Como configurar a autenticação usando o Active Directory

É possível configurar o vCenter e o NSX-T no Google Cloud VMware Engine para usar o Active Directory local como uma origem de identidade LDAP ou LDAPS para autenticação do usuário. Quando a configuração estiver concluída, será possível conceder acesso ao vCenter e ao gerenciador NSX-T e atribuir os papéis necessários para gerenciar sua nuvem privada.

Antes de começar

Nas etapas deste documento, presumimos que você fará o seguinte:

A tabela a seguir lista as informações necessárias para configurar seu domínio local do Active Directory como uma origem de identidade de SSO no vCenter e no NSX-T. Colete as seguintes informações antes de configurar as origens de identidade do SSO:

Informações Descrição
DN de base para usuários O nome distinto de base para os usuários.
Nome de domínio O FDQN do domínio, por exemplo, example.com. Não forneça um endereço IP neste campo.
Alias de domínio O nome NetBIOS do domínio. Se você usar a autenticação SSPI, adicione o nome do NetBIOS do domínio do Active Directory como um alias da origem de identidade.
DN de base para grupos O nome distinto de base para grupos.
URL do servidor primário

O servidor LDAP do controlador de domínio principal do domínio.

Use o formato ldap://hostname:port ou ldaps://hostname:port. A porta costuma ser 389 para conexões LDAP e 636 para conexões LDAPS. Para implantações de controlador de vários domínios do Active Directory, a porta geralmente é 3268 para LDAP e 3269 para LDAPS.

É necessário ter um certificado que estabeleça a confiança para o endpoint LDAPS do servidor do Active Directory quando você usa ldaps:// no URL LDAP principal ou secundário.

URL do servidor secundário O endereço de um servidor LDAP secundário do controlador de domínio usado para failover.
Escolher certificado Para usar LDAPS com o servidor LDAP do Active Directory ou a origem de identidade do servidor OpenLDAP, clique no botão Escolher certificado que aparece depois que você digita ldaps:// no campo de URL. Um URL de servidor secundário não é necessário.
Nome de usuário O ID de um usuário no domínio que tem no mínimo acesso somente leitura ao DN de base para usuários e grupos.
Senha A senha do usuário especificado por Nome de usuário.

Adicionar uma origem de identidade no vCenter

  1. Eleve privilégios na nuvem particular.
  2. Faça login no vCenter da sua nuvem particular.
  3. Selecione Página inicial >Administração.
  4. Selecione Logon único >Configuração.
  5. Abra a guia Origens de identidade e clique em +Adicionar para adicionar uma nova origem de identidade.
  6. Selecione Active Directory como LDAP e clique em Avançar.
  7. Especifique os parâmetros de origem de identidade para seu ambiente e clique em Avançar.
  8. Revise as configurações e clique em Concluir.

Adicionar uma origem de identidade no NSX-T

  1. Faça login no gerenciador do NSX-T na sua nuvem privada.
  2. Acesse Sistema > Configurações > Usuários e papéis > LDAP.
  3. Clique em Adicionar origem de identidade.
  4. No campo Nome, digite um nome de exibição para a origem de identidade.
  5. Especifique o Nome de domínio e o DN base da sua origem de identidade.
  6. Na coluna Tipo, selecione Active Directory sobre o LDAP.
  7. Na coluna Servidores LDAP, clique em Definir .
  8. Na janela Configurar servidor LDAP, clique em Adicionar servidor LDAP.
  9. Especifique os parâmetros do servidor LDAP e clique em Verificar status para verificar a conexão do gerenciador NSX-T com o servidor LDAP.
  10. Clique em Adicionar para adicionar o servidor LDAP.
  11. Clique em Aplicar e em Salvar.

Portas necessárias para usar o Active Directory local como uma origem de identidade

As portas listadas na tabela a seguir são necessárias para configurar o Active Directory local como uma origem de identidade no vCenter da nuvem privada.

Porta Origem Destino Finalidade
53 (UDP) Servidores DNS de nuvem particular Servidores DNS locais Obrigatório para encaminhar a busca DNS de nomes de domínios locais do Active Directory de um servidor de nuvem privada do vCenter para um servidor DNS local.
389 (TCP/UDP) Rede de gerenciamento de nuvem privada Controladores de domínio do Active Directory no local Obrigatório para comunicação LDAP de um servidor de nuvem privada do vCenter para controladores de domínio do Active Directory para autenticação do usuário.
636 (TCP) Rede de gerenciamento de nuvem privada Controladores de domínio do Active Directory no local Obrigatório para comunicação LDAP (LDAPS) segura de um servidor de nuvem privada do vCenter para controladores de domínio do Active Directory para autenticação do usuário.
3268 (TCP) Rede de gerenciamento de nuvem privada Servidores de catálogo global do Active Directory local Obrigatório para comunicação LDAP em implantações de controlador de vários domínios.
3269 (TCP) Rede de gerenciamento de nuvem privada Servidores de catálogo global do Active Directory local Obrigatório para a comunicação LDAPS em implantações de controlador de vários domínios.
8000 (TCP) Rede de gerenciamento de nuvem privada Rede local Necessário para vMotion de máquinas virtuais da rede de nuvem privada para a rede local.

A seguir

Para mais informações sobre as origens de identidade do SSO, consulte a seguinte documentação do data center do vSphere e do NSX-T: