Partager via


Définir une source d’identité externe pour VMware NSX

Dans cet article, découvrez comment configurer une source d’identité externe pour VMware NSX dans une instance d’Azure VMware Solution.

Vous pouvez configurer NSX pour utiliser un service d’annuaire LDAP (Lightweight Directory Access Protocol) externe afin d’authentifier les utilisateurs. Un utilisateur peut se connecter à l’aide de ses infos de connexion Windows Server Active Directory ou de ses informations d’identification provenant d’un serveur LDAP tiers. Ensuite, le compte peut être affecté à un rôle NSX, comme dans un environnement local, pour fournir un accès en fonction du rôle pour les utilisateurs NSX.

Capture d’écran montrant la connectivité NSX au serveur LDAP Windows Server Active Directory.

Prérequis

Remarque

Pour plus d’informations sur LDAP sécurisé (LDAPS) et l’émission de certificats, contactez votre équipe de sécurité ou votre équipe de gestion des identités.

Utiliser Windows Server Active Directory comme source d’identité LDAPS

  1. Connectez-vous à NSX Manager, puis accédez à Système>Gestion des utilisateurs>LDAP>Ajouter une source d’identité.

    Capture d’écran montrant NSX Manager avec les options mises en surbrillance.

  2. Entrez des valeurs pour Nom, Nom de domaine (FQDN), Typeet Nom de domaine de base. Vous pouvez ajouter une description (facultatif).

    Le nom de domaine de base est le conteneur dans lequel vos comptes d’utilisateur sont conservés. Le DN de base est le point de départ qu’un serveur LDAP utilise lorsqu’il recherche des utilisateurs dans une demande d’authentification. Par exemple, CN=users,DC=avslab,DC=local.

    Remarque

    Vous pouvez utiliser plusieurs répertoires en tant que fournisseur LDAP. Par exemple, si vous avez plusieurs domaines Azure Directory Windows Server et que vous utilisez Azure VMware Solution comme moyen de consolider les charges de travail.

    Capture d’écran montrant la page Ajouter une source d’identité de gestion des utilisateurs dans NSX Manager.

  3. Ensuite, sous serveurs LDAP, sélectionnez Définir, comme illustré dans la capture d’écran précédente.

  4. Dans Définir le serveur LDAP, sélectionnez Ajouter un serveur LDAP, puis entrez ou sélectionnez des valeurs pour les éléments suivants :

    Nom Action
    Nom d’hôte/IP Entrez le FQDN ou l’adresse IP du serveur LDAP. Par exemple, azfta-dc01.azfta.com ou 10.5.4.4.
    Protocole LDAP Sélectionnez LDAPS.
    Port Conservez le port LDAP sécurisé par défaut.
    Activé Laissez Oui.
    Utilisez Start TLS Obligatoire uniquement si vous utilisez LDAP standard (non sécurisé).
    Lier une identité Utilisez votre compte disposant d’autorisations d’administrateur de domaine. Par exemple : <admin@contoso.com>.
    Mot de passe Entrez un mot de passe pour le serveur LDAP. Ce mot de passe est celui que vous utilisez avec l’exemple de compte <admin@contoso.com>.
    Certificate Laissez vide (voir l’étape 6).

    Capture d’écran montrant la page Définir le serveur LDAP pour ajouter un serveur LDAP.

  5. Après la mise à jour de la page et l'affichage d'un statut de connexion, sélectionnez Ajouter, puis Appliquer.

    Capture d’écran montrant les détails d’une récupération de certificat réussie.

  6. Dans Gestion des utilisateurs, sélectionnez Enregistrer pour terminer les modifications.

  7. Pour ajouter un deuxième contrôleur de domaine ou un autre fournisseur d’identité externe, revenez à l’étape 1.

Remarque

Une pratique recommandée consiste à avoir deux contrôleurs de domaine qui agissent en tant que serveurs LDAP. Vous pouvez également placer les serveurs LDAP derrière un équilibreur de charge.

Attribuer des rôles à des identités Windows Server Active Directory

Après avoir ajouté une identité externe, vous pouvez affecter des rôles NSX aux groupes de sécurité Windows Server Active Directory en fonction des contrôles de sécurité de votre organisation.

  1. Dans NSX Manager, accédez à Système>Gestion des utilisateurs>Attribution de rôle d'utilisateur>Ajouter.

    Capture d’écran montrant la page Gestion des utilisateurs dans NSX Manager.

  2. Sélectionnez Ajouter>Attribution de rôle pour LDAP. 

    1. Sélectionnez le fournisseur d’identité externe que vous avez sélectionné à l’étape 3 dans la section précédente. Par exemple, fournisseur d’identité externe NSX.

    2. Entrez les premiers caractères du nom d’utilisateur, l’ID de connexion de l’utilisateur ou un nom de groupe pour rechercher le répertoire LDAP. Sélectionnez ensuite un utilisateur ou un groupe dans la liste des résultats.

    3. Sélectionner un rôle. Dans cet exemple, affectez à l’utilisateur FTAdmin le rôle CloudAdmin.

    4. Sélectionnez Enregistrer.

    Capture d’écran montrant la page Ajouter un utilisateur dans le Gestionnaire NSX.

  3. Sous Attribution de rôle d’utilisateur, vérifiez que l’attribution d’autorisations s’affiche.

    Capture d’écran montrant la page Gestion des utilisateurs confirmant que l’utilisateur a été ajouté.

Vos utilisateurs doivent maintenant être en mesure de se connecter au Gestionnaire NSX à l’aide de leurs informations d’identification Windows Server Active Directory.