Authentifizierung mit Active Directory konfigurieren
Sie können vCenter und NSX-T in Google Cloud VMware Engine so konfigurieren, dass Ihr lokales Active Directory als LDAP-Identitätsquelle für die Nutzerauthentifizierung verwendet wird. Sobald die Einrichtung abgeschlossen ist, können Sie den Zugriff auf vCenter und NSX-T Manager bereitstellen und die erforderlichen Rollen zum Verwalten Ihrer privaten Cloud zuweisen.
Hinweise
Bei den Schritten in diesem Dokument wird davon ausgegangen, dass Sie zuerst Folgendes tun:
- Verbindung zwischen dem lokalen Netzwerk und der privaten Cloud herstellen
- Aktivieren Sie die DNS-Namensauflösung Ihres lokalen Active Directory:
- Für Legacy-VMware Engine-Netzwerke: Aktivieren Sie die DNS-Namensauflösung Ihres lokalen Active Directory. Erstellen Sie dazu DNS-Weiterleitungsregeln in Ihrer privaten Cloud.
- Für Standard-VMware Engine-Netzwerke: Aktivieren Sie die DNS-Namensauflösung Ihres lokalen Active Directory, indem Sie DNS-Bindungen für Ihr VMware Engine-Netzwerk konfigurieren.
Die folgende Tabelle enthält die Informationen, die Sie benötigen, wenn Sie Ihre lokale Active Directory-Domain als SSO-Identitätsquelle in vCenter und NSX-T einrichten. Legen Sie die folgenden Informationen fest, bevor Sie SSO-Identitätsquellen einrichten:
| Daten | Beschreibung |
|---|---|
| Basis-DN für Nutzer | Der Base Distinguished Name für Nutzer. |
| Domainname | Die FQDN der Domain, z. B. example.com. Geben Sie in diesem Feld keine IP-Adresse an. |
| Domain-Alias | Der NetBIOS-Domainname. Wenn Sie die SSPI-Authentifizierung verwenden, fügen Sie den NetBIOS-Namen der Active Directory-Domain als Alias der Identitätsquelle hinzu. |
| Basis-DN für Gruppen | Der Base Distinguished Name für Gruppen. |
| URL des primären Servers |
Der LDAP-Server des primären Domain-Controllers für die Domain. Verwenden Sie das Format Wenn Sie in der primären oder sekundären LDAP-URL |
| Sekundäre Server-URL | Die Adresse eines LDAP-Servers des sekundären Domain-Controllers, der für das Failover verwendet wird. |
| Zertifikat auswählen | Wenn Sie LDAPS mit Ihrem Active Directory-LDAP-Server oder der OpenLDAP-Server-Identitätsquelle verwenden möchten, klicken Sie auf die Schaltfläche Zertifikat auswählen, die nach der Eingabe von ldaps:// in das URL-Textfeld angezeigt wird. Eine sekundäre Server-URL ist nicht erforderlich. |
| Nutzername | Die ID eines Nutzers in der Domain, der mindestens Lesezugriff auf den Basis-DN für Nutzer und Gruppen hat. |
| Passwort | Das Passwort des durch den Nutzernamen bestimmten Nutzers. |
Identitätsquelle in vCenter hinzufügen
- Erhöhen Sie die Berechtigungen für Ihre private Cloud.
- Melden Sie sich bei vCenter für Ihre private Cloud an.
- Wählen Sie Startseite > Verwaltung.
- Wählen Sie Einmalanmeldung (SSO) > Konfiguration.
- Öffnen Sie den Tab Identitätsquellen und klicken Sie auf +Hinzufügen, um eine neue Identitätsquelle hinzuzufügen.
- Wählen Sie Active Directory als LDAP-Server aus und klicken Sie auf Weiter.
- Geben Sie die Parameter der Identitätsquelle für Ihre Umgebung an und klicken Sie auf Weiter.
- Prüfen Sie die Einstellungen und klicken Sie auf Fertigstellen.
Identitätsquelle auf NSX-T hinzufügen
- Melden Sie sich in Ihrer privaten Cloud bei NSX-T Manager an.
- Gehen Sie zu System > Einstellungen > Nutzer und Rollen > LDAP.
- Klicken Sie auf Identitätsquelle hinzufügen.
- Geben Sie im Feld Name einen Anzeigenamen für die Identitätsquelle ein.
- Geben Sie den Domainnamen und die Base DN Ihrer Identitätsquelle an.
- Wählen Sie in der Spalte Typ die Option Active Directory über LDAP aus.
- Klicken Sie in der Spalte LDAP-Server auf Festlegen.
- Klicken Sie im Fenster LDAP-Server festlegen auf LDAP-Server hinzufügen.
- Geben Sie die LDAP-Serverparameter an und klicken Sie auf Status prüfen, um die Verbindung von NSX-T Manager zu Ihrem LDAP-Server zu prüfen.
- Klicken Sie auf Hinzufügen, um den LDAP-Server hinzuzufügen.
- Klicken Sie auf Anwenden und anschließend auf Speichern.
Ports, die für die Verwendung des lokalen Active Directory als Identitätsquelle erforderlich sind
Die in der folgenden Tabelle aufgeführten Ports sind erforderlich, um Ihr lokales Active Directory als Identitätsquelle im vCenter ihrer privaten Cloud zu konfigurieren.
| Port | Quelle | Ziel | Zweck |
|---|---|---|---|
| 53 (UDP) | DNS-Server der privaten Cloud | Lokale DNS-Server | Erforderlich für die Weiterleitung des DNS-Lookup von lokalen Active Directory-Domainnamen von einem privaten Cloud vCenter-Server an einen lokalen DNS-Server. |
| 389 (TCP/UDP) | Privates Cloud-Verwaltungsnetzwerk | Lokale Active Directory-Domaincontroller | Für die LDAP-Kommunikation von einem privaten Cloud vCenter-Server mit Active Directory-Domaincontrollern zur Nutzerauthentifizierung erforderlich. |
| 636 (TCP) | Privates Cloud-Verwaltungsnetzwerk | Lokale Active Directory-Domaincontroller | Für die sichere LDAP-Kommunikation (LDAPS) zwischen einem privaten Cloud vCenter-Server und den Active Directory-Domaincontrollern zur Nutzerauthentifizierung erforderlich. |
| 3268 (TCP) | Privates Cloud-Verwaltungsnetzwerk | Lokale globale Active Directory-Katalogserver | Erforderlich für die LDAP-Kommunikation in Controllern mit mehreren Domains. |
| 3269 (TCP) | Privates Cloud-Verwaltungsnetzwerk | Lokale globale Active Directory-Katalogserver | Erforderlich für die LDAPS-Kommunikation in Controllern mit mehreren Domains. |
| 8000 (TCP) | Privates Cloud-Verwaltungsnetzwerk | Lokales Netzwerk | Erforderlich für vMotion von virtuellen Maschinen vom privaten Cloud-Netzwerk zu einem lokalen Netzwerk. |
Nächste Schritte
Weitere Informationen zu SSO-Identitätsquellen finden Sie in der folgenden Dokumentation zu vSphere und NSX-T-Rechenzentrum:
- Eine Identitätsquelle für die Einmalanmeldung (SSO) von vCenter hinzufügen oder bearbeiten
- LDAP-Identitätsquelle