NSX Manager 可充當 LDAP 用戶端,並與 LDAP 伺服器互動。
可設定三個身分識別來源來進行使用者驗證。當使用者登入 NSX Manager 時,系統會根據使用者網域的適當 LDAP 伺服器來驗證使用者。LDAP 伺服器會使用驗證結果和使用者群組資訊回應。驗證成功後,系統會為使用者指派與其所屬群組對應的角色。
與 Active Directory 整合時,NSX Manager 會允許使用者使用其 samAccountName 或 userPrincipalName 登入。如果 userPrincipalName 的 @domain 部分與 Active Directory 執行個體的網域不相符,則您也應該在 LDAP 組態中為 NSX 設定替代網域。
在下列範例中,Active Directory 執行個體的網域為「example.com」,且具有 samAccountName 的「jsmith」的使用者具有 [email protected] 的 userPrincipalName。如果您設定「acquiredcompany.com」的替代網域,則此使用者可以使用 samAccountName 以「[email protected]」的身分或使用 userPrincipalName 以 [email protected] 的身分登入。
以
[email protected] 登入將沒有作用,因為 samAccountName 只能與主要網域搭配使用。
備註:
全域管理程式 (
NSX 聯盟) 上不支援 LDAP 整合
NSX Manager 不支援在負載平衡器後方的多個 LDAP 伺服器,以及 LDAPS 或 StartTLS。如果 LDAP 伺服器位於負載平衡器後方,請將 NSX 設定為直接連線至其中一個 LDAP 伺服器,而非負載平衡器虛擬 IP 位址。
程序
- 導覽至。
- 按一下新增身分識別來源。
- 輸入身分識別來源的名稱。
- 輸入網域名稱,此名稱必須對應於 Active Directory 伺服器的網域名稱 (如果使用 Active Directory)。
- 選取類型:Active Directory over LDAP 或 Open LDAP 之一。
- 按一下設定以設定 LDAP 伺服器。每個網域都支援一個 LDAP 伺服器。
|
|
主機名稱/IP |
LDAP 伺服器的主機名稱或 IP 位址。 |
LDAP 通訊協定 |
選取通訊協定:LDAP (不安全) 或 LDAPS (安全)。 |
連接埠 |
將根據選取的通訊協定填入預設連接埠。如果您的 LDAP 伺服器正在非標準連接埠上執行,您可以編輯此文字方塊以提供連接埠號碼。 |
連線狀態 |
填寫必要文字方塊 (包括 LDAP 伺服器資訊) 後,您可以按一下連線狀態來測試連線。 |
使用 StartTLS |
如果已選取,則會使用 LDAPv3 StartTLS 延伸來升級要使用加密的連線。若要判定是否應使用此選項,請洽詢您的 LDAP 伺服器管理員。 僅在選取 LDAP 通訊協定時才能使用此選項。 |
憑證 |
如果您使用 LDAPS 或 LDAP + StartTLS,則此文字方塊應包含伺服器的 PEM 編碼 x.509 憑證。如果您將此文字方塊保留空白,然後按一下檢查狀態連結,則 NSX 會連線至 LDAP 伺服器。接著,NSX 會擷取 LDAP 伺服器的憑證,並詢問您是否要信任該憑證。如果您確認憑證正確無誤,請按一下確定,然後憑證文字方塊將填入已擷取的憑證。 |
繫結身分識別 |
格式為 user@domainName,您也可以指定辨別名稱。 對於 Active Directory,您可以使用 userPrincipalName (user@domainName) 或辨別名稱。對於 OpenLDAP,您必須提供辨別名稱。 此文字方塊為必填,除非您的 LDAP 伺服器支援匿名繫結,則此為選用。如果您不確定,請洽詢您的 LDAP 伺服器管理員。 |
密碼 |
輸入 LDAP 伺服器的密碼。 此文字方塊為必填,除非您的 LDAP 伺服器支援匿名繫結,則此為選用。請洽詢您的 LDAP 伺服器管理員。 |
- 按一下新增。
- 輸入基本 DN。
若要新增 Active Directory 網域,則需要基本辨別名稱 (基本 DN)。基本 DN 是在 Active Directory 網域內搜尋使用者驗證時,LDAP 伺服器所使用的起點。例如,如果您的網域名稱為 corp.local,則 Active Directory 基本 DN 的 DN 會是「DC=corp,DC=local」。
您打算用於控制對 NSX-T Data Center 存取權的所有使用者和群組項目,必須包含在指定基本 DN 根目錄中的 LDAP 目錄樹狀結構內。如果基本 DN 的設定過於特定,例如 LDAP 樹狀結構中較深層的組織單位,則 NSX 可能會找不到尋找使用者並判斷群組成員資格時所需的項目。如果您不確定,最佳做法是選取廣泛的基本 DN。
- 您的 NSX-T Data Center 使用者現在可以使用其登入名稱 (後面接著 @ 和 LDAP 伺服器的網域名稱,例如user_name@domain_name) 進行登入。
下一步
將角色指派給使用者和群組。請參閱新增角色指派或主體身分識別。