Authentifizierung mit Active Directory konfigurieren

Sie können vCenter und NSX-T in Google Cloud VMware Engine so konfigurieren, dass Ihr lokales Active Directory als LDAP-Identitätsquelle für die Nutzerauthentifizierung verwendet wird. Sobald die Einrichtung abgeschlossen ist, können Sie den Zugriff auf vCenter und NSX-T Manager bereitstellen und die erforderlichen Rollen zum Verwalten Ihrer privaten Cloud zuweisen.

Hinweise

Bei den Schritten in diesem Dokument wird davon ausgegangen, dass Sie zuerst Folgendes tun:

• Verbindung zwischen dem lokalen Netzwerk und der privaten Cloud herstellen
• Aktivieren Sie die DNS-Namensauflösung Ihres lokalen Active Directory, indem Sie DNS-Profile erstellen und auf Ihre private Cloud anwenden.

Die folgende Tabelle enthält die Informationen, die Sie benötigen, wenn Sie Ihre lokale Active Directory-Domain als SSO-Identitätsquelle in vCenter und NSX-T einrichten. Legen Sie die folgenden Informationen fest, bevor Sie SSO-Identitätsquellen einrichten:

Daten	Beschreibung
Basis-DN für Nutzer	Der Base Distinguished Name für Nutzer.
Domainname	Die FQDN der Domain, z. B. example.com. Geben Sie in diesem Feld keine IP-Adresse an.
Domain-Alias	Der NetBIOS-Domainname. Wenn Sie die SSPI-Authentifizierung verwenden, fügen Sie den NetBIOS-Namen der Active Directory-Domain als Alias der Identitätsquelle hinzu.
Basis-DN für Gruppen	Der Base Distinguished Name für Gruppen.
URL des primären Servers	Der LDAP-Server des primären Domain-Controllers für die Domain. Verwenden Sie das Format ldap://hostname:port oder ldaps://hostname:port. Normalerweise lautet der Port für LDAP-Verbindungen 389 und für LDAPS-Verbindungen 636. Bei Active Directory-Bereitstellungen mit Controllern mit mehreren Domains ist der Port in der Regel 3268 für LDAP und 3269 für LDAPS. Wenn Sie in der primären oder sekundären LDAP-URL ldaps:// verwenden, ist ein Zertifikat erforderlich, das eine Vertrauensstellung für den LDAPS-Endpunkt des Active Directory-Servers herstellt.
Sekundäre Server-URL	Die Adresse eines LDAP-Servers des sekundären Domain-Controllers, der für das Failover verwendet wird.
Zertifikat auswählen	Wenn Sie LDAPS mit Ihrem Active Directory-LDAP-Server oder der OpenLDAP-Server-Identitätsquelle verwenden möchten, klicken Sie auf die Schaltfläche Zertifikat auswählen, die nach der Eingabe von ldaps:// in das URL-Textfeld angezeigt wird. Eine sekundäre Server-URL ist nicht erforderlich.
Nutzername	Die ID eines Nutzers in der Domain, der mindestens Lesezugriff auf den Basis-DN für Nutzer und Gruppen hat.
Passwort	Das Passwort des durch den Nutzernamen bestimmten Nutzers.

Identitätsquelle in vCenter hinzufügen

1. Erhöhen Sie die Berechtigungen für Ihre private Cloud.
2. Melden Sie sich bei vCenter für Ihre private Cloud an.
3. Wählen Sie Startseite > Verwaltung.
4. Wählen Sie Einmalanmeldung (SSO) > Konfiguration.
5. Öffnen Sie den Tab Identitätsquellen und klicken Sie auf +Hinzufügen, um eine neue Identitätsquelle hinzuzufügen.
6. Wählen Sie Active Directory als LDAP-Server aus und klicken Sie auf Weiter.
7. Geben Sie die Parameter der Identitätsquelle für Ihre Umgebung an und klicken Sie auf Weiter.
8. Prüfen Sie die Einstellungen und klicken Sie auf Fertigstellen.

Identitätsquelle auf NSX-T hinzufügen

1. Melden Sie sich in Ihrer privaten Cloud bei NSX-T Manager an.
2. Gehen Sie zu System > Einstellungen > Nutzer und Rollen > LDAP.
3. Klicken Sie auf Identitätsquelle hinzufügen.
4. Geben Sie im Feld Name einen Anzeigenamen für die Identitätsquelle ein.
5. Geben Sie den Domainnamen und die Base DN Ihrer Identitätsquelle an.
6. Wählen Sie in der Spalte Typ die Option Active Directory über LDAP aus.
7. Klicken Sie in der Spalte LDAP-Server auf Festlegen.
8. Klicken Sie im Fenster LDAP-Server festlegen auf LDAP-Server hinzufügen.
9. Geben Sie die LDAP-Serverparameter an und klicken Sie auf Status prüfen, um die Verbindung von NSX-T Manager zu Ihrem LDAP-Server zu prüfen.
10. Klicken Sie auf Hinzufügen, um den LDAP-Server hinzuzufügen.
11. Klicken Sie auf Anwenden und anschließend auf Speichern.

Ports, die für die Verwendung des lokalen Active Directory als Identitätsquelle erforderlich sind

Die in der folgenden Tabelle aufgeführten Ports sind erforderlich, um Ihr lokales Active Directory als Identitätsquelle im vCenter ihrer privaten Cloud zu konfigurieren.

Port	Quelle	Ziel	Zweck
53 (UDP)	DNS-Server der privaten Cloud	Lokale DNS-Server	Erforderlich für die Weiterleitung des DNS-Lookup von lokalen Active Directory-Domainnamen von einem privaten Cloud vCenter-Server an einen lokalen DNS-Server.
389 (TCP/UDP)	Privates Cloud-Verwaltungsnetzwerk	Lokale Active Directory-Domaincontroller	Für die LDAP-Kommunikation von einem privaten Cloud vCenter-Server mit Active Directory-Domaincontrollern zur Nutzerauthentifizierung erforderlich.
636 (TCP)	Privates Cloud-Verwaltungsnetzwerk	Lokale Active Directory-Domaincontroller	Für die sichere LDAP-Kommunikation (LDAPS) zwischen einem privaten Cloud vCenter-Server und den Active Directory-Domaincontrollern zur Nutzerauthentifizierung erforderlich.
3268 (TCP)	Privates Cloud-Verwaltungsnetzwerk	Lokale globale Active Directory-Katalogserver	Erforderlich für die LDAP-Kommunikation in Controllern mit mehreren Domains.
3269 (TCP)	Privates Cloud-Verwaltungsnetzwerk	Lokale globale Active Directory-Katalogserver	Erforderlich für die LDAPS-Kommunikation in Controllern mit mehreren Domains.
8000 (TCP)	Privates Cloud-Verwaltungsnetzwerk	Lokales Netzwerk	Erforderlich für vMotion von virtuellen Maschinen vom privaten Cloud-Netzwerk zu einem lokalen Netzwerk.

Nächste Schritte

Weitere Informationen zu SSO-Identitätsquellen finden Sie in der folgenden Dokumentation zu vSphere und NSX-T-Rechenzentrum:

• Eine Identitätsquelle für die Einmalanmeldung (SSO) von vCenter hinzufügen oder bearbeiten
• LDAP-Identitätsquelle