Como configurar a autenticação usando o Active Directory
É possível configurar o vCenter e o NSX-T no Google Cloud VMware Engine para usar o Active Directory local como uma origem de identidade LDAP ou LDAPS para autenticação do usuário. Quando a configuração estiver concluída, será possível conceder acesso ao vCenter e ao gerenciador NSX-T e atribuir os papéis necessários para gerenciar sua nuvem privada.
Antes de começar
Nas etapas deste documento, presumimos que você fará o seguinte:
- Estabelecer conectividade da rede local para a nuvem privada
- Ative a resolução de nomes DNS do Active Directory local:
- Para Redes legadas do VMware Engine: ative a resolução de nomes de DNS do Active Directory local criando regras de encaminhamento de DNS na nuvem privada.
- Para Redes padrão do VMware Engine: ative a resolução de nome DNS do Active Directory local configurando vinculações DNS à rede do VMware Engine.
A tabela a seguir lista as informações necessárias para configurar seu domínio local do Active Directory como uma origem de identidade de SSO no vCenter e no NSX-T. Colete as seguintes informações antes de configurar as origens de identidade do SSO:
Informações | Descrição |
---|---|
DN de base para usuários | O nome distinto de base para os usuários. |
Nome de domínio | O FDQN do domínio, por exemplo, example.com . Não
forneça um endereço IP neste campo. |
Alias de domínio | O nome NetBIOS do domínio. Se você usar a autenticação SSPI, adicione o nome do NetBIOS do domínio do Active Directory como um alias da origem de identidade. |
DN de base para grupos | O nome distinto de base para grupos. |
URL do servidor primário |
O servidor LDAP do controlador de domínio principal do domínio. Use o formato É necessário ter um certificado que estabeleça a confiança para o endpoint LDAPS do servidor do Active
Directory quando você usa |
URL do servidor secundário | O endereço de um servidor LDAP secundário do controlador de domínio usado para failover. |
Escolher certificado | Para usar LDAPS com o servidor LDAP do Active Directory ou a origem de identidade do servidor
OpenLDAP, clique no botão Escolher certificado que aparece
depois que você digita ldaps:// no campo de URL. Um URL de servidor
secundário não é necessário. |
Nome de usuário | O ID de um usuário no domínio que tem no mínimo acesso somente leitura ao DN de base para usuários e grupos. |
Senha | A senha do usuário especificado por Nome de usuário. |
Adicionar uma origem de identidade no vCenter
- Eleve privilégios na nuvem particular.
- Faça login no vCenter da sua nuvem particular.
- Selecione Página inicial >Administração.
- Selecione Logon único >Configuração.
- Abra a guia Origens de identidade e clique em +Adicionar para adicionar uma nova origem de identidade.
- Selecione Active Directory como LDAP e clique em Avançar.
- Especifique os parâmetros de origem de identidade para seu ambiente e clique em Avançar.
- Revise as configurações e clique em Concluir.
Adicionar uma origem de identidade no NSX-T
- Faça login no gerenciador do NSX-T na sua nuvem privada.
- Acesse Sistema > Configurações > Usuários e papéis > LDAP.
- Clique em Adicionar origem de identidade.
- No campo Nome, digite um nome de exibição para a origem de identidade.
- Especifique o Nome de domínio e o DN base da sua origem de identidade.
- Na coluna Tipo, selecione Active Directory sobre o LDAP.
- Na coluna Servidores LDAP, clique em Definir .
- Na janela Configurar servidor LDAP, clique em Adicionar servidor LDAP.
- Especifique os parâmetros do servidor LDAP e clique em Verificar status para verificar a conexão do gerenciador NSX-T com o servidor LDAP.
- Clique em Adicionar para adicionar o servidor LDAP.
- Clique em Aplicar e em Salvar.
Portas necessárias para usar o Active Directory local como uma origem de identidade
As portas listadas na tabela a seguir são necessárias para configurar o Active Directory local como uma origem de identidade no vCenter da nuvem privada.
Porta | Origem | Destino | Finalidade |
---|---|---|---|
53 (UDP) | Servidores DNS de nuvem particular | Servidores DNS locais | Obrigatório para encaminhar a busca DNS de nomes de domínios locais do Active Directory de um servidor de nuvem privada do vCenter para um servidor DNS local. |
389 (TCP/UDP) | Rede de gerenciamento de nuvem privada | Controladores de domínio do Active Directory no local | Obrigatório para comunicação LDAP de um servidor de nuvem privada do vCenter para controladores de domínio do Active Directory para autenticação do usuário. |
636 (TCP) | Rede de gerenciamento de nuvem privada | Controladores de domínio do Active Directory no local | Obrigatório para comunicação LDAP (LDAPS) segura de um servidor de nuvem privada do vCenter para controladores de domínio do Active Directory para autenticação do usuário. |
3268 (TCP) | Rede de gerenciamento de nuvem privada | Servidores de catálogo global do Active Directory local | Obrigatório para comunicação LDAP em implantações de controlador de vários domínios. |
3269 (TCP) | Rede de gerenciamento de nuvem privada | Servidores de catálogo global do Active Directory local | Obrigatório para a comunicação LDAPS em implantações de controlador de vários domínios. |
8000 (TCP) | Rede de gerenciamento de nuvem privada | Rede local | Necessário para vMotion de máquinas virtuais da rede de nuvem privada para a rede local. |
A seguir
Para mais informações sobre as origens de identidade do SSO, consulte a seguinte documentação do data center do vSphere e do NSX-T:
- Adicionar ou editar uma origem de identidade de logon único do vCenter.
- Origem de identidade do LDAP.