NSX Manager は、LDAP クライアントとして機能し、LDAP サーバとのインターフェイスを提供します。

ユーザー認証用に 3 つの ID ソースを構成できます。ユーザーが NSX Manager にログインすると、ユーザーのドメインに適切な LDAP サーバでユーザーの認証が行われます。LDAP サーバは、認証結果とユーザー グループ情報を返します。認証が正常に完了すると、所属するグループに対応するロールがユーザーに割り当てられます。

Active Directory と統合すると、NSX Manager で samAccountName または userPrincipalName を使用してログインできます。userPrincipalName の @domain 部分が Active Directory インスタンスのドメインと一致しない場合は、NSX の LDAP 構成で代替ドメインも構成する必要があります。

次の例で、Active Directory インスタンスのドメインは example.com で、samAccountName が jsmith のユーザーが [email protected] という userPrincipalName を使用しています。acquiredcompany.com の代替ドメインを構成すると、このユーザーは samAccountName を使用して [email protected] としてログインできます。また、userPrincipalName を使用して [email protected] としてログインすることもできます。userPrincipalName に @domain の部分がない場合、ユーザーはログインできません。

samAccountName はプライマリ ドメインでのみ使用できるため、[email protected] としてログインすることはできません。

NSX は、LDAP Simple Authentication を使用して Active Directory または OpenLDAP にのみ認証できます。NTLM および Kerberos 認証はサポートされていません。

手順

  1. [システム] > [ユーザー管理] > [LDAP] に移動します。
  2. [ID ソースの追加] をクリックします。
  3. ID ソースの [名前] を入力します。
  4. Active Directory を使用している場合は、[ドメイン名] を入力します。これは、Active Directory サーバのドメイン名に対応している必要があります。
  5. タイプとして、[LDAP 経由の Active Directory] または [Open LDAP] のいずれかを選択します。
  6. [設定] をクリックして、LDAP サーバを構成します。フェイルオーバー サポート用に最大 3 台の LDAP サーバを各ドメインに追加できます。
    ホスト名/IP

    LDAP サーバのホスト名または IP アドレス。

    LDAP プロトコル [プロトコル] で LDAP(保護されていない)または LDAPS(保護されている)を選択します。
    ポート 選択したプロトコルに基づいてデフォルトのポートが入力されます。LDAP サーバが非標準ポートで実行されている場合は、このテキスト ボックスを編集してポート番号を指定できます。
    接続状態 LDAP サーバ情報など、必須のテキスト ボックスに入力した後、[接続状態] をクリックして接続をテストします。
    StartTLS を使用

    選択した場合、LDAPv3 StartTLS 拡張機能が使用され、暗号化を使用するように接続がアップグレードされます。このオプションを使用するかどうかは、LDAP サーバ管理者に確認してください。

    このオプションは、LDAP プロトコルが選択されている場合にのみ使用できます。
    証明書
    • LDAPS または LDAP + StartTLS を使用する場合は、サーバの PEM エンコード X.509 証明書をテキスト ボックスに入力します。

      このテキスト ボックスを空白のままにして [状態を確認] リンクをクリックすると、NSX が LDAP サーバに接続します。NSX は、LDAP サーバの証明書を取得し、その証明書を信頼するかどうかをユーザーに確認します。証明書が正しいことを確認する場合は、[OK] をクリックします。証明書のテキスト ボックスに、取得した証明書が入力されます。

    • ホスト名/IP が L4 ロード バランサの仮想 IP アドレスの場合、仮想 IP アドレスの背後にある LDAP サーバは、同じ認証局 (CA) によって署名された証明書を提供する必要があります。証明書に署名した CA の PEM エンコード X.509 証明書を入力する必要があります。

      CA の証明書を入力しない場合、NSX は、LDAP サーバの証明書のいずれかを受け入れるように求めるプロンプトを表示します。この証明書はロード バランサによってランダムに選択されます。サーバが、プール内の他のサーバの証明書に署名した CA の証明書を含む完全な信頼チェーンを提供した場合、LDAP 接続は、別のサーバにルーティングされるときに機能します。最初に提供された証明書に CA 証明書が含まれていない場合、他の LDAP サーバによって提供された証明書は拒否されます。

      そのため、異なる LDAP サーバによって提供されるすべての証明書に署名した CA の証明書を入力する必要があります。

    • LDAP サーバが L4 ロード バランサ VIP の背後にある場合、NSX は、これらの CA が同じルート CA に従属している場合、異なる CA によって署名された LDAP サーバの証明書をサポートします。この場合、NSX LDAP 構成の証明書フィールドにルート CA 証明書を追加する必要があります。
    割り当て ID user@domainName の形式で入力します。識別名を指定することもできます。

    Active Directory の場合は、userPrincipalName (user@domainName) または識別名のいずれかを使用します。OpenLDAP の場合は、識別名を指定する必要があります。

    LDAP サーバが匿名割り当てをサポートしている場合、このテキスト ボックスへの入力はオプションですが、サポートしていない場合は必須になります。不明な場合は、LDAP サーバの管理者に確認してください。

    パスワード LDAP サーバのパスワードを入力します。

    LDAP サーバが匿名割り当てをサポートしている場合、このテキスト ボックスへの入力はオプションですが、サポートしていない場合は必須になります。LDAP サーバの管理者に確認してください。

  7. [追加] をクリックします。
  8. [ベース DN] を入力します。
    Active Directory ドメインを追加するには、基本識別名 (基本DN) が必要です。ベース DN は、Active Directory ドメイン内のユーザー認証を検索するときに LDAP サーバが使用する開始点となります。たとえば、ドメイン名が corp.local の場合、Active Directory のベース DN の DN は DC=corp,DC=local になります。

    NSX へのアクセスの制御に使用するユーザーとグループのすべてのエントリは、指定されたベース DN をルートとする LDAP ディレクトリ ツリーに含まれている必要があります。ベース DN が、LDAP ツリーのより深い位置にある部門名など、非常に狭い範囲に限定されている場合、NSX は、ユーザーを特定してグループ メンバーシップを決定するために必要なエントリを探せない場合があります。不明な場合は、範囲の広いベース DN を選択するようにしてください。

  9. NSX のエンド ユーザーは、[user_name@domain_name] のようにログイン名の後に @ および LDAP サーバのドメイン名を使用してログインできるようになりました。

次のタスク

ユーザーまたはグループにロールの割り当てます。「ロールの割り当てまたはプリンシパル ID の追加」を参照してください。