Megosztás a következőn keresztül:

Külső identitásforrás beállítása VMware NSX számára

  • Cikk

Ebből a cikkből megtudhatja, hogyan állíthat be külső identitásforrást a VMware NSX-hez az Azure VMware Solution egy példányában.

Beállíthatja, hogy az NSX külső Lightweight Directory Access Protocol (LDAP) címtárszolgáltatást használjon a felhasználók hitelesítéséhez. A felhasználók a Windows Server Active Directory-fiók hitelesítő adataival vagy külső LDAP-kiszolgálóról származó hitelesítő adataikkal jelentkezhetnek be. Ezután a fiókhoz hozzárendelhet egy NSX-szerepkört, például egy helyszíni környezetben, hogy szerepköralapú hozzáférést biztosítson az NSX-felhasználók számára.

Képernyőkép az LDAP Windows Server Active Directory-kiszolgálóhoz való NSX-kapcsolatról.

Előfeltételek

  • Munkakapcsolat a Windows Server Active Directory-hálózatról az Azure VMware Solution magánfelhővel.

  • Hálózati útvonal a Windows Server Active Directory-kiszolgálóról annak az Azure VMware Solution-példánynak a felügyeleti hálózatára, amelyben az NSX telepítve van.

  • Érvényes tanúsítvánnyal rendelkező Windows Server Active Directory-tartományvezérlő. A tanúsítványt egy Windows Server Active Directory Tanúsítványszolgáltatás-hitelesítésszolgáltató (CA) vagy egy külső hitelesítésszolgáltató állíthatja ki.

    Javasoljuk, hogy két olyan tartományvezérlőt használjon, amelyek ugyanabban az Azure-régióban találhatók, mint az Azure VMware Solution szoftver által definiált adatközpontja.

    Feljegyzés

    Az önaláírt tanúsítványok éles környezetekben nem ajánlottak.

  • Rendszergazdai engedélyekkel rendelkező fiók.

  • A helyesen konfigurált Azure VMware Solution DNS-zónák és DNS-kiszolgálók. További információ: Az NSX DNS konfigurálása a Windows Server Active Directory-tartomány megoldásához és a DNS-továbbító beállítása.

Feljegyzés

A biztonságos LDAP-ről (LDAPS) és a tanúsítványok kiállításáról további információt a biztonsági csapattól vagy az identitáskezelő csapattól kaphat.

A Windows Server Active Directory használata LDAPS-identitásforrásként

  1. Jelentkezzen be az NSX Managerbe, majd lépjen a System User Management>LDAP>Add Identity Source (Identitásforrás hozzáadása) elemre.>

    Képernyőkép az NSX Managerről a kiemelt beállításokkal.

  2. Adja meg a Név, Tartománynév (FQDN), Type és Base DN értékét. Leírást is hozzáadhat (nem kötelező).

    Az alap DN az a tároló, amelyben a felhasználói fiókok találhatók. Az alap DN az a kiindulási pont, amelyet egy LDAP-kiszolgáló használ, amikor egy hitelesítési kérelemben felhasználókat keres. Például : CN=users,dc=azfta,dc=com.

    Feljegyzés

    Egynél több könyvtárat használhat LDAP-szolgáltatóként. Ilyen például, ha több Windows Server Azure Directory-tartománnyal rendelkezik, és az Azure VMware Solutiont használja a számítási feladatok összevonására.

    Képernyőkép az NSX Manager Felhasználókezelés identitásforrás hozzáadása lapjáról.

  3. Ezután az LDAP-kiszolgálók területen válassza a Set (Beállítás) lehetőséget az előző képernyőképen látható módon.

  4. Az LDAP-kiszolgáló beállítása területen válassza az LDAP-kiszolgáló hozzáadása lehetőséget, majd adja meg vagy válassza ki az alábbi elemek értékeit:

    Név Művelet
    Állomásnév/IP-cím Adja meg az LDAP-kiszolgáló teljes tartománynevét vagy IP-címét. Például azfta-dc01.azfta.com vagy 10.5.4.4.
    LDAP-protokoll Válassza az LDAPS lehetőséget.
    Port Hagyja meg az alapértelmezett biztonságos LDAP-portot.
    Engedélyezve Hagyja igennel.
    TLS indítása Csak akkor szükséges, ha standard (nem biztonságos) LDAP-t használ.
    Kötési identitás Használja tartományadminisztrátori engedélyekkel rendelkező fiókját. Például: <admin@contoso.com>.
    Jelszó Adja meg az LDAP-kiszolgáló jelszavát. Ezt a jelszót használja a példafiókkal <admin@contoso.com> .
    Tanúsítvány Hagyja üresen (lásd a 6. lépést).

    LdAP-kiszolgáló hozzáadására az LDAP-kiszolgáló beállítása lap képernyőképe.

  5. Miután a lap frissült, és megjeleníti a kapcsolat állapotát, válassza a Hozzáadás, majd az Alkalmaz lehetőséget.

    Képernyőkép a sikeres tanúsítványlekérés részleteiről.

  6. A módosítások elvégzéséhez válassza a Felhasználókezelés területen a Mentés lehetőséget.

  7. Egy második tartományvezérlő vagy egy másik külső identitásszolgáltató hozzáadásához térjen vissza az 1. lépéshez.

Feljegyzés

Ajánlott eljárás két tartományvezérlő használata LDAP-kiszolgálóként. Az LDAP-kiszolgálókat terheléselosztó mögé is helyezheti.

Szerepkörök hozzárendelése Windows Server Active Directory-identitásokhoz

A külső identitás hozzáadása után NSX-szerepköröket rendelhet a Windows Server Active Directory biztonsági csoportjaihoz a szervezet biztonsági vezérlői alapján.

  1. Az NSX Managerben nyissa meg a System>User Management>felhasználói szerepkör-hozzárendelés>hozzáadása lehetőséget.

    Az NSX Manager Felhasználókezelés lapjának képernyőképe.

  2. Válassza a Szerepkör-hozzárendelés hozzáadása>LDAP-hoz lehetőséget.

    1. Válassza ki az előző szakaszban a 3. lépésben kiválasztott külső identitásszolgáltatót. Például NSX külső identitásszolgáltató.

    2. Adja meg a felhasználó nevének első néhány karakterét, a felhasználó bejelentkezési azonosítóját vagy egy csoportnevet az LDAP-címtárban való kereséshez. Ezután válasszon ki egy felhasználót vagy csoportot az eredmények listájából.

    3. Válasszon ki egy szerepkört. Ebben a példában rendelje hozzá az FTAdmin-felhasználóhoz a CloudAdmin szerepkört.

    4. Válassza a Mentés lehetőséget.

    Képernyőkép az NSX Manager Felhasználó hozzáadása lapjáról.

  3. A Felhasználói szerepkör hozzárendelése területen ellenőrizze, hogy megjelenik-e az engedély-hozzárendelés.

    Képernyőkép a felhasználó hozzáadását erősítő Felhasználókezelés lapról.

A felhasználóknak most már be kell tudniuk jelentkezni az NSX Managerbe a Windows Server Active Directory hitelesítő adataikkal.

Kapcsolódó tartalom