Definir uma fonte de identidade externa para o VMware NSX

  • Artigo

Neste artigo, saiba como configurar uma fonte de identidade externa para o VMware NSX em uma instância do Azure VMware Solution.

Você pode configurar o NSX para usar um serviço de diretório externo LDAP (Lightweight Directory Access Protocol) para autenticar usuários. Um usuário pode entrar usando suas credenciais de conta do Ative Directory do Windows Server ou credenciais de um servidor LDAP de terceiros. Em seguida, a conta pode receber uma função NSX, como em um ambiente local, para fornecer acesso baseado em função para usuários NSX.

Captura de tela que mostra a conectividade NSX com o servidor LDAP do Windows Server Ative Directory.

Pré-requisitos

  • Uma conexão de trabalho da sua rede do Ative Directory do Windows Server com a nuvem privada da Solução VMware do Azure.

  • Um caminho de rede do servidor Ative Directory do Windows Server para a rede de gerenciamento da instância da Solução VMware do Azure na qual o NSX está implantado.

  • Um controlador de domínio do Ative Directory do Windows Server que tenha um certificado válido. O certificado pode ser emitido por uma Autoridade de Certificação (CA) dos Serviços de Certificados do Ative Directory do Windows Server ou por uma autoridade de certificação de terceiros.

    Recomendamos que você use dois controladores de domínio localizados na mesma região do Azure que o datacenter definido por software da Solução VMware do Azure.

    Nota

    Certificados autoassinados não são recomendados para ambientes de produção.

  • Uma conta que tenha permissões de Administrador.

  • Zonas DNS e servidores DNS da Solução VMware do Azure configurados corretamente. Para obter mais informações, consulte Configurar o DNS NSX para resolução para o domínio do Ative Directory do Windows Server e configurar o encaminhador DNS.

Nota

Para obter mais informações sobre LDAP seguro (LDAPS) e emissão de certificados, entre em contato com sua equipe de segurança ou sua equipe de gerenciamento de identidade.

Usar o Ative Directory do Windows Server como uma fonte de identidade LDAPS

  1. Entre no NSX Manager e vá para System>User Management>LDAP>Add Identity Source.

    Captura de tela que mostra o NSX Manager com as opções realçadas.

  2. Insira valores para Nome, FQDN (Nome de Domínio), Tipo e DN Base. Você pode adicionar uma descrição (opcional).

    O DN base é o contêiner onde suas contas de usuário são mantidas. O DN base é o ponto de partida que um servidor LDAP usa quando procura usuários em uma solicitação de autenticação. Por exemplo, CN=users,dc=azfta,dc=com.

    Nota

    Você pode usar mais de um diretório como um provedor LDAP. Um exemplo é se você tiver vários domínios de diretório do Windows Server Azure e usar a solução VMware do Azure como uma maneira de consolidar cargas de trabalho.

    Captura de tela que mostra a página Gerenciamento de usuários Adicionar origem de identidade no NSX Manager.

  3. Em seguida, em Servidores LDAP, selecione Definir conforme mostrado na captura de tela anterior.

  4. Em Definir Servidor LDAP, selecione Adicionar Servidor LDAP e insira ou selecione valores para os seguintes itens:

    Nome Ação
    Nome do host/IP Insira o FQDN ou o endereço IP do servidor LDAP. Por exemplo, azfta-dc01.azfta.com ou 10.5.4.4.
    Protocolo LDAP Selecione LDAPS.
    Porta Deixe a porta LDAP segura padrão.
    Ativado Deixe como sim.
    Usar Iniciar TLS Necessário somente se você usar LDAP padrão (não seguro).
    Vincular identidade Use sua conta que tenha permissões de administrador de domínio. Por exemplo, <admin@contoso.com>.
    Palavra-passe Digite a senha para o servidor LDAP. Esta senha é a que você usa com a conta de exemplo <admin@contoso.com> .
    Certificado Deixe em branco (ver passo 6).

    Captura de tela que mostra a página Definir servidor LDAP para adicionar um servidor LDAP.

  5. Depois que a página for atualizada e exibir um status de conexão, selecione Adicionar e, em seguida, selecione Aplicar.

    Captura de tela que mostra detalhes de uma recuperação de certificado bem-sucedida.

  6. Em Gerenciamento de usuários, selecione Salvar para concluir as alterações.

  7. Para adicionar um segundo controlador de domínio ou outro provedor de identidade externo, retorne à etapa 1.

Nota

Uma prática recomendada é ter dois controladores de domínio para atuar como servidores LDAP. Você também pode colocar os servidores LDAP atrás de um balanceador de carga.

Atribuir funções a identidades do Ative Directory do Windows Server

Depois de adicionar uma identidade externa, você pode atribuir funções NSX a grupos de segurança do Ative Directory do Windows Server com base nos controles de segurança da sua organização.

  1. No NSX Manager, vá para System>User Management>User Role Assignment>Add.

    Captura de tela que mostra a página Gerenciamento de usuários no NSX Manager.

  2. Selecione Adicionar>atribuição de função para LDAP.

    1. Selecione o provedor de identidade externo selecionado na etapa 3 da seção anterior. Por exemplo, NSX External Identity Provider.

    2. Insira os primeiros caracteres do nome do usuário, o ID de entrada do usuário ou um nome de grupo para pesquisar o diretório LDAP. Em seguida, selecione um usuário ou grupo na lista de resultados.

    3. Selecione uma função. Neste exemplo, atribua ao usuário FTAdmin a função CloudAdmin.

    4. Selecione Guardar.

    Captura de tela que mostra a página Adicionar usuário no NSX Manager.

  3. Em Atribuição de Função de Usuário, verifique se a atribuição de permissões aparece.

    Captura de tela que mostra a página Gerenciamento de usuários confirmando que o usuário foi adicionado.

Agora, os usuários podem entrar no NSX Manager usando suas credenciais do Ative Directory do Windows Server.

Conteúdos relacionados