Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Configurazione dell'autenticazione mediante Active Directory
Puoi configurare vCenter e NSX in Google Cloud VMware Engine per utilizzare Active Directory on-premise come origine identità LDAP o LDAPS per l'autenticazione degli utenti.
Una volta completata la configurazione, puoi fornire l'accesso a vCenter e NSX Manager e
assegnare i ruoli necessari per gestire il tuo cloud privato.
Prima di iniziare
I passaggi descritti in questo documento presuppongono che tu esegua prima le seguenti operazioni:
Attiva la risoluzione dei nomi DNS di Active Directory on-premise:
Per le reti VMware Engine legacy: abilita la risoluzione dei nomi DNS della tua istanza di Active Directory on-premise creando regole di inoltro DNS nel tuo cloud privato.
Per le reti VMware Engine standard: abilita la risoluzione dei nomi DNS
del tuo Active Directory on-premise configurando i binding DNS
alla tua rete VMware Engine.
La seguente tabella elenca le informazioni necessarie per configurare il tuo
dominio Active Directory on-premise come origine identità SSO su vCenter e
NSX. Raccogli le seguenti informazioni prima di configurare le origini identità SSO:
Informazioni
Descrizione
DN di base per gli utenti
Il nome distinto di base per gli utenti.
Nome di dominio
Il nome di dominio completo del dominio, ad esempio example.com. Non
specificare un indirizzo IP in questo campo.
Alias di dominio
Il nome del dominio NetBIOS. Se utilizzi l'autenticazione SSPI, aggiungi il nome NetBIOS
del dominio Active Directory come alias dell'origine identità.
DN di base per i gruppi
Il nome distinto di base per i gruppi.
URL server principale
Il server LDAP del controller di dominio principale per il dominio.
Utilizza il formato ldap://hostname:port o
ldaps://hostname:port. La porta è in genere 389 per le connessioni LDAP
e 636 per le connessioni LDAPS. Per le implementazioni di controller di dominio multipli di Active Directory, la porta è in genere 3268 per LDAP e 3269 per LDAPS.
Quando utilizzi ldaps:// nell'URL LDAP primario o secondario, è necessario un certificato che stabilisca l'attendibilità per l'endpoint LDAPS del server Active Directory.
URL server secondario
L'indirizzo di un server LDAP del domain controller secondario utilizzato
per il failover.
Scegli certificato
Per utilizzare LDAPS con l'origine identità del server LDAP Active Directory o del server OpenLDAP, fai clic sul pulsante Scegli certificato visualizzato dopo aver digitato ldaps:// nel campo URL. L'URL di un server secondario non è obbligatorio.
Nome utente
L'ID di un utente nel dominio che dispone di un accesso minimo di sola lettura al DN di base per utenti e gruppi.
Password
La password dell'utente specificato da Nome utente.
Seleziona Single Sign On > Configuration (Single Sign-On > Configurazione).
Apri la scheda Origini identità e fai clic su +Aggiungi per aggiungere una nuova origine identità.
Seleziona Active Directory come server LDAP e fai clic su Avanti.
Specifica i parametri dell'origine identità per il tuo ambiente e fai clic su
Avanti.
Rivedi le impostazioni e fai clic su Fine.
Aggiungere un'origine identità su NSX
Accedi a NSX Manager nel tuo cloud privato.
Vai a Sistema > Impostazioni > Utenti e ruoli > LDAP.
Fai clic su Aggiungi origine identità.
Nel campo Nome, inserisci un nome visualizzato per l'origine identità.
Specifica il nome di dominio e il DN di base dell'origine identità.
Nella colonna Tipo, seleziona Active Directory su LDAP.
Nella colonna Server LDAP, fai clic su Imposta .
Nella finestra Imposta server LDAP, fai clic su Aggiungi server LDAP.
Specifica i parametri del server LDAP e fai clic su Controlla stato per verificare la
connessione da NSX Manager al server LDAP.
Fai clic su Aggiungi per aggiungere il server LDAP.
Fai clic su Applica e poi su Salva.
Porte richieste per l'utilizzo di Active Directory on-premise come origine identità
Le porte elencate nella tabella seguente sono necessarie per configurare
Active Directory on-premise come origine identità in vCenter del cloud privato.
Porta
Origine
Destinazione
Finalità
53 (UDP)
Server DNS del cloud privato
Server DNS on-premise
Obbligatorio per l'inoltro della ricerca DNS dei nomi di dominio Active Directory on-premise da un server vCenter cloud privato a un server DNS on-premise.
389 (TCP/UDP)
Rete di gestione del cloud privato
Domain controller Active Directory on-premise
Obbligatorio per la comunicazione LDAP da un server vCenter cloud privato ai controller di dominio Active Directory per l'autenticazione utente.
636 (TCP)
Rete di gestione del cloud privato
Domain controller Active Directory on-premise
Obbligatorio per la comunicazione LDAP sicura (LDAPS) da un server vCenter cloud privato ai controller di dominio Active Directory per l'autenticazione degli utenti.
3268 (TCP)
Rete di gestione del cloud privato
Server del catalogo globale di Active Directory on-premise
Obbligatorio per la comunicazione LDAP nei deployment di controller
multidominio.
3269 (TCP)
Rete di gestione del cloud privato
Server del catalogo globale di Active Directory on-premise
Obbligatorio per la comunicazione LDAPS nei deployment di controller di più domini.
8000 (TCP)
Rete di gestione del cloud privato
Rete on-premise
Obbligatorio per vMotion delle macchine virtuali dalla rete cloud privato
alla rete on-premise.
Passaggi successivi
Per ulteriori informazioni sulle origini identità SSO, consulta la seguente documentazione di vSphere e
NSX Data Center:
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[],[],null,["# Configuring authentication using Active Directory\n=================================================\n\nYou can configure vCenter and NSX in Google Cloud VMware Engine to use your\non-premises Active Directory as an LDAP or LDAPS identity source for user authentication.\nOnce setup is complete, you can provide access to vCenter and NSX Manager and\nassign required roles for managing your private cloud.\n| **Caution:** Joining your private cloud vCenter to an Active Directory domain is unsupported and unnecessary. Your private cloud vCenter server only supports the **Active Directory over LDAP** identity source type, which doesn't require joining your vCenter to an Active Directory domain. Avoid the **Active Directory\n| (Windows Integrated Authentication)** identity source type.\n\nBefore you begin\n----------------\n\nThe steps in this document assume that you first do the following:\n\n- [Establish connectivity from your on-premises network to your private cloud](/vmware-engine/docs/networking/howto-connect-to-onpremises)\n- Enable DNS name resolution of your on-premises Active Directory:\n - For *Legacy VMware Engine Networks* : Enable DNS name resolution of your on-premises Active Directory by creating [DNS forwarding rules](/vmware-engine/docs/networking/howto-legacy-conditional-dns-forwarding) in your private cloud.\n - For *Standard VMware Engine Networks* : Enable DNS name resolution of your on-premises Active Directory by configuring [DNS bindings](/vmware-engine/docs/networking/howto-create-dns-bindings) to your VMware Engine network.\n\nThe following table lists the information you need when setting up your\non-premises Active Directory domain as an SSO identity source on vCenter and\nNSX. Gather the following information before setting up SSO identity sources:\n\nAdd an identity source on vCenter\n---------------------------------\n\n1. Sign in to the vCenter for your private cloud using a [solution user account](/vmware-engine/docs/private-clouds/howto-elevate-privilege#solution_user_accounts).\n2. Select **Home \\\u003e Administration**.\n3. Select **Single Sign On \\\u003e Configuration**.\n4. Open the **Identity Sources** tab and click **+Add** to add a new identity source.\n5. Select **Active Directory as an LDAP Server** , and click **Next**.\n6. Specify the identity source parameters for your environment, and click **Next**.\n7. Review the settings, and click **Finish**.\n\nAdd an identity source on NSX\n-----------------------------\n\n1. Sign in to NSX Manager in your private cloud.\n2. Go to **System \\\u003e Settings \\\u003e Users and Roles \\\u003e LDAP**.\n3. Click **Add identity source**.\n4. In the **Name** field, enter a display name for the identity source.\n5. Specify the **Domain Name** and **Base DN** of your identity source.\n6. In the **Type** column, select **Active Directory over LDAP**.\n7. In the **LDAP Servers** column, click **Set** .\n8. In the **Set LDAP Server** window, click **Add LDAP Server**.\n9. Specify the LDAP server parameters and click **Check status** to verify the connection from NSX manager to your LDAP server.\n10. Click **Add** to add the LDAP server.\n11. Click **Apply** and then click **Save**.\n\nPorts required for using on-premises Active Directory as an identity source\n---------------------------------------------------------------------------\n\nThe ports listed in the following table are required to configure your\non-premises Active Directory as an identity source on the private cloud vCenter.\n\nWhat's next\n-----------\n\nFor more information about SSO identity sources, see the following vSphere and\nNSX Data Center documentation:\n\n- [Add or Edit a vCenter Single Sign-On Identity Source](https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.vsphere.authentication.doc/GUID-B23B1360-8838-4FF2-B074-71643C4CB040.html).\n- [LDAP Identity Source](https://docs.vmware.com/en/VMware-NSX-T-Data-Center/3.0/administration/GUID-664DC51F-3D6B-442F-9C29-2A5304ACCCA4.html)."]]
