NSX Manager agit comme un client LDAP et communique avec les serveurs LDAP.

Trois sources d'identité peuvent être configurées pour l'authentification utilisateur. Lorsqu'un utilisateur se connecte à NSX Manager, il est authentifié sur le serveur LDAP approprié du domaine de l'utilisateur. Le serveur LDAP répond avec les résultats de l'authentification et les informations du groupe d'utilisateurs. Une fois l'utilisateur authentifié, les rôles correspondant aux groupes auxquels ils appartiennent lui sont attribués.

Lors de l'intégration à Active Directory, NSX Manager permet aux utilisateurs de se connecter à l'aide de samAccountName ou userPrincipalName. Si la partie @domain de userPrincipalName ne correspond pas au domaine de l'instance Active Directory, vous devez également configurer un autre domaine dans la configuration LDAP pour NSX.

Dans l'exemple suivant, le domaine de l'instance Active Directory est « example.com » et un utilisateur avec le nom de compte samAccountName « jsmith » a l'attribut userPrincipalName [email protected]. Si vous configurez un domaine alternatif de « acquiredcompany.com », cet utilisateur peut se connecter en tant que « [email protected] » avec samAccountName ou en tant que [email protected] avec userPrincipalName. Si l'élément userPrincipalName ne comporte aucune partie @domaine, l'utilisateur ne pourra pas se connecter.

La connexion en tant que [email protected] ne fonctionnera pas, car samAccountName peut uniquement être utilisé avec le domaine principal.

NSX peuvent uniquement être authentifiés dans Active Directory ou OpenLDAP à l'aide de l'authentification simple LDAP. Les authentifications NTLM et Kerberos ne sont pas prises en charge.

Procédure

  1. Accédez à Système > Gestion des utilisateurs > LDAP.
  2. Cliquez sur Ajouter une source d'identité.
  3. Entrez un Nom pour la source d'identité.
  4. Entrez le Nom de domaine. Il doit correspondre au nom de domaine de votre serveur Active Directory, si vous utilisez Active Directory.
  5. Sélectionnez le type : Active Directory via LDAP ou Ouvrir LDAP.
  6. Cliquez sur Définir pour configurer les serveurs LDAP. Vous pouvez ajouter jusqu'à trois serveurs LDAP à chaque domaine pour la prise en charge du basculement.
    Nom d'hôte/Adresse IP

    Le nom d'hôte ou l'adresse IP de votre serveur LDAP.
    Protocole LDAP Sélectionnez le protocole : LDAP (non sécurisé) ou LDAPS (sécurisé).
    Port Le port par défaut se remplit en fonction du protocole sélectionné. Si votre serveur LDAP s'exécute sur un port non standard, vous pouvez modifier cette zone de texte pour donner le numéro de port.
    État de la connexion Remplissez les zones de texte obligatoires, y compris les informations du serveur LDAP, puis cliquez sur État de la connexion pour tester la connexion.
    Utiliser StartTLS

    Si cette option est sélectionnée, l'extension LDAPv3 StartTLS est utilisée pour mettre à niveau la connexion afin d'utiliser le chiffrement. Pour déterminer l’utilisation de cette option, consultez votre administrateur de serveur LDAP.

    Cette option n'est disponible que si le protocole LDAP est sélectionné.
    Certificat
    • Si vous utilisez LDAPS ou LDAP + StartTLS, entrez le certificat X.509 codé au format PEM du serveur dans la zone de texte.

      Si vous laissez cette zone de texte vide et que vous cliquez sur le lien Vérifier l'état, NSX se connecte au serveur LDAP. NSX récupère ensuite le certificat du serveur LDAP et vous demande si vous souhaitez approuver ce certificat. Si vous vérifiez que le certificat est correct, cliquez sur OK. La zone de texte Certificat est renseignée avec le certificat récupéré.

    • Si votre nom d'hôte/adresse IP est une adresse IP virtuelle d'équilibreur de charge L4, les serveurs LDAP derrière l'adresse IP virtuelle doivent présenter des certificats signés par la même autorité de certification (CA). Vous devez entrer le certificat X.509 codé au format PEM de l'autorité de certification qui a signé les certificats.

      Si vous n'entrez pas le certificat de l'autorité de certification, NSX vous invite à accepter le certificat de l'un des serveurs LDAP, sélectionné de manière aléatoire par l'équilibreur de charge. Le serveur présente la chaîne d'approbation complète, y compris le certificat de l'autorité de certification qui a signé les certificats des autres serveurs du pool. La connexion LDAP fonctionne lorsqu'elle est acheminée vers un autre serveur. Si le certificat présenté initialement n'inclut pas le certificat d'autorité de certification, le certificat présenté par les autres serveurs LDAP est refusé.

      Pour cette raison, vous devez entrer le certificat de l'autorité de certification qui a signé tous les certificats présentés par les différents serveurs LDAP.

    • Si les serveurs LDAP se trouvent derrière une adresse IP virtuelle d'équilibreur de charge L4, NSX prendra en charge les certificats des serveurs LDAP signés par différentes autorités de certification si ces autorités de certification sont subordonnées à la même autorité de certification racine. Dans ce cas, vous devez ajouter le certificat d'autorité de certification racine au champ Certificat dans la configuration LDAP NSX
    Lier l'identité Entrez le format en tant que user@domainName ou vous pouvez spécifier le nom unique.

    Pour Active Directory, utilisez userPrincipalName (user@domainName) ou le nom unique. Pour OpenLDAP, vous devez fournir un nom unique.

    Cette zone de texte est requise. Mais si votre serveur LDAP prend en charge la liaison anonyme, alors elle est facultative. Consultez votre administrateur de serveur LDAP si vous n'êtes pas sûr.
    Mot de passe Entrez un mot de passe pour le serveur LDAP.

    Cette zone de texte est requise. Mais si votre serveur LDAP prend en charge la liaison anonyme, alors elle est facultative. Consultez l'administrateur de votre serveur LDAP.
  7. Cliquez sur Ajouter.
  8. Entrez le Nom unique de base.
    Pour ajouter un domaine Active Directory, un nom unique de base est nécessaire. Un nom unique de base est le point de départ qu'un serveur LDAP utilise lors de la recherche d'authentification des utilisateurs dans un domaine Active Directory. Par exemple, si votre nom de domaine est corp.local, le nom unique du nom unique de base pour Active Directory est « DC=corp,DC=local ».

    Toutes les entrées d'utilisateur et de groupe que vous prévoyez d'utiliser pour contrôler l'accès à NSX doivent être contenues dans l'arborescence de l'annuaire LDAP racine dans le nom unique de base spécifié. Si le nom unique de base est trop spécifique, comme une unité d'organisation plus approfondie dans votre arborescence LDAP, NSX peut ne pas trouver les entrées dont il a besoin pour localiser les utilisateurs et déterminer l'appartenance au groupe. Si vous n'êtes pas sûr, il est préférable de sélectionner un large nom unique de base.

  9. Vos utilisateurs finaux de NSX peuvent désormais se connecter à l'aide de leur nom de connexion suivi de @ et du nom de domaine de votre serveur LDAP, user_name@domain_name.

Que faire ensuite

Attribuer des rôles aux utilisateurs et aux groupes. Reportez-vous à la section Ajouter une attribution de rôle ou une identité de principal.