Configurazione dell'autenticazione mediante Active Directory
Puoi configurare vCenter e NSX-T in Google Cloud VMware Engine per utilizzare il tuo Active Directory on-premise come origine identità LDAP per l'autenticazione degli utenti. Una volta completata la configurazione, puoi fornire l'accesso a vCenter e NSX-T Manager e e assegnare i ruoli richiesti per la gestione del cloud privato.
Prima di iniziare
I passaggi descritti in questo documento presuppongono che:
- Stabilire la connettività dalla tua rete on-premise al cloud privato
- Abilita la risoluzione dei nomi DNS della tua Active Directory on-premise:
- Per le reti VMware Engine legacy: attiva la risoluzione dei nomi DNS di della tua Active Directory on-premise creando regole di forwarding DNS nel tuo cloud privato.
- Per le reti VMware Engine standard: abilita la risoluzione dei nomi DNS del tuo Active Directory on-premise configurando le associazioni DNS alla rete VMware Engine.
Nella tabella seguente sono elencate le informazioni necessarie per configurare un dominio Active Directory on-premise come origine identità SSO su vCenter e NSX-T. Prima di configurare le origini delle identità SSO, raccogli le seguenti informazioni:
| Informazioni | Descrizione |
|---|---|
| DN di base per gli utenti | Il nome distinto di base per gli utenti. |
| Nome di dominio | Il nome di dominio completo del dominio, ad esempio example.com. Non
specificare un indirizzo IP in questo campo. |
| Alias di dominio | Il nome del dominio NetBIOS. Se utilizzi l'autenticazione SSPI, aggiungi il nome NetBIOS del dominio Active Directory come alias dell'origine identità. |
| DN di base per i gruppi | Il nome distinto di base per i gruppi. |
| URL server principale |
Il server LDAP del controller di dominio principale per il dominio. Utilizza il formato Un certificato che stabilisce l'attendibilità dell'endpoint LDAPS del
Il server Active Directory è richiesto quando utilizzi |
| URL server secondario | L'indirizzo di un server LDAP del controller di dominio secondario utilizzato per il failover. |
| Scegli certificato | Per utilizzare LDAPS con il server LDAP di Active Directory o il server OpenLDAP
origine identità, fai clic sul pulsante Scegli certificato visualizzato
dopo aver digitato ldaps:// nel campo URL. Un indirizzo
non è richiesto l'URL del server. |
| Nome utente | L'ID di un utente nel dominio che dispone di un accesso minimo di sola lettura a il DN di base per utenti e gruppi. |
| Password | La password dell'utente specificato da Nome utente. |
Aggiungere un'origine identità su vCenter
- Aumenta i privilegi sul tuo cloud privato.
- Accedi a vCenter per il tuo cloud privato.
- Seleziona Home > Amministrazione.
- Seleziona Single Sign On > Configurazione.
- Apri la scheda Origini identità e fai clic su +Aggiungi per aggiungere una nuova identità. sorgente.
- Seleziona Active Directory come server LDAP e fai clic su Avanti.
- Specifica i parametri dell'origine identità per il tuo ambiente e fai clic su Avanti.
- Rivedi le impostazioni e fai clic su Fine.
Aggiungere un'origine identità su NSX-T
- Accedi a NSX-T Manager nel tuo cloud privato.
- Vai a Sistema > Impostazioni > Utenti e ruoli > LDAP.
- Fai clic su Aggiungi origine identità.
- Nel campo Nome, inserisci un nome visualizzato per l'origine identità.
- Specifica il Nome di dominio e il DN di base della tua origine identità.
- Nella colonna Type (Tipo), seleziona Active Directory over LDAP.
- Nella colonna LDAP Servers (Server LDAP), fai clic su Set (Imposta).
- Nella finestra Imposta server LDAP, fai clic su Aggiungi server LDAP.
- Specifica i parametri del server LDAP e fai clic su Verifica stato per verificare connessione da NSX-T Manager al server LDAP.
- Fai clic su Add (Aggiungi) per aggiungere il server LDAP.
- Fai clic su Applica e poi su Salva.
Porte richieste per utilizzare Active Directory on-premise come origine identità
Le porte elencate nella tabella seguente sono necessarie per configurare Active Directory on-premise come origine identità sul cloud privato vCenter.
| Porta | Origine | Destinazione | Finalità |
|---|---|---|---|
| 53 (UDP) | Server DNS del cloud privato | Server DNS on-premise | Obbligatorio per inoltrare la ricerca DNS dei nomi di dominio Active Directory on-premise da un server vCenter private cloud a un server DNS on-premise. |
| 389 (TCP/UDP) | Rete di gestione del cloud privato | Domain controller Active Directory on-premise | Richiesto per la comunicazione LDAP da un server vCenter cloud privato a Controller di dominio Active Directory per l'autenticazione degli utenti. |
| 636 (TCP) | Rete di gestione del cloud privato | Controller di dominio Active Directory on-premise | Richiesto per la comunicazione LDAP sicura (LDAP) da un cloud privato Da server vCenter a controller di dominio Active Directory per l'utente autenticazione. |
| TCP 3268 | Rete di gestione del cloud privato | Server di catalogo globale on-premise di Active Directory | Richiesto per la comunicazione LDAP nel controller multi-dominio deployment di machine learning. |
| 3269 (TCP) | Rete di gestione del cloud privato | Server di catalogo globale on-premise di Active Directory | Obbligatorio per la comunicazione LDAPS nel controller multi-dominio deployment di machine learning. |
| 8000 (TCP) | Rete di gestione del cloud privato | Rete on-premise | Richiesto per vMotion delle macchine virtuali dalla rete cloud privato alla rete on-premise. |
Passaggi successivi
Per ulteriori informazioni sulle origini di identità SSO, consulta le seguenti risorse vSphere e Documentazione dei data center NSX-T:
- Aggiungi o modifica un'origine identità Single Sign-On vCenter.
- LDAP Identity Source (Origine dell'identità LDAP).