VMware Identity Manager™NSX에 통합되어 있거나 LDAP를 인증 제공자로 사용하는 경우 사용자 또는 사용자 그룹에 역할을 할당할 수 있습니다. 역할을 주체 ID에 할당할 수도 있습니다.

주체는 구성 요소 또는 OpenStack 제품과 같은 타사 애플리케이션입니다. 주체 ID를 사용하면 주체가 ID 이름을 사용하여 개체를 생성하고, ID 이름이 동일한 엔티티만 개체를 수정하거나 삭제할 수 있도록 합니다. 주체 ID는 다음과 같은 속성을 포함합니다.
  • 이름
  • 노드 ID - 주체 ID에 할당된 모든 영숫자 값일 수 있습니다.
  • 인증서
  • 주체의 액세스 권한을 나타내는 RBAC 역할

엔터프라이즈 관리자 역할이 있는 사용자(로컬, 원격 또는 주체 ID)는 주체 ID가 소유하는 개체를 수정하거나 삭제할 수 있습니다. 엔터프라이즈 관리자 역할이 없는 사용자(로컬, 원격 또는 주체 ID)는 주체 ID가 소유하는 보호된 개체를 수정하거나 삭제할 수 없지만 보호되지 않는 개체는 수정하거나 삭제할 수 있습니다.

주체 ID 사용자의 인증서가 만료되면 새 인증서를 가져온 후 API를 호출하여 주체 ID 사용자의 인증서를 업데이트해야 합니다(아래 절차 참조). NSX API에 대한 자세한 내용은 https://code.vmware.com에서 사용할 수 있는 API 리소스에 대한 링크를 참조하십시오.

주체 ID 사용자의 인증서는 다음 요구 사항을 충족해야 합니다.
  • SHA256을 기준으로 합니다.
  • 2048비트 또는 키 크기보다 큰 RSA/DSA 메시지 알고리즘입니다.
  • 루트 인증서일 수 없습니다.

API를 사용하여 주체 ID를 삭제할 수 있습니다. 그러나 주체 ID를 삭제해도 해당 인증서가 자동으로 삭제되지는 않습니다. 인증서를 수동으로 삭제해야 합니다.

주체 ID 및 해당 인증서를 삭제하는 단계:
  1. 삭제할 주체 ID의 세부 정보를 가져오고 응답에 certificate_id 값을 기록합니다.

    GET /api/v1/trust-management/principal-identities/<principal-identity-id>

  2. 주체 ID를 삭제합니다.

    DELETE /api/v1/trust-management/principal-identities/<principal-identity-id>

  3. 1단계에서 가져온 certificate_id 값을 사용하여 인증서를 삭제합니다.

    DELETE /api/v1/trust-management/certificates/<certificate_id>

LDAP의 경우 사용자 그룹-사용자 역할 매핑 정보로 구성합니다. 그룹은 AD(Active Directory)에 지정된 사용자 그룹에 해당합니다. NSX에 대한 사용자 사용 권한을 부여하려면 AD의 매핑된 그룹에 해당 사용자를 추가합니다.

사전 요구 사항

인증 제공자가 구성되어 있어야 합니다.

  • vIDM에 대한 역할 할당의 경우 vIDM 호스트가 NSX에 연결되어 있는지 확인합니다. 자세한 내용은 VMware Identity Manager/Workspace ONE Access 통합 구성 항목을 참조하십시오.
  • LDAP에 대한 역할 할당을 위해 LDAP ID 소스가 있는지 확인합니다. 자세한 내용은 LDAP ID 소스 항목을 참조하십시오.

프로시저

  1. 관리자 권한으로 NSX Manager에 로그인합니다.
  2. 시스템 > 사용자 관리를 선택합니다
  3. 역할을 사용자에 할당하려면 추가 > vIDM에 대한 역할 할당을 선택합니다.
    1. 사용자 또는 사용자 그룹을 선택합니다.
    2. 역할을 선택합니다.
    3. 저장을 클릭합니다.
  4. 주체 ID를 추가하려면 추가 > 역할을 가진 주체 ID를 선택합니다.
    1. 주체 ID의 이름을 입력합니다.
    2. 역할을 선택합니다.
    3. 노드 ID를 입력합니다.
    4. 인증서를 PEM 형식으로 입력합니다.
    5. 저장을 클릭합니다.
  5. LDAP에 대한 역할 할당을 추가하려면 추가 > LDAP에 대한 역할 할당을 선택합니다.
    1. 도메인을 선택합니다.
    2. LDAP 디렉토리를 검색할 사용자 이름, 로그인 ID 또는 그룹 이름의 처음 몇 자를 입력한 다음, 나타나는 목록에서 사용자 또는 그룹을 선택합니다.
    3. 역할을 선택합니다.
    4. 저장을 클릭합니다.
  6. (선택 사항) NSX Cloud를 사용하는 경우 NSX Manager 대신 CSM 장치에 로그인하고 1~4단계를 반복합니다.
  7. 주체 ID에 대한 인증서가 만료되면 다음 단계를 수행합니다. 로컬 관리자 또는 글로벌 관리자 주체 ID 인증서를 교체하려면 이 절차를 사용하지 마십시오. 대신 인증서를 교체하려면 자세한 내용은 인증서 바꾸기 항목을 참조하십시오.
    1. 새 인증서를 가져오고 인증서 ID를 기록해 둡니다. 자체 서명된 인증서 또는 CA 서명된 인증서 가져오기 항목을 참조하십시오.
    2. 다음 API를 호출하여 주체 ID의 ID를 가져옵니다.
      GET https://<nsx-mgr>/api/v1/trust-management/principal-identities
    3. 다음 API를 호출하여 주체 ID의 인증서를 업데이트합니다. 가져온 인증서의 ID와 주체 ID의 사용자 ID를 제공해야 합니다.
      예를 들면 다음과 같습니다. 
      POST https://<nsx-mgr>/api/v1/trust-management/principal-identities?action=update_certificate
{
    "principal_identity_id": "ebd3032d-728e-44d4-9914-d4f81c9972cb",
    "certificate_id" : "abd3032d-728e-44d4-9914-d4f81c9972cc"
}