在 NSX-T Data Center 3.1 中,您可以使用本機使用者帳戶、由 VMware Identity Manager (vIDM) 管理的使用者帳戶,或由目錄服務 (例如 Active Directory over LDAP/OpenLDAP) 所管理的使用者帳戶來登入 NSX Manager。您也可以將角色指派給 vIDM 或目錄服務所管理的使用者帳戶,以實作角色型存取控制。
此外,從 NSX-T Data Center 3.1.1 開始已導入兩個客體使用者,可與 NSX Manager UI 搭配使用。
NSX Manager 僅會辨識系統產生的工作階段識別碼,並在管理員登出或其他工作階段終止時,使工作階段識別碼失效。登入成功後,NSX Manager 會使用亂數產生器來建立隨機工作階段識別碼,並將該識別碼儲存在記憶體中。用戶端向 NSX Manager 提出要求時,僅允許用戶端在其呈現的工作階段識別碼與伺服器產生的其中一個識別碼相符時才進行驗證。當任何使用者登出 NSX Manager 時,工作階段識別碼會立即銷毀,且無法重複使用。
透過 UI、API 和 CLI 存取 NSX Manager,會受到驗證和授權的約束。此外,此類存取會產生稽核記錄。此記錄依預設為啟用,且無法停用。工作階段稽核會在系統啟動時啟動。稽核記錄訊息包含記錄訊息結構化資料部分中的文字 audit="true"
。
NSX 應用裝置上的本機使用者密碼可使用在 /etc/shadow 中儲存雜湊和 Salt 表示的預設 Linux/PAM 程式庫進行保護。NSX Manager 會使用 SHA512 密碼編譯雜湊演算法來對本機使用者密碼進行雜湊處理。在驗證期間,系統會對使用者輸入的密碼進行模糊處理。其他密碼會使用儲存在本機檔案系統中的隨機金鑰進行加密。如需詳細資料,請參閱 VMware 安全性強化指南,或檢閱 SHA512 Ubuntu MAN 頁面以及標題為「瞭解 Linux 上的 /etc/shadow 檔案格式」的網際網路常見問題集。