NSX Manager agisce da client LDAP e comunica con i server LDAP.

È possibile configurare tre origini di identità per l'autenticazione degli utenti. Quando un utente accede a NSX Manager, viene autenticato nel server LDAP appropriato del dominio dell'utente. Il server LDAP risponde con i risultati dell'autenticazione e le informazioni relative al gruppo di utenti. Una volta eseguita l'autenticazione, all'utente vengono assegnati i ruoli corrispondenti ai gruppi a cui appartiene.

Quando si esegue l'integrazione con Active Directory, NSX Manager consente agli utenti di accedere utilizzando samAccountName o userPrincipalName. Se la parte di @domain di userPrincipalName non corrisponde al dominio dell'istanza di Active Directory, è inoltre necessario configurare un dominio alternativo nella configurazione LDAP per NSX.

Nell'esempio seguente, il dominio dell'istanza di Active Directory è "example.com" e un utente con samAccountName "jsmith" ha [email protected] come userPrincipalName. Se si configura il dominio alternativo "acquiredcompany.com", tale utente può accedere come "[email protected]" utilizzando samAccountName o come [email protected] utilizzando userPrincipalName. Se userPrincipalName non ha una parte @domain, l'utente non potrà accedere.

L'accesso come [email protected] non funzionerà perché samAccountName può essere utilizzato solo con il dominio primario.

NSX può eseguire l'autenticazione in Active Directory o OpenLDAP solo utilizzando l'autenticazione semplice LDAP. Le autenticazioni NTLM e Kerberos non sono supportate.

Procedura

  1. Passare a Sistema > Gestione utenti > LDAP.
  2. Fare clic su Aggiungi origine identità.
  3. Immettere un Nome per l'origine dell'identità.
  4. Immettere il Nome dominio, che dovrà corrispondere al nome di dominio del server Active Directory, se si utilizza Active Directory.
  5. Selezionare il tipo: Active Directory su LDAP o LDAP aperto.
  6. Fare clic su Imposta per configurare i server LDAP. A ogni dominio è possibile aggiungere fino a tre server LDAP per il supporto del failover.
    Nome host/IP

    Il nome host o l'indirizzo IP del server LDAP.
    Protocollo LDAP Selezionare il protocollo: LDAP (non protetto) o LDAPS (protetto).
    Porta La porta predefinita viene popolata in base al protocollo selezionato. Se il server LDAP è in esecuzione in una porta non standard, è possibile modificare questa casella di testo per specificare il numero della porta.
    Stato connessione Compilare le caselle di testo obbligatorie, incluse le informazioni del server LDAP, quindi fare clic su Stato connessione per verificare la connessione.
    Utilizza StartTLS

    Se questa opzione è selezionata, viene utilizzata l'estensione LDAPv3 StartTLS per aggiornare la connessione in modo che utilizzi la crittografia. Per determinare l'utilizzo di questa opzione, rivolgersi all'amministratore del server LDAP.

    Questa opzione è disponibile solo se è selezionato il protocollo LDAP.
    Certificato
    • Se si utilizza LDAPS o LDAP + StartTLS, immettere il certificato X.509 con codifica PEM del server nella casella di testo.

      Se si lascia vuota questa casella di testo e si fa clic sul collegamento Controlla stato, NSX si connette al server LDAP. NSX recupera quindi il certificato del server LDAP e chiede se si desidera considerare attendibile tale certificato. Se si verifica che il certificato è corretto, fare clic su OK. La casella di testo del certificato viene compilata con il certificato recuperato .

    • Se il nome host o l'IP è un VIP di bilanciamento del carico L4, i server LDAP dietro al VIP devono includere certificati firmati dalla stessa autorità di certificazione (CA). È necessario immettere il certificato X.509 con codifica PEM dell'autorità di certificazione che ha firmato i certificati.

      Se non si immette il certificato della CA, NSX indicherà di accettare il certificato di uno dei server LDAP selezionato in modo casuale dal bilanciamento del carico. Se il server include la catena di attendibilità completa, compreso il certificato della CA che ha firmato i certificati degli altri server nel pool, la connessione LDAP funzionerà quando viene instradata verso un altro server. Se il certificato presentato inizialmente non include il certificato della CA, il certificato presentato dagli altri server LDAP non viene accettato.

      Per tale motivo, è necessario immettere il certificato dell'autorità di certificazione che ha firmato tutti i certificati presentati dai vari server LDAP.

    • Se i server LDAP si trovano dietro un VIP del bilanciamento del carico L4, NSX supporterà i certificati dei server LDAP firmati da CA diverse se tali CA sono subordinate alla stessa CA root. In questo caso, è necessario aggiungere il certificato CA root al campo del certificato nella configurazione di LDAP di NSX
    Identità di binding Immettere il formato user@domainName oppure è possibile specificare il nome distinto.

    Per Active Directory, utilizzare userPrincipalName (user@domainName) o il nome distinto. Per OpenLDAP è necessario fornire un nome distinto.

    Questa casella di testo è obbligatoria, a meno che il server LDAP non supporti il binding anonimo: in questo caso è facoltativa. In caso di dubbi, contattare l'amministratore del server LDAP.
    Password Immettere una password per il server LDAP.

    Questa casella di testo è obbligatoria, a meno che il server LDAP non supporti il binding anonimo: in questo caso è facoltativa. Contattare l'amministratore del server LDAP.
  7. Fare clic su Aggiungi.
  8. Immettere il DN di base.
    Per aggiungere un dominio Active Directory, è necessario un nome distinto di base (DN di base). Un DN di base è il punto di partenza che un server LDAP utilizza quando cerca l'autenticazione degli utenti all'interno di un dominio di Active Directory. Ad esempio, se il nome dominio è corp.local, il DN per il DN di base per Active Directory sarà "DC=corp,DC=local".

    Tutte le voci di utenti e gruppi che si intende utilizzare per controllare l'accesso a NSX devono essere contenute nella struttura della directory LDAP con radice nel DN di base specificato. Se il DN di base è impostato su un valore troppo specifico, ad esempio una unità organizzativa più in profondità nella struttura LDAP, NSX potrebbe non essere in grado di trovare le voci necessarie per individuare gli utenti e determinare l'iscrizione al gruppo. In caso di dubbi, selezionare un DN di base esteso è una procedura consigliata.

  9. Gli utenti finali di NSX possono ora accedere utilizzando il proprio nome di accesso seguito da @ e dal nome di dominio del server LDAP, user_name@domain_name.

Operazioni successive

Assegnare i ruoli a utenti e gruppi. Vedere Aggiunta di un'assegnazione di ruolo o di un'identità entità.