Configurer l'authentification avec Active Directory
Vous pouvez configurer vCenter et NSX-T dans Google Cloud VMware Engine pour utiliser votre répertoire actif sur site comme source d'identité LDAP pour l'authentification des utilisateurs. Une fois la configuration terminée, vous pouvez fournir un accès à vCenter et NSX-T Manager et attribuer les rôles requis pour la gestion de votre cloud privé.
Avant de commencer
Pour suivre la procédure décrite dans ce document, vous devez d'abord effectuer les opérations suivantes :
- Établissez la connectivité entre votre réseau sur site et votre cloud privé
- Activez la résolution de noms DNS pour votre annuaire Active Directory sur site en créant et en appliquant des profils DNS dans votre cloud privé.
Le tableau suivant répertorie les informations dont vous avez besoin lorsque vous configurez votre domaine Active Directory sur site en tant que source d'identité d'authentification unique sur vCenter et NSX-T. Rassemblez les informations suivantes avant de configurer des sources d'identité SSO :
Informations | Description |
---|---|
Base DN (nom de domaine de base) pour les utilisateurs | Nom distinctif de base pour les utilisateurs. |
Nom de domaine | Nom de domaine complet du domaine (par exemple, example.com ). N'indiquez pas d'adresse IP dans ce champ. |
Alias de domaine | Nom du domaine NetBIOS. Si vous utilisez l'authentification SSPI, ajoutez le nom NetBIOS du domaine Active Directory en tant qu'alias de la source d'identité. |
Base DN (nom de domaine de base) pour les groupes | Nom distinctif de base des groupes. |
URL du serveur principal |
Serveur LDAP du contrôleur de domaine principal pour le domaine. Utilisez le format Un certificat établissant la confiance du point de terminaison LDAPS du serveur Active Directory est requis lorsque vous utilisez |
URL du serveur secondaire | Adresse d'un serveur LDAP de contrôleur de domaine secondaire utilisé pour le basculement. |
Choisissez un certificat | Pour utiliser LDAPS avec votre serveur LDAP Active Directory ou la source d'identité de votre serveur OpenLDAP, cliquez sur le bouton Sélectionner un certificat qui s'affiche une fois que vous avez saisi ldaps:// dans la zone de texte de l'URL. L'URL du serveur secondaire n'est pas obligatoire. |
Nom d'utilisateur | ID d'un utilisateur du domaine disposant au moins d'un accès en lecture seule à la base DN (nom de domaine de base) pour les utilisateurs et les groupes. |
Mot de passe | Mot de passe de l'utilisateur spécifié par le champ Nom d'utilisateur. |
Ajouter une source d'identité sur vCenter
- Élevez les privilèges de votre cloud privé.
- Connectez-vous à vCenter pour votre cloud privé.
- Sélectionnez Accueil > Administration.
- Sélectionnez Authentification unique > Configuration.
- Ouvrez l'onglet Sources d'identité, puis cliquez sur +Ajouter pour ajouter une source d'identité.
- Sélectionnez Active Directory en tant que serveur LDAP, puis cliquez sur Suivant.
- Spécifiez les paramètres de la source d'identité pour votre environnement, puis cliquez sur Suivant.
- Vérifiez les paramètres, puis cliquez sur Terminer.
Ajouter une source d'identité sur NSX-T
- Connectez-vous à NSX-T Manager dans votre cloud privé.
- Accédez à System > Settings > Users and Roles > LDAP (Système > Paramètres > Utilisateurs et rôles > LDAP).
- Cliquez sur Add identity source (Ajouter une source d'identité).
- Dans le champ Name (Nom), saisissez un nom à afficher pour la source d'identité.
- Indiquez le nom de domaine et le nom de domaine de base de votre source d'identité.
- Dans la colonne Type, sélectionnez Active Directory over LDAP (Active Directory sur LDAP).
- Dans la colonne Serveurs LDAP, cliquez sur Définir.
- Dans la fenêtre Définir le serveur LDAP, cliquez sur Ajouter un serveur LDAP.
- Spécifiez les paramètres du serveur LDAP et cliquez sur Vérifier l'état pour vérifier la connexion du gestionnaire NSX-T à votre serveur LDAP.
- Cliquez sur Add (Ajouter) pour ajouter le serveur LDAP.
- Cliquez sur Apply (Appliquer), puis sur Save (Enregistrer).
Ports requis pour l'utilisation d'Active Directory sur site comme source d'identité
Les ports répertoriés dans le tableau suivant sont requis pour configurer votre annuaire Active Directory sur site en tant que source d'identité sur le cloud privé vCenter.
Port | Source | Destination | Objectif |
---|---|---|---|
53 (UDP) | Serveurs DNS du cloud privé | Serveurs DNS sur site | Requis pour la redirection de la résolution DNS des noms de domaine Active Directory sur site vers un serveur DNS sur site depuis un serveur vCenter du cloud privé. |
389 (TCP/UDP) | Réseau de gestion du cloud privé | Contrôleurs de domaine Active Directory sur site | Requis pour la communication LDAP entre un serveur vCenter du cloud privé et les contrôleurs de domaine Active Directory pour l'authentification des utilisateurs. |
636 (TCP) | Réseau de gestion du cloud privé | Contrôleurs de domaine Active Directory sur site | Requis pour la communication LDAP sécurisée (LDAPS) entre un serveur vCenter du cloud privé et les contrôleurs de domaine Active Directory pour l'authentification des utilisateurs. |
3268 (TCP) | Réseau de gestion du cloud privé | Serveurs de catalogues globaux Active Directory sur site | Requis pour la communication LDAP dans les déploiements de contrôleurs multidomaine. |
3269 (TCP) | Réseau de gestion du cloud privé | Serveurs de catalogues globaux Active Directory sur site | Requis pour la communication LDAPS dans les déploiements de contrôleurs multidomaine. |
8000 (TCP) | Réseau de gestion du cloud privé | Réseau sur site | Requis pour la migration vMotion de machines virtuelles du réseau cloud privé vers le réseau sur site. |
Étapes suivantes
Pour en savoir plus sur les sources d'identité SSO, consultez la documentation suivante sur vSphere et NSX-T Data Center :