Configurazione dell'autenticazione mediante Active Directory

Puoi configurare vCenter e NSX-T in Google Cloud VMware Engine per utilizzare il tuo Active Directory on-premise come origine identità LDAP per l'autenticazione degli utenti. Una volta completata la configurazione, puoi fornire l'accesso a vCenter e NSX-T Manager e e assegnare i ruoli richiesti per la gestione del cloud privato.

Prima di iniziare

I passaggi descritti in questo documento presuppongono che:

Nella tabella seguente sono elencate le informazioni necessarie per configurare un dominio Active Directory on-premise come origine identità SSO su vCenter e NSX-T. Prima di configurare le origini delle identità SSO, raccogli le seguenti informazioni:

Informazioni Descrizione
DN di base per gli utenti Il nome distinto di base per gli utenti.
Nome di dominio Il nome di dominio completo del dominio, ad esempio example.com. Non specificare un indirizzo IP in questo campo.
Alias di dominio Il nome del dominio NetBIOS. Se utilizzi l'autenticazione SSPI, aggiungi il nome NetBIOS del dominio Active Directory come alias dell'origine identità.
DN di base per i gruppi Il nome distinto di base per i gruppi.
URL server principale

Il server LDAP del controller di dominio principale per il dominio.

Utilizza il formato ldap://hostname:port o ldaps://hostname:port. La porta in genere è 389 per LDAP e 636 per le connessioni LDAPS. Per Active Directory di controller multi-dominio, la porta in genere è 3268 per LDAP e 3269 per LDAPS.

Un certificato che stabilisce l'attendibilità dell'endpoint LDAPS del Il server Active Directory è richiesto quando utilizzi ldaps:// nell'URL LDAP principale o secondario.

URL server secondario L'indirizzo di un server LDAP del controller di dominio secondario utilizzato per il failover.
Scegli certificato Per utilizzare LDAPS con il server LDAP di Active Directory o il server OpenLDAP origine identità, fai clic sul pulsante Scegli certificato visualizzato dopo aver digitato ldaps:// nel campo URL. Un indirizzo non è richiesto l'URL del server.
Nome utente L'ID di un utente nel dominio che dispone di un accesso minimo di sola lettura a il DN di base per utenti e gruppi.
Password La password dell'utente specificato da Nome utente.

Aggiungere un'origine identità su vCenter

  1. Aumenta i privilegi sul tuo cloud privato.
  2. Accedi a vCenter per il tuo cloud privato.
  3. Seleziona Home > Amministrazione.
  4. Seleziona Single Sign On > Configurazione.
  5. Apri la scheda Origini identità e fai clic su +Aggiungi per aggiungere una nuova identità. sorgente.
  6. Seleziona Active Directory come server LDAP e fai clic su Avanti.
  7. Specifica i parametri dell'origine identità per il tuo ambiente e fai clic su Avanti.
  8. Rivedi le impostazioni e fai clic su Fine.

Aggiungere un'origine identità su NSX-T

  1. Accedi a NSX-T Manager nel tuo cloud privato.
  2. Vai a Sistema > Impostazioni > Utenti e ruoli > LDAP.
  3. Fai clic su Aggiungi origine identità.
  4. Nel campo Nome, inserisci un nome visualizzato per l'origine identità.
  5. Specifica il Nome di dominio e il DN di base della tua origine identità.
  6. Nella colonna Type (Tipo), seleziona Active Directory over LDAP.
  7. Nella colonna LDAP Servers (Server LDAP), fai clic su Set (Imposta).
  8. Nella finestra Imposta server LDAP, fai clic su Aggiungi server LDAP.
  9. Specifica i parametri del server LDAP e fai clic su Verifica stato per verificare connessione da NSX-T Manager al server LDAP.
  10. Fai clic su Add (Aggiungi) per aggiungere il server LDAP.
  11. Fai clic su Applica e poi su Salva.

Porte richieste per utilizzare Active Directory on-premise come origine identità

Le porte elencate nella tabella seguente sono necessarie per configurare Active Directory on-premise come origine identità sul cloud privato vCenter.

Porta Origine Destinazione Finalità
53 (UDP) Server DNS del cloud privato Server DNS on-premise Obbligatorio per inoltrare la ricerca DNS dei nomi di dominio Active Directory on-premise da un server vCenter private cloud a un server DNS on-premise.
389 (TCP/UDP) Rete di gestione del cloud privato Domain controller Active Directory on-premise Richiesto per la comunicazione LDAP da un server vCenter cloud privato a Controller di dominio Active Directory per l'autenticazione degli utenti.
636 (TCP) Rete di gestione del cloud privato Controller di dominio Active Directory on-premise Richiesto per la comunicazione LDAP sicura (LDAP) da un cloud privato Da server vCenter a controller di dominio Active Directory per l'utente autenticazione.
TCP 3268 Rete di gestione del cloud privato Server di catalogo globale on-premise di Active Directory Richiesto per la comunicazione LDAP nel controller multi-dominio deployment di machine learning.
3269 (TCP) Rete di gestione del cloud privato Server di catalogo globale on-premise di Active Directory Obbligatorio per la comunicazione LDAPS nel controller multi-dominio deployment di machine learning.
8000 (TCP) Rete di gestione del cloud privato Rete on-premise Richiesto per vMotion delle macchine virtuali dalla rete cloud privato alla rete on-premise.

Passaggi successivi

Per ulteriori informazioni sulle origini di identità SSO, consulta le seguenti risorse vSphere e Documentazione dei data center NSX-T: