Настройка внешнего источника удостоверений для VMware NSX

  • Статья

В этой статье описано, как настроить внешний источник удостоверений для VMware NSX в экземпляре Решение Azure VMware.

Для проверки подлинности пользователей можно настроить NSX для использования внешней службы каталогов протокола LDAP. Пользователь может войти с помощью учетных данных учетной записи Windows Server Active Directory или учетных данных на стороннем сервере LDAP. Затем учетная запись может быть назначена роль NSX, например в локальной среде, для предоставления доступа на основе ролей для пользователей NSX.

Снимок экрана: подключение NSX к серверу LDAP Windows Server Active Directory.

Необходимые компоненты

  • Рабочее подключение из сети Windows Server Active Directory к вашему Решение Azure VMware частному облаку.

  • Сетевой путь с сервера Windows Server Active Directory к сети управления экземпляра Решение Azure VMware, в котором развертывается NSX.

  • Контроллер домена Windows Server Active Directory с допустимым сертификатом. Сертификат может быть выдан центром сертификации служб сертификации Windows Server Active Directory или сторонним ЦС.

    Рекомендуется использовать два контроллера домена, расположенные в том же регионе Azure, что и Решение Azure VMware программно-определенный центр обработки данных.

    Примечание.

    Самозаверяющие сертификаты не рекомендуется использовать для рабочих сред.

  • Учетная запись с разрешениями Администратор istrator.

  • Решение Azure VMware зоны DNS и DNS-серверы, которые правильно настроены. Дополнительные сведения см. в статье Настройка DNS NSX для разрешения домена Windows Server Active Directory и настройка dns-пересылки.

Примечание.

Дополнительные сведения о защите LDAP (LDAPS) и выпуске сертификатов обратитесь к вашей группе безопасности или вашей группе управления удостоверениями.

Использование Windows Server Active Directory в качестве источника удостоверений LDAPS

  1. Войдите в NSX Manager, а затем перейдите к элементу LDAP>", чтобы добавить>> источник удостоверений.

    Снимок экрана: диспетчер NSX с выделенными параметрами.

  2. Введите значения для имени, доменного имени (FQDN), типа и базового DN. Можно добавить описание (необязательно).

    Базовый DN — это контейнер, в котором хранятся учетные записи пользователей. Базовая DN — это отправная точка, которая используется сервером LDAP при поиске пользователей в запросе проверки подлинности. Например, CN=users,dc=azfta,dc=com.

    Примечание.

    В качестве поставщика LDAP можно использовать несколько каталогов. Например, если у вас несколько доменов Windows Server Azure Directory, и вы используете Решение Azure VMware в качестве способа консолидации рабочих нагрузок.

    Снимок экрана: страница

  3. Затем в разделе "Серверы LDAP" выберите "Задать ", как показано на предыдущем снимке экрана.

  4. На сервере LDAP выберите "Добавить сервер LDAP", а затем введите или выберите значения для следующих элементов:

    Имя. Действие
    Имя узла или IP-адрес Введите полное доменное имя или IP-адрес сервера LDAP. Например, azfta-dc01.azfta.com или 10.5.4.4.
    Протокол LDAP Выберите LDAPS.
    порт. Оставьте защищенный порт LDAP по умолчанию.
    Включено Оставьте как да.
    Использование протокола TLS start Требуется только в том случае, если используется стандартный (незащищенный) LDAP.
    Привязка удостоверения Используйте учетную запись с разрешениями Администратор istrator домена. Например, <admin@contoso.com>.
    Пароль Введите пароль для сервера LDAP. Этот пароль используется с примером <admin@contoso.com> учетной записи.
    Certificate Оставьте пустым (см. шаг 6).

    Снимок экрана: страница

  5. После обновления страницы и отображения состояния подключения нажмите кнопку "Добавить", а затем нажмите кнопку "Применить".

    Снимок экрана: сведения об успешном извлечении сертификата.

  6. В службе управления пользователями нажмите кнопку "Сохранить ", чтобы завершить изменения.

  7. Чтобы добавить второй контроллер домена или другой внешний поставщик удостоверений, вернитесь к шагу 1.

Примечание.

Рекомендуется использовать два контроллера домена для работы с серверами LDAP. Вы также можете поместить серверы LDAP за подсистемой балансировки нагрузки.

Назначение ролей удостоверениям Windows Server Active Directory

После добавления внешнего удостоверения можно назначить роли NSX группам безопасности Windows Server Active Directory на основе элементов управления безопасностью вашей организации.

  1. В диспетчере NSX перейдите к добавлению назначения>ролей пользователей системы>управления>пользователями.

    Снимок экрана: страница управления пользователями в NSX Manager.

  2. Выберите "Добавить>назначение ролей" для LDAP.

    1. Выберите внешний поставщик удостоверений, выбранный на шаге 3 в предыдущем разделе. Например, поставщик внешних удостоверений NSX.

    2. Введите первые несколько символов имени пользователя, идентификатора входа пользователя или имени группы для поиска в каталоге LDAP. Затем выберите пользователя или группу из списка результатов.

    3. Выберите роль. В этом примере назначьте роль FT Администратор пользователя Cloud Администратор.

    4. Выберите Сохранить.

    Снимок экрана: страница

  3. В разделе "Назначение роли пользователя" убедитесь, что назначение разрешений отображается.

    Снимок экрана, на котором показана страница управления пользователями, подтверждающая, что пользователь был добавлен.

Теперь пользователи должны иметь возможность войти в NSX Manager с помощью учетных данных Windows Server Active Directory.

Связанный контент