NSX Manager 可充當 LDAP 用戶端,並與 LDAP 伺服器互動。

可設定三個身分識別來源來進行使用者驗證。當使用者登入 NSX Manager 時,系統會根據使用者網域的適當 LDAP 伺服器來驗證使用者。LDAP 伺服器會使用驗證結果和使用者群組資訊回應。驗證成功後,系統會為使用者指派與其所屬群組對應的角色。

與 Active Directory 整合時,NSX Manager 會允許使用者使用其 samAccountName 或 userPrincipalName 登入。如果 userPrincipalName 的 @domain 部分與 Active Directory 執行個體的網域不相符,則您也應該在 LDAP 組態中為 NSX 設定替代網域。

在下列範例中,Active Directory 執行個體的網域為「example.com」,且具有 samAccountName 的「jsmith」的使用者具有 [email protected] 的 userPrincipalName。如果您設定「acquiredcompany.com」的替代網域,則此使用者可以使用 samAccountName 以「[email protected]」的身分或使用 userPrincipalName 以 [email protected] 的身分登入。如果 userPrincipalName 沒有 @domain 部分,則使用者將無法登入。

[email protected] 登入將沒有作用,因為 samAccountName 只能與主要網域搭配使用。

程序

  1. 導覽至系統 > 使用者管理 > LDAP
  2. 按一下新增身分識別來源
  3. 輸入身分識別來源的名稱
  4. 輸入網域名稱,此名稱必須對應於 Active Directory 伺服器的網域名稱 (如果使用 Active Directory)。
  5. 選取類型:Active Directory over LDAPOpen LDAP 之一。
  6. 按一下設定以設定 LDAP 伺服器。最多可以對每個網域新增三個 LDAP 伺服器,以支援容錯移轉。
    主機名稱/IP

    LDAP 伺服器的主機名稱或 IP 位址。

    LDAP 通訊協定 選取通訊協定:LDAP (不安全) 或 LDAPS (安全)。
    連接埠 將根據選取的通訊協定填入預設連接埠。如果您的 LDAP 伺服器在非標準連接埠上執行,您可以編輯此文字方塊以提供連接埠號碼。
    連線狀態 填寫必要文字方塊 (包括 LDAP 伺服器資訊),然後按一下連線狀態來測試連線。
    使用 StartTLS

    如果已選取,則會使用 LDAPv3 StartTLS 延伸來升級要使用加密的連線。若要判定是否應使用此選項,請洽詢您的 LDAP 伺服器管理員。

    僅在選取 LDAP 通訊協定時才能使用此選項。
    憑證
    • 如果您使用 LDAPS 或 LDAP + StartTLS,請在文字方塊中輸入伺服器的 PEM 編碼的 X.509 憑證。

      如果您將此文字方塊保留空白,然後按一下檢查狀態連結,則 NSX-T Data Center 會連線至 LDAP 伺服器。NSX-T Data Center 接著會擷取 LDAP 伺服器的憑證,並詢問您是否要信任該憑證。如果您確認憑證無誤,請按一下確定。憑證文字方塊中會填入所擷取的憑證。

    • 如果您的主機名稱/IP 是 L4 負載平衡器 VIP,則 VIP 後面的 LDAP 伺服器必須提供由同一憑證授權機構 (CA) 簽署的憑證。您必須輸入對憑證進行簽署之 CA 的 PEM 編碼的 X.509 憑證。

      如果您未輸入該 CA 的憑證,NSX-T Data Center 會提示您接受其中一個 LDAP 伺服器的憑證,也就是負載平衡器隨機選取的憑證。如果伺服器提供完整的信任鏈,包括對集區中其他伺服器之憑證進行簽署的 CA 的憑證,則 LDAP 連線將可在路由至其他伺服器時正常運作。如果最初提供的憑證不包含 CA 憑證,則其他 LDAP 伺服器提供的憑證將遭到拒絕。

      因此,您必須輸入 CA (已簽署了一或多個不同 LDAP 伺服器所提供的所有憑證) 的憑證。

    • 如果 LDAP 伺服器位於 L4 負載平衡器 VIP 後面,NSX-T Data Center 將支援由不同 CA 簽署的 LDAP 伺服器的憑證,但前提是這些 CA 是同一根 CA 的下層。在這種情況下,您必須將根 CA 憑證新增至 NSX LDAP 組態中的憑證欄位
    繫結身分識別 請以 user@domainName 的格式輸入,您也可以指定辨別名稱。

    對於 Active Directory,請使用 userPrincipalName (user@domainName) 或辨別名稱。對於 OpenLDAP,您必須提供辨別名稱。

    此文字方塊為必填,除非您的 LDAP 伺服器支援匿名繫結,則此為選用。如果您不確定,請洽詢您的 LDAP 伺服器管理員。

    密碼 輸入 LDAP 伺服器的密碼。

    此文字方塊為必填,除非您的 LDAP 伺服器支援匿名繫結,則此為選用。請洽詢您的 LDAP 伺服器管理員。

  7. 按一下新增
  8. 輸入基本 DN
    若要新增 Active Directory 網域,則需要基本辨別名稱 (基本 DN)。基本 DN 是在 Active Directory 網域內搜尋使用者驗證時,LDAP 伺服器所使用的起點。例如,如果您的網域名稱為 corp.local,則 Active Directory 基本 DN 的 DN 會是「DC=corp,DC=local」。

    您打算用於控制對 NSX-T Data Center 存取權的所有使用者和群組項目,必須包含在指定基本 DN 根目錄中的 LDAP 目錄樹狀結構內。如果基本 DN 的設定過於特定,例如 LDAP 樹狀結構中較深層的組織單位,則 NSX 可能會找不到尋找使用者並判斷群組成員資格時所需的項目。如果您不確定,最佳做法是選取廣泛的基本 DN。

  9. 您的 NSX-T Data Center 使用者現在可以使用其登入名稱 (後面接著 @ 和 LDAP 伺服器的網域名稱,例如user_name@domain_name) 進行登入。

下一步

將角色指派給使用者和群組。請參閱新增角色指派或主體身分識別