NSX Manager は、LDAP クライアントとして機能し、LDAP サーバとのインターフェイスを提供します。

ユーザー認証用に 3 つの ID ソースを設定できます。ユーザーが NSX Manager にログインすると、ユーザーのドメインに適切な LDAP サーバでユーザーの認証が行われます。LDAP サーバは、認証結果とユーザー グループ情報を返します。認証が正常に完了すると、所属するグループに対応するロールがユーザーに割り当てられます。

NSX Manager は、ロード バランサの背後にある複数の LDAP サーバ、LDAPS または StartTLS をサポートしていません。LDAP サーバがロード バランサの背後にある場合は、ロード バランサの仮想 IP アドレスではなく、LDAP サーバのいずれかに直接接続するように NSX を構成します。

注: NSX ロールとしてマッピングされた親グループを持つ Active Directory グループはネストできません。

手順

  1. [システム] > [ユーザーおよびロール] > [LDAP] の順に移動します。
  2. [ID ソースの追加] をクリックします。
  3. ID ソースの [名前] を入力します。
  4. Active Directory を使用している場合は、[ドメイン名] を入力します。これは、Active Directory サーバのドメイン名に対応している必要があります。
  5. タイプとして、[LDAP 経由の Active Directory] または [Open LDAP] のいずれかを選択します。
  6. [設定] をクリックして、LDAP サーバを構成します。ドメインごとに 1 つの LDAP サーバがサポートされます。
    ホスト名/IP

    LDAP サーバのホスト名または IP アドレス。

    LDAP プロトコル [プロトコル] を、LDAP(保護されていない)または LDAPS(保護されている)の中から選択します。
    ポート 選択したプロトコルに基づいてデフォルトのポートが入力されます。LDAP サーバが非標準ポートで実行されている場合は、このテキスト ボックスを編集してポート番号を指定できます。
    接続状態 LDAP サーバ情報など、必須のテキスト ボックスに入力した後、これをクリックして接続をテストできます。
    StartTLS を使用

    選択した場合、LDAPv3 StartTLS 拡張機能が使用され、暗号化を使用するように接続がアップグレードされます。このオプションを使用するかどうかは、LDAP サーバ管理者に確認してください。

    このオプションは、LDAP プロトコルが選択されている場合にのみ使用できます。
    証明書

    LDAPS または LDAP と StartTLS を使用している場合、サーバの PEM でエンコードされた x.509 証明書をこのテキスト ボックスに入力する必要があります。このテキスト ボックスを空白のままにして [状態を確認] リンクをクリックすると、NSX が LDAP サーバに接続します。NSX は、LDAP サーバの証明書を取得し、その証明書を信頼するかどうかをユーザーに確認します。証明書が正しいことを確認したら [OK] をクリックします。証明書のテキスト ボックスに、取得した証明書が入力されます。

    割り当て ID user@domainName の形式にするか、識別名を指定します。

    Active Directory の場合、userPrincipalName (user@domainName) または識別名のいずれかを使用します。OpenLDAP の場合は、識別名を指定する必要があります。

    LDAP サーバが匿名割り当てをサポートしている場合、このテキスト ボックスへの入力はオプションですが、サポートしていない場合は必須になります。不明な場合は、LDAP サーバの管理者に確認してください。

    パスワード LDAP サーバのパスワードを入力します。

    LDAP サーバが匿名割り当てをサポートしている場合、このテキスト ボックスへの入力はオプションですが、サポートしていない場合は必須になります。LDAP サーバの管理者に確認してください。

  7. [追加][適用] の順にクリックします。
  8. NSX-T Data Center のエンド ユーザーは、[user_name@domain_name] のようにログイン名の後に @ および LDAP サーバのドメイン名を使用してログインできるようになりました。

次のタスク

ユーザーまたはグループにロールの割り当てます。ロールの割り当てまたはプリンシパル ID の追加 を参照してください。