. Pour OpenLDAP, vous devez fournir un nom unique.

    Cette zone de texte est requise. Mais si votre serveur LDAP prend en charge la liaison anonyme, alors elle est facultative. Consultez votre administrateur de serveur LDAP si vous n'êtes pas sûr.

    Mot de passe Entrez un mot de passe pour le serveur LDAP.

    Cette zone de texte est requise. Mais si votre serveur LDAP prend en charge la liaison anonyme, alors elle est facultative. Consultez l'administrateur de votre serveur LDAP.

  7. Cliquez sur Ajouter.
  8. Entrez le Nom unique de base.
    Pour ajouter un domaine Active Directory, un nom unique de base est nécessaire. Un nom unique de base est le point de départ qu'un serveur LDAP utilise lors de la recherche d'authentification des utilisateurs dans un domaine Active Directory. Par exemple, si votre nom de domaine est corp.local, le nom unique du nom unique de base pour Active Directory est « DC=corp,DC=local ».

    Toutes les entrées d'utilisateur et de groupe que vous prévoyez d'utiliser pour contrôler l'accès à NSX-T Data Center doivent être contenues dans l'arborescence de l'annuaire LDAP racine dans le nom unique de base spécifié. Si le nom unique de base est trop spécifique, comme une unité d'organisation plus approfondie dans votre arborescence LDAP, NSX peut ne pas trouver les entrées dont il a besoin pour localiser les utilisateurs et déterminer l'appartenance au groupe. Si vous n'êtes pas sûr, il est préférable de sélectionner un large nom unique de base.

  9. Vos utilisateurs finaux de NSX-T Data Center peuvent désormais se connecter à l'aide de leur nom de connexion suivi de @ et du nom de domaine de votre serveur LDAP, user_name@domain_name.

Que faire ensuite

Attribuer des rôles aux utilisateurs et aux groupes. Reportez-vous à la section Ajouter une attribution de rôle ou une identité de principal.