NSX Manager 可充當 LDAP 用戶端,並與 LDAP 伺服器互動。
可設定三個身分識別來源來進行使用者驗證。當使用者登入 NSX Manager 時,系統會根據使用者網域的適當 LDAP 伺服器來驗證使用者。LDAP 伺服器會使用驗證結果和使用者群組資訊回應。驗證成功後,系統會為使用者指派與其所屬群組對應的角色。
與 Active Directory 整合時,NSX Manager 會允許使用者使用其 samAccountName 或 userPrincipalName 登入。如果 userPrincipalName 的 @domain 部分與 Active Directory 執行個體的網域不相符,則您也應該在 LDAP 組態中為 NSX 設定替代網域。
在下列範例中,Active Directory 執行個體的網域為「example.com」,且具有 samAccountName 的「jsmith」的使用者具有 [email protected] 的 userPrincipalName。如果您設定「acquiredcompany.com」的替代網域,則此使用者可以使用 samAccountName 以「[email protected]」的身分或使用 userPrincipalName 以 [email protected] 的身分登入。如果 userPrincipalName 沒有 @domain 部分,則使用者將無法登入。
以 [email protected] 登入將沒有作用,因為 samAccountName 只能與主要網域搭配使用。
程序
- 導覽至。
- 按一下新增身分識別來源。
- 輸入身分識別來源的名稱。
- 輸入網域名稱,此名稱必須對應於 Active Directory 伺服器的網域名稱 (如果使用 Active Directory)。
- 選取類型:Active Directory over LDAP 或 Open LDAP 之一。
- 按一下設定以設定 LDAP 伺服器。最多可以對每個網域新增三個 LDAP 伺服器,以支援容錯移轉。
|
|
| 主機名稱/IP |
LDAP 伺服器的主機名稱或 IP 位址。 |
| LDAP 通訊協定 |
選取通訊協定:LDAP (不安全) 或 LDAPS (安全)。 |
| 連接埠 |
將根據選取的通訊協定填入預設連接埠。如果您的 LDAP 伺服器在非標準連接埠上執行,您可以編輯此文字方塊以提供連接埠號碼。 |
| 連線狀態 |
填寫必要文字方塊 (包括 LDAP 伺服器資訊),然後按一下連線狀態來測試連線。 |
| 使用 StartTLS |
如果已選取,則會使用 LDAPv3 StartTLS 延伸來升級要使用加密的連線。若要判定是否應使用此選項,請洽詢您的 LDAP 伺服器管理員。 僅在選取 LDAP 通訊協定時才能使用此選項。 |
| 憑證 |
- 如果您使用 LDAPS 或 LDAP + StartTLS,請在文字方塊中輸入伺服器的 PEM 編碼的 X.509 憑證。
如果您將此文字方塊保留空白,然後按一下檢查狀態連結,則 NSX-T Data Center 會連線至 LDAP 伺服器。NSX-T Data Center 接著會擷取 LDAP 伺服器的憑證,並詢問您是否要信任該憑證。如果您確認憑證無誤,請按一下確定。憑證文字方塊中會填入所擷取的憑證。
- 如果您的主機名稱/IP 是 L4 負載平衡器 VIP,則 VIP 後面的 LDAP 伺服器必須提供由同一憑證授權機構 (CA) 簽署的憑證。您必須輸入對憑證進行簽署之 CA 的 PEM 編碼的 X.509 憑證。
如果您未輸入該 CA 的憑證,NSX-T Data Center 會提示您接受其中一個 LDAP 伺服器的憑證,也就是負載平衡器隨機選取的憑證。如果伺服器提供完整的信任鏈,包括對集區中其他伺服器之憑證進行簽署的 CA 的憑證,則 LDAP 連線將可在路由至其他伺服器時正常運作。如果最初提供的憑證不包含 CA 憑證,則其他 LDAP 伺服器提供的憑證將遭到拒絕。 因此,您必須輸入 CA (已簽署了一或多個不同 LDAP 伺服器所提供的所有憑證) 的憑證。
- 如果 LDAP 伺服器位於 L4 負載平衡器 VIP 後面,NSX-T Data Center 將支援由不同 CA 簽署的 LDAP 伺服器的憑證,但前提是這些 CA 是同一根 CA 的下層。在這種情況下,您必須將根 CA 憑證新增至 NSX LDAP 組態中的憑證欄位
|
| 繫結身分識別 |
請以 user@domainName 的格式輸入,您也可以指定辨別名稱。 對於 Active Directory,請使用 userPrincipalName (user@domainName) 或辨別名稱。對於 OpenLDAP,您必須提供辨別名稱。 此文字方塊為必填,除非您的 LDAP 伺服器支援匿名繫結,則此為選用。如果您不確定,請洽詢您的 LDAP 伺服器管理員。 |
| 密碼 |
輸入 LDAP 伺服器的密碼。 此文字方塊為必填,除非您的 LDAP 伺服器支援匿名繫結,則此為選用。請洽詢您的 LDAP 伺服器管理員。 |
- 按一下新增。
- 輸入基本 DN。
若要新增 Active Directory 網域,則需要基本辨別名稱 (基本 DN)。基本 DN 是在 Active Directory 網域內搜尋使用者驗證時,LDAP 伺服器所使用的起點。例如,如果您的網域名稱為 corp.local,則 Active Directory 基本 DN 的 DN 會是「DC=corp,DC=local」。
您打算用於控制對 NSX-T Data Center 存取權的所有使用者和群組項目,必須包含在指定基本 DN 根目錄中的 LDAP 目錄樹狀結構內。如果基本 DN 的設定過於特定,例如 LDAP 樹狀結構中較深層的組織單位,則 NSX 可能會找不到尋找使用者並判斷群組成員資格時所需的項目。如果您不確定,最佳做法是選取廣泛的基本 DN。
- 您的 NSX-T Data Center 使用者現在可以使用其登入名稱 (後面接著 @ 和 LDAP 伺服器的網域名稱,例如user_name@domain_name) 進行登入。
下一步
將角色指派給使用者和群組。請參閱新增角色指派或主體身分識別。
