Поделиться через

Настройка внешнего источника удостоверений для VMware NSX

В этой статье ознакомьтесь с тем, как настроить внешнюю систему удостоверений для VMware NSX в экземпляре решения Azure VMware.

Для проверки подлинности пользователей можно настроить NSX для использования внешней службы каталогов протокола LDAP. Пользователь может войти с помощью учетных данных учетной записи Windows Server Active Directory или учетных данных на стороннем сервере LDAP. Затем учетной записи может быть назначена роль NSX, например, в локальной-среде, чтобы обеспечить доступ на основе ролей для пользователей NSX.

Снимок экрана: подключение NSX к серверу LDAP Windows Server Active Directory.

Пререквизиты

  • Устойчивое подключение из сети Windows Server Active Directory к частному облаку Azure VMware Solution.

  • Сетевой путь с сервера Windows Server Active Directory к сети управления экземпляра Решение Azure VMware, в котором развертывается NSX.

  • Контроллер домена Windows Server Active Directory с допустимым сертификатом. Сертификат может быть выдан центром сертификации служб сертификации Windows Server Active Directory или сторонним ЦС.

    Рекомендуется использовать два контроллера домена, расположенные в том же регионе Azure, что и Решение Azure VMware программно-определенный центр обработки данных.

    Примечание.

    Сертификаты с самоподписью не рекомендуется использовать для продуктивных сред.

  • Учетная запись с разрешениями администратора.

  • Зоны DNS и DNS-серверы в решении Azure VMware, которые правильно настроены. Дополнительные сведения, см. в статье Настройка NSX DNS для разрешения домена Windows Server Active Directory и настройка DNS-пересылки.

Примечание.

Дополнительные сведения о защите LDAP (LDAPS) и выпуске сертификатов обратитесь к вашей группе безопасности или вашей группе управления удостоверениями.

Использование Windows Server Active Directory в качестве источника удостоверений LDAPS

  1. Войдите в NSX Manager, а затем перейдите в раздел Система>Управление пользователями>LDAP>Добавить источник удостоверений.

    Снимок экрана: диспетчер NSX с выделенными параметрами.

  2. Введите значения для имени, доменного имени (FQDN), типа и базового DN. Можно добавить описание (необязательно).

    Базовый DN — это контейнер, в котором хранятся учетные записи пользователей. Базовая DN — это отправная точка, которая используется сервером LDAP при поиске пользователей в запросе проверки подлинности. Например, CN=users,dc=azfta,dc=com.

    Примечание.

    В качестве поставщика LDAP можно использовать несколько каталогов. Например, если у вас несколько доменов Windows Server Azure Directory, и вы используете Решение Azure VMware в качестве способа консолидации рабочих нагрузок.

    Снимок экрана: страница

  3. Затем в разделе Серверы LDAP нажмите Задать, как показано на предыдущем снимке экрана.

  4. На сервере LDAP выберите "Добавить сервер LDAP", а затем введите или выберите значения для следующих элементов:

    Имя. Действие
    Имя узла или IP-адрес Введите полное доменное имя или IP-адрес сервера LDAP. Например, azfta-dc01.azfta.com или 10.5.4.4.
    Протокол LDAP Выберите LDAPS.
    порт. Оставьте защищенный порт LDAP по умолчанию.
    Включено Оставьте как да.
    Использование протокола TLS start Требуется только в том случае, если используется стандартный (незащищенный) LDAP.
    Привязка идентичности Используйте учетную запись с разрешениями на чтение в каталоге. Например, <[email protected]>.
    Пароль Введите пароль для сервера LDAP. Этот пароль — тот, который вы используете с учетной записью <[email protected]>.
    Сертификат Оставьте пустым (см. шаг 6).

    Снимок экрана: страница

  5. После обновления страницы и отображения состояния подключения нажмите кнопку "Добавить", а затем нажмите кнопку "Применить".

    Снимок экрана: сведения об успешном извлечении сертификата.

  6. В службе управления пользователями нажмите кнопку "Сохранить ", чтобы завершить изменения.

  7. Чтобы добавить второй контроллер домена или другого внешнего поставщика удостоверений, вернитесь к шагу 1.

Примечание.

Рекомендуется использовать два контроллера домена для работы с серверами LDAP. Вы также можете поместить серверы LDAP за подсистемой балансировки нагрузки.

Назначьте роли для учетных записей Windows Server Active Directory.

После добавления внешней учетной записи можно назначить роли NSX группам безопасности Windows Server Active Directory на основе мер по обеспечению безопасности вашей организации.

  1. В NSX Manager перейдите к Система>Управление пользователями>Назначение ролей пользователей>Добавить.

    Снимок экрана: страница управления пользователями в NSX Manager.

  2. Выберите Добавить>назначение ролей для LDAP. 

    1. Выберите внешний поставщик удостоверений, выбранный на шаге 3 в предыдущем разделе. Например, поставщик внешних удостоверений NSX.

    2. Введите первые несколько символов имени пользователя, идентификатора входа пользователя или имени группы для поиска в каталоге LDAP. Затем выберите пользователя или группу из списка результатов.

    3. Выберите роль. В этом примере назначьте пользователю FTAdmin роль CloudAdmin.

    4. Выберите Сохранить.

    Снимок экрана: страница

  3. В разделе "Назначение роли пользователя" убедитесь, что назначение разрешений отображается.

    Снимок экрана, на котором показана страница управления пользователями, подтверждающая, что пользователь был добавлен.

Теперь пользователи должны иметь возможность войти в NSX Manager с помощью учетных данных Windows Server Active Directory.

Связанный контент

  • Last updated on