NSX Manager는 LDAP 클라이언트로 작동되고 LDAP 서버와 연결됩니다.

사용자 인증을 위해 세 개의 ID 소스를 구성할 수 있습니다. 사용자가 NSX Manager에 로그인하면 사용자 도메인의 해당 LDAP 서버에 대해 사용자가 인증됩니다. LDAP 서버는 인증 결과 및 사용자 그룹 정보를 사용하여 다시 응답합니다. 성공적으로 인증되면 사용자에게 속해 있는 그룹에 해당하는 역할이 할당됩니다.

Active Directory와 통합하는 경우 NSX Manager에서 해당 samAccountName 또는 userPrincipalName을 사용하여 로그인할 수 있습니다. userPrincipalName의 @domain 부분이 Active Directory 인스턴스의 도메인과 일치하지 않으면 NSX에 대한 LDAP 구성에서 대체 도메인도 구성해야 합니다.

다음 예제에서 Active Directory 인스턴스의 도메인은 "example.com"이고 samAccountName이 "jsmith"인 사용자의 userPrincipalName은 [email protected]입니다. "acquiredcompany.com"의 대체 도메인을 구성하는 경우 이 사용자는 samAccountName을 사용하여 "[email protected]" 또는 userPrincipalName를 사용하여 [email protected]으로 로그인할 수 있습니다. userPrincipalName에 @domain 부분이 없으면 사용자는 로그인할 수 없습니다.

samAccountName은 기본 도메인에만 사용할 수 있기 때문에 [email protected]으로 로그인할 수 없습니다.

프로시저

  1. 시스템 > 사용자 관리 > LDAP로 이동합니다.
  2. ID 소스 추가를 클릭합니다.
  3. ID 소스의 이름을 입력합니다.
  4. 도메인 이름을 입력합니다. Active Directory를 사용하는 경우 Active Directory 서버의 도메인 이름과 일치해야 합니다.
  5. LDAP를 통한 Active Directory 또는 LDAP 열기 유형 중 하나를 선택합니다.
  6. LDAP 서버를 구성하려면 설정을 클릭합니다. 페일오버 지원을 위해 각 도메인에 최대 3개의 LDAP 서버를 추가할 수 있습니다.
    호스트 이름/IP

    LDAP 서버의 호스트 이름 또는 IP 주소입니다.
    LDAP 프로토콜 프로토콜: LDAP(보안 안 됨) 또는 LDAPS(보안)를 선택합니다.
    포트 기본 포트는 선택한 프로토콜에 따라 채워집니다. LDAP 서버가 비표준 포트에서 실행되는 경우 이 텍스트 상자를 편집하여 포트 번호를 지정할 수 있습니다.
    연결 상태 LDAP 서버 정보를 포함하여 필수 텍스트 상자를 채운 후 연결 상태를 클릭하여 연결을 테스트할 수 있습니다.
    StartTLS 사용

    선택하는 경우 LDAPv3 StartTLS 확장을 사용하여 암호화를 사용하도록 연결을 업그레이드합니다. 이 옵션을 사용해야 하는지 여부를 확인하려면 LDAP 서버 관리자에게 문의하십시오.

    이 옵션은 LDAP 프로토콜을 선택한 경우에만 사용할 수 있습니다.
    인증서
    • LDAPS 또는 LDAP + StartTLS를 사용하는 경우 텍스트 상자에 서버의 PEM 인코딩된 X.509 인증서를 입력합니다.

      이 텍스트 상자를 비워 두고 상태 확인 링크를 클릭하면 NSX LDAP(Lightweight Directory Access Protocol) 서버에 연결됩니다. 그런 다음, NSX에서는 LDAP 서버의 인증서를 검색하고 해당 인증서를 신뢰할지 묻는 메시지를 표시합니다. 인증서가 올바른지 확인하면 확인을 클릭합니다. 인증서 텍스트 상자가 검색된 인증서로 채워집니다.

    • 호스트 이름/IP가 L4 로드 밸런서 VIP인 경우 VIP 뒤에 있는 LDAP 서버는 동일한 CA(인증 기관)에서 서명한 인증서를 제공해야 합니다. 인증서를 서명한 CA의 PEM 인코딩된 X.509 인증서를 입력해야 합니다.

      CA의 인증서를 입력하지 않으면 NSX는 로드 밸런서가 임의로 선택하는 LDAP 서버 중 하나의 인증서를 수락하라는 메시지를 표시합니다. 서버가 풀에 있는 다른 서버의 인증서에 서명한 CA의 인증서를 포함하여 전체 신뢰 체인을 제공하는 경우 LDAP 연결은 다른 서버로 라우팅될 때 작동합니다. 처음에 제시된 인증서에 CA 인증서가 포함되지 않은 경우 다른 LDAP 서버에서 제공한 인증서가 거부됩니다.

      이러한 이유로 서로 다른 LDAP 서버에서 제공한 모든 인증서에 서명한 CA의 인증서를 입력해야 합니다.

    • LDAP 서버가 L4 로드 밸런서 VIP 뒤에 있는 경우, NSX는 해당 CA가 동일한 루트 CA에 종속된다면 다른 CA에서 서명한 LDAP 서버의 인증서를 지원합니다. 이 경우 루트 CA 인증서를 NSX LDAP 구성의 인증서 필드에 추가해야 합니다.
    바인딩 ID user@domainName 형식으로 입력하거나 고유 이름을 지정할 수 있습니다.

    Active Directory의 경우 userPrincipalName(user@domainName) 또는 고유 이름을 사용합니다. OpenLDAP의 경우 고유 이름을 제공해야 합니다.

    이 텍스트 상자는 LDAP 서버가 익명 바인딩을 지원하지 않으면 필수이고, 지원하면 선택 사항입니다. 확실하지 않은 경우 LDAP 서버 관리자에게 문의하십시오.
    암호 LDAP 서버의 암호를 입력합니다.

    이 텍스트 상자는 LDAP 서버가 익명 바인딩을 지원하지 않으면 필수이고, 지원하면 선택 사항입니다. LDAP 서버 관리자에게 문의하십시오.
  7. 추가를 클릭합니다.
  8. 기본 DN을 입력합니다.
    Active Directory 도메인을 추가하려면 기본 고유 이름(기본 DN)이 필요합니다. 기본 DN은 LDAP 서버가 Active Directory 도메인 내에서 사용자 인증을 검색할 때 사용하는 시작점입니다. 예를 들어, 도메인 이름이 corp.local인 경우, Active Directory의 기본 DN은 "DC=corp,DC=local"입니다.

    NSX에 대한 액세스를 제어하는 데 사용하려는 모든 사용자 및 그룹 항목이 지정된 기본 DN을 기준으로 하는 LDAP 디렉토리 트리 내에 포함되어야 합니다. 기본 DN이 너무 구체적인 항목으로 설정되면(예: LDAP 트리에서 더 깊은 조직 구성단위) NSX에서 사용자를 찾고 그룹 멤버 자격을 확인하는 데 필요한 항목을 찾지 못할 수 있습니다. 잘 모를 경우 광범위한 기본 DN을 선택하는 것이 가장 좋습니다.

  9. 이제 NSX 최종 사용자는 로그인 이름 뒤에 @을 사용하여 로그인하고 LDAP 서버의 도메인 이름, user_name@domain_name을 사용하여 로그인할 수 있습니다.

다음에 수행할 작업

사용자 또는 그룹에 역할을 할당합니다. 역할 할당 또는 주체 ID 추가를 참조하십시오.