Configurazione dell'autenticazione mediante Active Directory

Puoi configurare vCenter e NSX-T in Google Cloud VMware Engine per utilizzare Active Directory on-premise come origine identità LDAP per l'autenticazione degli utenti. Una volta completata la configurazione, puoi fornire l'accesso a vCenter e NSX-T Manager e assegnare i ruoli richiesti per la gestione del tuo cloud privato.

Prima di iniziare

I passaggi di questo documento presuppongono che tu abbia innanzitutto eseguito le seguenti operazioni:

Stabilisci la connettività dalla tua rete on-premise al cloud privato
Abilita la risoluzione dei nomi DNS della tua Active Directory on-premise:
- Per reti VMware Engine legacy: abilita la risoluzione dei nomi DNS della tua Active Directory on-premise creando regole di forwarding DNS nel tuo cloud privato.
- Per le reti VMware Engine standard: abilita la risoluzione dei nomi DNS della tua Active Directory on-premise configurando le associazioni DNS per la tua rete VMware Engine.

La seguente tabella elenca le informazioni necessarie per configurare il tuo dominio Active Directory on-premise come origine identità SSO su vCenter e NSX-T. Raccogli le seguenti informazioni prima di configurare le origini identità SSO:

Informazione	Descrizione
DN di base per gli utenti	Il nome distinto di base per gli utenti.
Nome di dominio	Il nome di dominio completo del dominio, ad esempio `example.com`. Non fornire un indirizzo IP in questo campo.
Alias di dominio	Il nome del dominio NetBIOS. Se utilizzi l'autenticazione SSPI, aggiungi il nome NetBIOS del dominio Active Directory come alias dell'origine identità.
DN di base per i gruppi	Il nome distinto di base per i gruppi.
URL server principale	Il server LDAP del controller di dominio principale per il dominio. Utilizza il formato `ldap://hostname:port` o `ldaps://hostname:port`. La porta è in genere 389 per le connessioni LDAP e 636 per le connessioni LDAPS. Per i deployment di controller multi-dominio Active Directory, in genere la porta è 3268 per LDAP e 3269 per LDAPS. Se utilizzi `ldaps://` nell'URL LDAP principale o secondario, è necessario un certificato che stabilisca l'attendibilità per l'endpoint LDAPS del server Active Directory.
URL server secondario	L'indirizzo di un server LDAP del controller di dominio secondario utilizzato per il failover.
Scegli certificato	Per utilizzare LDAPS con il server LDAP di Active Directory o con l'origine identità del server OpenLDAP, fai clic sul pulsante Scegli certificato che viene visualizzato dopo aver digitato `ldaps://` nella casella di testo dell'URL. L'URL del server secondario non è obbligatorio.
Nome utente	L'ID di un utente nel dominio che dispone di un accesso minimo di sola lettura al DN di base per utenti e gruppi.
Password	La password dell'utente specificato da Nome utente.

Aggiungi un'origine identità su vCenter

Migliora i privilegi sul tuo cloud privato.
Accedi a vCenter per il tuo cloud privato.
Seleziona Home > Amministrazione.
Seleziona Single Sign On > Configuration (Configurazione Single Sign-On).
Apri la scheda Origini identità e fai clic su +Aggiungi per aggiungere una nuova origine identità.
Seleziona Active Directory come server LDAP e fai clic su Avanti.
Specifica i parametri dell'origine identità per il tuo ambiente e fai clic su Avanti.
Controlla le impostazioni e fai clic su Fine.

Aggiungi un'origine identità su NSX-T

Accedi a NSX-T Manager nel tuo cloud privato.
Vai a Sistema > Impostazioni > Utenti e ruoli > LDAP.
Fai clic su Aggiungi origine identità.
Nel campo Nome, inserisci un nome visualizzato per l'origine identità.
Specifica il Nome di dominio e il DN di base dell'origine identità.
Nella colonna Tipo, seleziona Active Directory su LDAP.
Nella colonna LDAP Servers (Server LDAP), fai clic su Set (Imposta).
Nella finestra Imposta server LDAP, fai clic su Aggiungi server LDAP.
Specifica i parametri del server LDAP e fai clic su Verifica stato per verificare la connessione da NSX-T Manager al server LDAP.
Fai clic su Aggiungi per aggiungere il server LDAP.
Fai clic su Applica e poi su Salva.

Porte richieste per utilizzare Active Directory on-premise come origine identità

Le porte elencate nella tabella seguente sono necessarie per configurare Active Directory on-premise come origine identità sul cloud privato vCenter.

Porta	Origine	Destinazione	Finalità
53 (UDP)	Server DNS cloud privati	Server DNS on-premise	Necessaria per inoltrare la ricerca DNS dei nomi di dominio Active Directory on-premise da un server vCenter nel cloud privato a un server DNS on-premise.
389 (TCP/UDP)	Rete di gestione del cloud privato	Controller di dominio Active Directory on-premise	Necessaria per la comunicazione LDAP da un server vCenter cloud privato ai controller di dominio Active Directory per l'autenticazione degli utenti.
636 (TCP)	Rete di gestione del cloud privato	Controller di dominio Active Directory on-premise	Necessaria per la comunicazione LDAP (LDAPS) sicura da un server vCenter del cloud privato ai controller di dominio Active Directory per l'autenticazione degli utenti.
3268 (TCP)	Rete di gestione del cloud privato	Server di catalogo globali di Active Directory on-premise	Richiesto per la comunicazione LDAP nei deployment di controller multi-dominio.
3269 (TCP)	Rete di gestione del cloud privato	Server di catalogo globali di Active Directory on-premise	Richiesto per la comunicazione LDAPS nei deployment di controller multi-dominio.
8000 (TCP)	Rete di gestione del cloud privato	Rete on-premise	Richiesto per il vMotion delle macchine virtuali dalla rete cloud privato alla rete on-premise.

Passaggi successivi

Per ulteriori informazioni sulle origini identità SSO, consulta la seguente documentazione dei data center di vSphere e NSX-T: