NSX-T Data Center 3.1 で NSX Manager にログインするには、ローカル ユーザー アカウント、VMware Identity Manager (vIDM) によって管理されているユーザー アカウント、または LDAP 経由の Active Directory や OpenLDAP などのディレクトリ サービスで管理されているユーザー アカウントを使用します。また、vIDM またはディレクトリ サービスで管理されているユーザー アカウントにロールを割り当て、ロールベースのアクセス制御を実装することもできます。
また、NSX-T Data Center 3.1.1 以降では、2 人のゲスト ユーザーを作成できるようになり、NSX Manager ユーザー インターフェイスで使用できるようになりました。
NSX Manager は、システムによって生成されたセッション ID のみを認識します。管理者のログアウトまたはその他のセッションの終了時にセッション ID を無効にします。ログインに成功すると、NSX Manager は乱数ジェネレータを使用してランダムなセッション ID を生成し、メモリに格納します。クライアントが NSX Manager に要求を送信すると、クライアントから提示されたセッション ID がサーバによって生成された ID のいずれかと一致する場合にのみ、クライアントに認証を許可します。ユーザーが NSX Manager からログアウトすると、セッション ID は直ちに破棄されます。再利用することはできません。
ユーザー インターフェイス、API、CLI を介した NSX Manager へのアクセスは認証と認可の対象となります。また、このようなアクセスが発生すると、監査ログが生成されます。このログはデフォルトで有効になっており、無効にすることはできません。セッションの監査はシステム起動時に開始します。監査ログ メッセージの構造化データの部分に audit="true"
というテキストが含まれています。
NSX アプライアンスのローカル ユーザーのパスワードは、デフォルトの Linux/PAM ライブラリで保護されています。このライブラリに、/etc/shadow のハッシュ値とソルト値が格納されます。NSX Manager は、SHA512 暗号ハッシュ アルゴリズムを使用して、ローカル ユーザーのパスワードをハッシュ化します。認証時に、ユーザーが入力したパスワードは難読化されます。その他のパスワードは、ローカル ファイル システムに格納されているランダム キーを使用して暗号化されます。詳細については、VMware Security Hardening Guidesを参照するか、SHA512 Ubuntu MAN ページと Understanding /etc/shadow file format on Linux というタイトルのインターネット FAQ を参照してください。