NSX Manager は、LDAP クライアントとして機能し、LDAP サーバとのインターフェイスを提供します。
ユーザー認証用に 3 つの ID ソースを構成できます。ユーザーが NSX Manager にログインすると、ユーザーのドメインに適切な LDAP サーバでユーザーの認証が行われます。LDAP サーバは、認証結果とユーザー グループ情報を返します。認証が正常に完了すると、所属するグループに対応するロールがユーザーに割り当てられます。
Active Directory と統合すると、NSX Manager で samAccountName または userPrincipalName を使用してログインできます。userPrincipalName の @domain 部分が Active Directory インスタンスのドメインと一致しない場合は、NSX の LDAP 構成で代替ドメインも構成する必要があります。
次の例で、Active Directory インスタンスのドメインは example.com で、samAccountName が jsmith のユーザーが [email protected] という userPrincipalName を使用しています。acquiredcompany.com の代替ドメインを構成すると、このユーザーは samAccountName を使用して [email protected] としてログインできます。また、userPrincipalName を使用して [email protected] としてログインすることもできます。
samAccountName はプライマリ ドメインでのみ使用できるため、
[email protected] としてログインすることはできません。
注: LDAP との連携は、
グローバル マネージャ (
NSX フェデレーション) ではサポートされません。
NSX Manager は、ロード バランサの背後にある複数の LDAP サーバ、LDAPS または StartTLS をサポートしていません。LDAP サーバがロード バランサの背後にある場合は、ロード バランサの仮想 IP アドレスではなく、LDAP サーバのいずれかに直接接続するように NSX を構成します。
手順
- の順に移動します。
- [ID ソースの追加] をクリックします。
- ID ソースの [名前] を入力します。
- Active Directory を使用している場合は、[ドメイン名] を入力します。これは、Active Directory サーバのドメイン名に対応している必要があります。
- タイプとして、[LDAP 経由の Active Directory] または [Open LDAP] のいずれかを選択します。
- [設定] をクリックして、LDAP サーバを構成します。ドメインごとに 1 つの LDAP サーバがサポートされます。
|
|
ホスト名/IP |
LDAP サーバのホスト名または IP アドレス。 |
LDAP プロトコル |
[プロトコル] を、LDAP(保護されていない)または LDAPS(保護されている)の中から選択します。 |
ポート |
選択したプロトコルに基づいてデフォルトのポートが入力されます。LDAP サーバが非標準ポートで実行されている場合は、このテキスト ボックスを編集してポート番号を指定できます。 |
接続状態 |
LDAP サーバ情報など、必須のテキスト ボックスに入力した後、[接続状態] をクリックして接続をテストできます。 |
StartTLS を使用 |
選択した場合、LDAPv3 StartTLS 拡張機能が使用され、暗号化を使用するように接続がアップグレードされます。このオプションを使用するかどうかは、LDAP サーバ管理者に確認してください。 このオプションは、LDAP プロトコルが選択されている場合にのみ使用できます。 |
証明書 |
LDAPS または LDAP と StartTLS を使用している場合、サーバの PEM でエンコードされた x.509 証明書をこのテキスト ボックスに入力する必要があります。このテキスト ボックスを空白のままにして [状態を確認] リンクをクリックすると、NSX が LDAP サーバに接続します。NSX は、LDAP サーバの証明書を取得し、その証明書を信頼するかどうかをユーザーに確認します。証明書が正しいことを確認したら [OK] をクリックします。証明書のテキスト ボックスに、取得した証明書が入力されます。 |
割り当て ID |
user@domainName の形式にするか、識別名を指定します。 Active Directory の場合、userPrincipalName (user@domainName) または識別名のいずれかを使用します。OpenLDAP の場合は、識別名を指定する必要があります。 LDAP サーバが匿名割り当てをサポートしている場合、このテキスト ボックスへの入力はオプションですが、サポートしていない場合は必須になります。不明な場合は、LDAP サーバの管理者に確認してください。 |
パスワード |
LDAP サーバのパスワードを入力します。 LDAP サーバが匿名割り当てをサポートしている場合、このテキスト ボックスへの入力はオプションですが、サポートしていない場合は必須になります。LDAP サーバの管理者に確認してください。 |
- [追加] をクリックします。
- [ベース DN] を入力します。
Active Directory ドメインを追加するには、基本識別名 (基本DN) が必要です。ベース DN は、Active Directory ドメイン内のユーザー認証を検索するときに LDAP サーバが使用する開始点となります。たとえば、ドメイン名が corp.local の場合、Active Directory のベース DN の DN は DC=corp,DC=local になります。
NSX-T Data Center へのアクセスの制御に使用するユーザーとグループのすべてのエントリは、指定されたベース DN をルートとする LDAP ディレクトリ ツリーに含まれている必要があります。ベース DN が、LDAP ツリーのより深い位置にある部門名など、非常に狭い範囲に限定されている場合、NSX は、ユーザーを特定してグループ メンバーシップを決定するために必要なエントリを探せない場合があります。不明な場合は、範囲の広いベース DN を選択するようにしてください。
- NSX-T Data Center のエンド ユーザーは、[user_name@domain_name] のようにログイン名の後に @ および LDAP サーバのドメイン名を使用してログインできるようになりました。
次のタスク
ユーザーまたはグループにロールの割り当てます。ロールの割り当てまたはプリンシパル ID の追加 を参照してください。