Configurazione dell'autenticazione mediante Active Directory
Puoi configurare vCenter e NSX-T in Google Cloud VMware Engine per utilizzare Active Directory on-premise come origine identità LDAP per l'autenticazione degli utenti. Una volta completata la configurazione, puoi fornire l'accesso a vCenter e NSX-T Manager e assegnare i ruoli richiesti per la gestione del tuo cloud privato.
Prima di iniziare
I passaggi di questo documento presuppongono che tu abbia innanzitutto eseguito le seguenti operazioni:
- Stabilisci la connettività dalla tua rete on-premise al cloud privato
- Abilita la risoluzione dei nomi DNS della tua Active Directory on-premise creando e applicando profili DNS al tuo cloud privato.
La seguente tabella elenca le informazioni necessarie per configurare il tuo dominio Active Directory on-premise come origine identità SSO su vCenter e NSX-T. Raccogli le seguenti informazioni prima di configurare le origini identità SSO:
| Informazione | Descrizione |
|---|---|
| DN di base per gli utenti | Il nome distinto di base per gli utenti. |
| Nome di dominio | Il nome di dominio completo del dominio, ad esempio example.com. Non fornire un indirizzo IP in questo campo. |
| Alias di dominio | Il nome del dominio NetBIOS. Se utilizzi l'autenticazione SSPI, aggiungi il nome NetBIOS del dominio Active Directory come alias dell'origine identità. |
| DN di base per i gruppi | Il nome distinto di base per i gruppi. |
| URL server principale |
Il server LDAP del controller di dominio principale per il dominio. Utilizza il formato Se utilizzi |
| URL server secondario | L'indirizzo di un server LDAP del controller di dominio secondario utilizzato per il failover. |
| Scegli certificato | Per utilizzare LDAPS con il server LDAP di Active Directory o con l'origine identità del server OpenLDAP, fai clic sul pulsante Scegli certificato che viene visualizzato dopo aver digitato ldaps:// nella casella di testo dell'URL. L'URL del server secondario non è obbligatorio. |
| Nome utente | L'ID di un utente nel dominio che dispone di un accesso minimo di sola lettura al DN di base per utenti e gruppi. |
| Password | La password dell'utente specificato da Nome utente. |
Aggiungi un'origine identità su vCenter
- Migliora i privilegi sul tuo cloud privato.
- Accedi a vCenter per il tuo cloud privato.
- Seleziona Home > Amministrazione.
- Seleziona Single Sign On > Configuration (Configurazione Single Sign-On).
- Apri la scheda Origini identità e fai clic su +Aggiungi per aggiungere una nuova origine identità.
- Seleziona Active Directory come server LDAP e fai clic su Avanti.
- Specifica i parametri dell'origine identità per il tuo ambiente e fai clic su Avanti.
- Controlla le impostazioni e fai clic su Fine.
Aggiungi un'origine identità su NSX-T
- Accedi a NSX-T Manager nel tuo cloud privato.
- Vai a Sistema > Impostazioni > Utenti e ruoli > LDAP.
- Fai clic su Aggiungi origine identità.
- Nel campo Nome, inserisci un nome visualizzato per l'origine identità.
- Specifica il Nome di dominio e il DN di base dell'origine identità.
- Nella colonna Tipo, seleziona Active Directory su LDAP.
- Nella colonna LDAP Servers (Server LDAP), fai clic su Set (Imposta).
- Nella finestra Imposta server LDAP, fai clic su Aggiungi server LDAP.
- Specifica i parametri del server LDAP e fai clic su Verifica stato per verificare la connessione da NSX-T Manager al server LDAP.
- Fai clic su Aggiungi per aggiungere il server LDAP.
- Fai clic su Applica e poi su Salva.
Porte richieste per utilizzare Active Directory on-premise come origine identità
Le porte elencate nella tabella seguente sono necessarie per configurare Active Directory on-premise come origine identità sul cloud privato vCenter.
| Porta | Origine | Destinazione | Finalità |
|---|---|---|---|
| 53 (UDP) | Server DNS cloud privati | Server DNS on-premise | Necessaria per inoltrare la ricerca DNS dei nomi di dominio Active Directory on-premise da un server vCenter nel cloud privato a un server DNS on-premise. |
| 389 (TCP/UDP) | Rete di gestione del cloud privato | Controller di dominio Active Directory on-premise | Necessaria per la comunicazione LDAP da un server vCenter cloud privato ai controller di dominio Active Directory per l'autenticazione degli utenti. |
| 636 (TCP) | Rete di gestione del cloud privato | Controller di dominio Active Directory on-premise | Necessaria per la comunicazione LDAP (LDAPS) sicura da un server vCenter del cloud privato ai controller di dominio Active Directory per l'autenticazione degli utenti. |
| 3268 (TCP) | Rete di gestione del cloud privato | Server di catalogo globali di Active Directory on-premise | Richiesto per la comunicazione LDAP nei deployment di controller multi-dominio. |
| 3269 (TCP) | Rete di gestione del cloud privato | Server di catalogo globali di Active Directory on-premise | Richiesto per la comunicazione LDAPS nei deployment di controller multi-dominio. |
| 8000 (TCP) | Rete di gestione del cloud privato | Rete on-premise | Richiesto per il vMotion delle macchine virtuali dalla rete cloud privato alla rete on-premise. |
Passaggi successivi
Per ulteriori informazioni sulle origini identità SSO, consulta la seguente documentazione dei data center di vSphere e NSX-T: