Configurar la autenticación mediante Active Directory
Puedes configurar vCenter y NSX en Google Cloud VMware Engine para que usen tu Active Directory local como fuente de identidad LDAP o LDAPS para la autenticación de usuarios. Una vez completada la configuración, puede proporcionar acceso a vCenter y NSX Manager, así como asignar los roles necesarios para gestionar su nube privada.
Antes de empezar
En los pasos de este documento se presupone que primero debes hacer lo siguiente:
- Establecer la conectividad de tu red local a tu nube privada
- Habilita la resolución de nombres DNS de tu implementación local de Active Directory:
- En las redes de VMware Engine antiguas, habilita la resolución de nombres de DNS de tu instancia de Active Directory local creando reglas de reenvío de DNS en tu nube privada.
- En las redes de VMware Engine estándar: habilita la resolución de nombres DNS de tu Active Directory on-premise configurando enlaces DNS en tu red de VMware Engine.
En la siguiente tabla se indica la información que necesitas para configurar tu dominio de Active Directory local como fuente de identidad de SSO en vCenter y NSX. Reúne la siguiente información antes de configurar las fuentes de identidad de inicio de sesión único (SSO):
| Información | Descripción |
|---|---|
| Nombre de dominio base de los usuarios | Nombre completo base de los usuarios. |
| Nombre de dominio | El FQDN del dominio, por ejemplo, example.com. No
proporcione una dirección IP en este campo. |
| Alias de dominio | El nombre NetBIOS del dominio. Si usas la autenticación SSPI, añade el nombre NetBIOS del dominio de Active Directory como alias de la fuente de identidad. |
| Nombre de dominio base de los grupos | Nombre completo base de los grupos. |
| URL del servidor principal |
El servidor LDAP del controlador de dominio principal del dominio. Usa el formato Se necesita un certificado que establezca la confianza en el endpoint LDAPS del servidor de Active Directory cuando se usa |
| URL del servidor secundario | Dirección de un servidor LDAP de controlador de dominio secundario que se usa para la conmutación por error. |
| Seleccionar certificado | Para usar LDAPS con tu servidor LDAP de Active Directory o tu servidor OpenLDAP como fuente de identidad, haz clic en el botón Elegir certificado que aparece después de escribir ldaps:// en el campo URL. No es obligatorio indicar una URL de servidor secundario. |
| Nombre de usuario | ID de un usuario del dominio que tenga al menos acceso de solo lectura al nombre completo base de usuarios y grupos. |
| Contraseña | La contraseña del usuario especificado en Nombre de usuario. |
Añadir una fuente de identidad en vCenter
- Inicia sesión en vCenter de tu nube privada con una cuenta de usuario de solución.
- Selecciona Inicio > Administración.
- Selecciona Inicio de sesión único > Configuración.
- Abre la pestaña Fuentes de identidad y haz clic en +Añadir para añadir una nueva fuente de identidad.
- Selecciona Active Directory as an LDAP Server (Active Directory como servidor LDAP) y haz clic en Next (Siguiente).
- Especifique los parámetros de la fuente de identidad de su entorno y haga clic en Siguiente.
- Revisa la configuración y haz clic en Finalizar.
Añadir una fuente de identidad en NSX
- Inicia sesión en NSX Manager en tu instancia de Private Cloud.
- Ve a Sistema > Configuración > Usuarios y roles > LDAP.
- Haz clic en Añadir fuente de identidad.
- En el campo Name (Nombre), introduce un nombre visible para la fuente de identidad.
- Especifica el Nombre de dominio y el DN base de tu fuente de identidad.
- En la columna Tipo, seleccione Active Directory sobre LDAP.
- En la columna Servidores LDAP, haga clic en Definir .
- En la ventana Set LDAP Server (Configurar servidor LDAP), haz clic en Add LDAP Server (Añadir servidor LDAP).
- Especifica los parámetros del servidor LDAP y haz clic en Comprobar estado para verificar la conexión de NSX Manager a tu servidor LDAP.
- Haz clic en Añadir para añadir el servidor LDAP.
- Haz clic en Aplicar y, a continuación, en Guardar.
Puertos necesarios para usar Active Directory local como fuente de identidad
Los puertos que se indican en la siguiente tabla son necesarios para configurar tu instancia de Active Directory local como fuente de identidad en la instancia de vCenter de la nube privada.
| Puerto | Fuente | Destino | Finalidad |
|---|---|---|---|
| 53 (UDP) | Servidores DNS de nube privada | Servidores DNS on-premise | Es necesario para reenviar la búsqueda de DNS de los nombres de dominio de Active Directory on-premise desde un servidor vCenter de nube privada a un servidor DNS on-premise. |
| 389 (TCP/UDP) | Red de gestión de nube privada | Controladores de dominio de Active Directory locales | Obligatorio para la comunicación LDAP desde un servidor vCenter de una nube privada a los controladores de dominio de Active Directory para la autenticación de usuarios. |
| 636 (TCP) | Red de gestión de nube privada | Controladores de dominio de Active Directory locales | Obligatorio para la comunicación LDAP segura (LDAPS) desde un servidor vCenter de una nube privada a controladores de dominio de Active Directory para la autenticación de usuarios. |
| 3268 (TCP) | Red de gestión de nube privada | Servidores de catálogo global de Active Directory locales | Obligatorio para la comunicación LDAP en implementaciones de controladores de varios dominios. |
| 3269 (TCP) | Red de gestión de nube privada | Servidores de catálogo global de Active Directory locales | Obligatorio para la comunicación LDAPS en implementaciones de controladores de varios dominios. |
| 8000 (TCP) | Red de gestión de nube privada | Red local | Obligatorio para vMotion de máquinas virtuales de la red de la nube privada a la red local. |
Siguientes pasos
Para obtener más información sobre las fuentes de identidad de inicio de sesión único, consulta la siguiente documentación de vSphere y NSX Data Center:
- Añadir o editar una fuente de identidad de inicio de sesión único de vCenter
- Fuente de identidad LDAP.