NSX Manager 可充當 LDAP 用戶端,並與 LDAP 伺服器互動。

可設定三個身分識別來源來進行使用者驗證。當使用者登入 NSX Manager 時,系統會根據使用者網域的適當 LDAP 伺服器來驗證使用者。LDAP 伺服器會使用驗證結果和使用者群組資訊回應。驗證成功後,系統會為使用者指派與其所屬群組對應的角色。

與 Active Directory 整合時,NSX Manager 會允許使用者使用其 samAccountName 或 userPrincipalName 登入。如果 userPrincipalName 的 @domain 部分與 Active Directory 執行個體的網域不相符,則您也應該在 LDAP 組態中為 NSX 設定替代網域。

在下列範例中,Active Directory 執行個體的網域為「example.com」,且具有 samAccountName 的「jsmith」的使用者具有 John.Smith@acquiredcompany.com 的 userPrincipalName。如果您設定「acquiredcompany.com」的替代網域,則此使用者可以使用 samAccountName 以「jsmith@example.com」的身分或使用 userPrincipalName 以 John.Smith@acquiredcompany.com 的身分登入。

以 jsmith@acquiredcompany.com 登入將沒有作用,因為 samAccountName 只能與主要網域搭配使用。
備註: 全域管理程式 ( NSX 聯盟) 上不支援 LDAP 整合

NSX Manager 不支援在負載平衡器後方的多個 LDAP 伺服器,以及 LDAPS 或 StartTLS。如果 LDAP 伺服器位於負載平衡器後方,請將 NSX 設定為直接連線至其中一個 LDAP 伺服器,而非負載平衡器虛擬 IP 位址。

程序

  1. 導覽至系統 > 使用者和角色 > LDAP
  2. 按一下新增身分識別來源
  3. 輸入身分識別來源的名稱
  4. 輸入網域名稱,此名稱必須對應於 Active Directory 伺服器的網域名稱 (如果使用 Active Directory)。
  5. 選取類型:Active Directory over LDAPOpen LDAP 之一。
  6. 按一下設定以設定 LDAP 伺服器。每個網域都支援一個 LDAP 伺服器。
    主機名稱/IP

    LDAP 伺服器的主機名稱或 IP 位址。

    LDAP 通訊協定 選取通訊協定:LDAP (不安全) 或 LDAPS (安全)。
    連接埠 將根據選取的通訊協定填入預設連接埠。如果您的 LDAP 伺服器正在非標準連接埠上執行,您可以編輯此文字方塊以提供連接埠號碼。
    連線狀態 填寫必要文字方塊 (包括 LDAP 伺服器資訊) 後,您可以按一下連線狀態來測試連線。
    使用 StartTLS

    如果已選取,則會使用 LDAPv3 StartTLS 延伸來升級要使用加密的連線。若要判定是否應使用此選項,請洽詢您的 LDAP 伺服器管理員。

    僅在選取 LDAP 通訊協定時才能使用此選項。
    憑證

    如果您使用 LDAPS 或 LDAP + StartTLS,則此文字方塊應包含伺服器的 PEM 編碼 x.509 憑證。如果您將此文字方塊保留空白,然後按一下檢查狀態連結,則 NSX 會連線至 LDAP 伺服器。接著,NSX 會擷取 LDAP 伺服器的憑證,並詢問您是否要信任該憑證。如果您確認憑證正確無誤,請按一下確定,然後憑證文字方塊將填入已擷取的憑證。

    繫結身分識別 格式為 user@domainName,您也可以指定辨別名稱。

    對於 Active Directory,您可以使用 userPrincipalName (user@domainName) 或辨別名稱。對於 OpenLDAP,您必須提供辨別名稱。

    此文字方塊為必填,除非您的 LDAP 伺服器支援匿名繫結,則此為選用。如果您不確定,請洽詢您的 LDAP 伺服器管理員。

    密碼 輸入 LDAP 伺服器的密碼。

    此文字方塊為必填,除非您的 LDAP 伺服器支援匿名繫結,則此為選用。請洽詢您的 LDAP 伺服器管理員。

  7. 按一下新增
  8. 輸入基本 DN
    若要新增 Active Directory 網域,則需要基本辨別名稱 (基本 DN)。基本 DN 是在 Active Directory 網域內搜尋使用者驗證時,LDAP 伺服器所使用的起點。例如,如果您的網域名稱為 corp.local,則 Active Directory 基本 DN 的 DN 會是「DC=corp,DC=local」。

    您打算用於控制對 NSX-T Data Center 存取權的所有使用者和群組項目,必須包含在指定基本 DN 根目錄中的 LDAP 目錄樹狀結構內。如果基本 DN 的設定過於特定,例如 LDAP 樹狀結構中較深層的組織單位,則 NSX 可能會找不到尋找使用者並判斷群組成員資格時所需的項目。如果您不確定,最佳做法是選取廣泛的基本 DN。

  9. 您的 NSX-T Data Center 使用者現在可以使用其登入名稱 (後面接著 @ 和 LDAP 伺服器的網域名稱,例如user_name@domain_name) 進行登入。

後續步驟

將角色指派給使用者和群組。請參閱新增角色指派或主體身分識別