Configurer l'authentification avec Active Directory

Vous pouvez configurer vCenter et NSX-T dans Google Cloud VMware Engine pour utiliser votre répertoire actif sur site comme source d'identité LDAP ou LDAPS pour l'authentification des utilisateurs. Une fois la configuration terminée, vous pouvez fournir un accès à vCenter et NSX-T Manager et attribuer les rôles requis pour la gestion de votre cloud privé.

Avant de commencer

Pour suivre la procédure décrite dans ce document, vous devez d'abord effectuer les opérations suivantes :

Le tableau suivant répertorie les informations dont vous avez besoin lorsque vous configurez votre domaine Active Directory sur site en tant que source d'identité d'authentification unique sur vCenter et NSX-T. Rassemblez les informations suivantes avant de configurer des sources d'identité SSO :

Informations Description
Base DN (nom de domaine de base) pour les utilisateurs Nom distinctif de base pour les utilisateurs.
Nom de domaine Nom de domaine complet du domaine (par exemple, example.com). N'indiquez pas d'adresse IP dans ce champ.
Alias de domaine Nom du domaine NetBIOS. Si vous utilisez l'authentification SSPI, ajoutez le nom NetBIOS du domaine Active Directory en tant qu'alias de la source d'identité.
Base DN (nom de domaine de base) pour les groupes Nom distinctif de base des groupes.
URL du serveur principal

Serveur LDAP du contrôleur de domaine principal pour le domaine.

Utilisez le format ldap://hostname:port ou ldaps://hostname:port. Le port utilisé est généralement le port 389 pour les connexions LDAP et 636 pour les connexions LDAPS. Pour les déploiements du contrôleur multidomaine Active Directory, le port est généralement 3268 pour LDAP et 3269 pour LDAPS.

Un certificat établissant la confiance du point de terminaison LDAPS du serveur Active Directory est requis lorsque vous utilisez ldaps:// dans l'URL LDAP principale ou secondaire.

URL du serveur secondaire Adresse d'un serveur LDAP de contrôleur de domaine secondaire utilisé pour le basculement.
Choisissez un certificat Pour utiliser LDAPS avec votre serveur LDAP Active Directory ou la source d'identité de votre serveur OpenLDAP, cliquez sur le bouton Sélectionner un certificat qui s'affiche une fois que vous avez saisi ldaps:// dans le champ d'URL. L'URL du serveur secondaire n'est pas obligatoire.
Nom d'utilisateur ID d'un utilisateur du domaine disposant au moins d'un accès en lecture seule à la base DN (nom de domaine de base) pour les utilisateurs et les groupes.
Mot de passe Mot de passe de l'utilisateur spécifié par le champ Nom d'utilisateur.

Ajouter une source d'identité sur vCenter

  1. Élevez les privilèges de votre cloud privé.
  2. Connectez-vous à vCenter pour votre cloud privé.
  3. Sélectionnez Accueil > Administration.
  4. Sélectionnez Authentification unique > Configuration.
  5. Ouvrez l'onglet Sources d'identité, puis cliquez sur +Ajouter pour ajouter une source d'identité.
  6. Sélectionnez Active Directory en tant que serveur LDAP, puis cliquez sur Suivant.
  7. Spécifiez les paramètres de la source d'identité pour votre environnement, puis cliquez sur Suivant.
  8. Vérifiez les paramètres, puis cliquez sur Terminer.

Ajouter une source d'identité sur NSX-T

  1. Connectez-vous à NSX-T Manager dans votre cloud privé.
  2. Accédez à System > Settings > Users and Roles > LDAP (Système > Paramètres > Utilisateurs et rôles > LDAP).
  3. Cliquez sur Add identity source (Ajouter une source d'identité).
  4. Dans le champ Name (Nom), saisissez un nom à afficher pour la source d'identité.
  5. Indiquez le nom de domaine et le nom de domaine de base de votre source d'identité.
  6. Dans la colonne Type, sélectionnez Active Directory over LDAP (Active Directory sur LDAP).
  7. Dans la colonne Serveurs LDAP, cliquez sur Définir.
  8. Dans la fenêtre Définir le serveur LDAP, cliquez sur Ajouter un serveur LDAP.
  9. Spécifiez les paramètres du serveur LDAP et cliquez sur Vérifier l'état pour vérifier la connexion du gestionnaire NSX-T à votre serveur LDAP.
  10. Cliquez sur Add (Ajouter) pour ajouter le serveur LDAP.
  11. Cliquez sur Apply (Appliquer), puis sur Save (Enregistrer).

Ports requis pour l'utilisation d'Active Directory sur site comme source d'identité

Les ports répertoriés dans le tableau suivant sont requis pour configurer votre annuaire Active Directory sur site en tant que source d'identité sur le cloud privé vCenter.

Port Source Destination Usage
53 (UDP) Serveurs DNS du cloud privé Serveurs DNS sur site Requis pour la redirection de la résolution DNS des noms de domaine Active Directory sur site vers un serveur DNS sur site depuis un serveur vCenter du cloud privé.
389 (TCP/UDP) Réseau de gestion du cloud privé Contrôleurs de domaine Active Directory sur site Requis pour la communication LDAP entre un serveur vCenter du cloud privé et les contrôleurs de domaine Active Directory pour l'authentification des utilisateurs.
636 (TCP) Réseau de gestion du cloud privé Contrôleurs de domaine Active Directory sur site Requis pour la communication LDAP sécurisée (LDAPS) entre un serveur vCenter du cloud privé et les contrôleurs de domaine Active Directory pour l'authentification des utilisateurs.
3268 (TCP) Réseau de gestion du cloud privé Serveurs de catalogues globaux Active Directory sur site Requis pour la communication LDAP dans les déploiements de contrôleurs multidomaine.
3269 (TCP) Réseau de gestion du cloud privé Serveurs de catalogues globaux Active Directory sur site Requis pour la communication LDAPS dans les déploiements de contrôleurs multidomaine.
8000 (TCP) Réseau de gestion du cloud privé Réseau sur site Requis pour la migration vMotion de machines virtuelles du réseau cloud privé vers le réseau sur site.

Étape suivante

Pour en savoir plus sur les sources d'identité SSO, consultez la documentation suivante sur vSphere et NSX-T Data Center :