使用 Active Directory 設定驗證作業

您可以在 Google Cloud VMware Engine 中設定 vCenter 和 NSX，將內部部署 Active Directory 做為 LDAP 或 LDAPS 身分來源，用於使用者驗證。設定完成後，您可以提供 vCenter 和 NSX Manager 的存取權，並指派管理私有雲所需的角色。

事前準備

本文中的步驟假設您已先完成下列事項：

• 從內部部署網路建立與 Private Cloud 的連線
• 啟用內部部署 Active Directory 的 DNS 名稱解析：
  • 舊版 VMware Engine 網路：在 Private Cloud 中建立 DNS 轉送規則，啟用地端部署 Active Directory 的 DNS 名稱解析。
  • 標準 VMware Engine 網路：設定 VMware Engine 網路的 DNS 繫結，啟用地端 Active Directory 的 DNS 名稱解析。

下表列出在 vCenter 和 NSX 上，將內部部署 Active Directory 網域設為單一登入身分來源時所需的資訊。設定單一登入 (SSO) 識別來源前，請先收集下列資訊：

資訊	說明
使用者的基準 DN	使用者的基準辨別名稱。
網域名稱	網域的 FQDN，例如 example.com。請勿在這個欄位中輸入 IP 位址。
網域別名	網域的 NetBIOS 名稱。如果您是採用 SSPI 驗證程序，請將 Active Directory 網域的 NetBIOS 名稱新增為識別資訊來源的別名。
群組的基準 DN	群組的基準辨別名稱。
主要伺服器網址	網域的主網域控制器 LDAP 伺服器。 請使用 ldap://hostname:port 或 ldaps://hostname:port 格式。LDAP 連線的通訊埠通常為 389，LDAPS 連線則為 636。如果是 Active Directory 多網域控制器部署作業，LDAP 的通訊埠通常為 3268，LDAPS 則為 3269。 在主要或次要 LDAP 網址中使用 ldaps:// 時，必須使用憑證建立 Active Directory 伺服器 LDAPS 端點的信任關係。
次要伺服器網址	用於容錯移轉的次網域控制器 LDAP 伺服器位址。
選擇憑證	如要搭配 Active Directory LDAP 伺服器或 OpenLDAP 伺服器身分來源使用 LDAPS，請在網址欄位中輸入 ldaps://，然後按一下隨即顯示的「選擇憑證」按鈕。次要伺服器網址為選填。
使用者名稱	網域中使用者的 ID，至少具備使用者和群組基準 DN 的唯讀存取權。
密碼	使用者名稱所指定使用者的密碼。

在 vCenter 新增識別資訊來源

1. 使用解決方案使用者帳戶登入 Private Cloud 的 vCenter。
2. 依序選取「首頁」>「管理」。
3. 選取「單一登入」>「設定」。
4. 開啟「身分來源」分頁，然後按一下「+新增」，新增身分來源。
5. 選取「Active Directory as an LDAP Server」(將 Active Directory 設為 LDAP 伺服器)，然後按一下「Next」(下一步)。
6. 為環境指定身分來源參數，然後按一下「下一步」。
7. 檢查設定，然後按一下「完成」。

在 NSX 上新增識別資訊來源

1. 登入私有雲中的 NSX Manager。
2. 依序前往「系統」>「設定」>「使用者和角色」>「LDAP」。
3. 按一下「新增身分來源」。
4. 在「Name」(名稱) 欄位中，輸入身分來源的顯示名稱。
5. 指定身分來源的「網域名稱」和「基準 DN」。
6. 在「類型」欄中，選取「透過 LDAP 的 Active Directory」。
7. 在「LDAP 伺服器」欄中，按一下「設定」。
8. 在「設定 LDAP 伺服器」視窗中，按一下「新增 LDAP 伺服器」。
9. 指定 LDAP 伺服器參數，然後按一下「檢查狀態」，驗證 NSX Manager 與 LDAP 伺服器的連線。
10. 按一下「新增」，新增 LDAP 伺服器。
11. 依序按一下「套用」和「儲存」。

將內部部署 Active Directory 做為身分識別來源時所需的連接埠

如要在私有雲 vCenter 上將內部部署 Active Directory 設定為身分來源，必須使用下表列出的通訊埠。

通訊埠	來源	目的地	目的
53 (UDP)	私有雲 DNS 伺服器	內部部署 DNS 伺服器	從私有雲 vCenter 伺服器將內部部署 Active Directory 網域名稱的 DNS 查詢轉送至內部部署 DNS 伺服器時，必須使用此功能。
389 (TCP/UDP)	私有雲管理網路	地端 Active Directory 網域控制站	從私有雲 vCenter 伺服器到 Active Directory 網域控制器的 LDAP 通訊必須使用此連接器，才能進行使用者驗證。
636 (TCP)	私有雲管理網路	地端 Active Directory 網域控制站	從私有雲 vCenter 伺服器到 Active Directory 網域控制器，進行安全 LDAP (LDAPS) 通訊時，需要此憑證進行使用者驗證。
3268 (TCP)	私有雲管理網路	內部部署 Active Directory 全域目錄伺服器	在多網域控制站部署中，這是 LDAP 通訊的必要條件。
3269 (TCP)	私有雲管理網路	內部部署 Active Directory 全域目錄伺服器	在多網域控制站部署中，LDAPS 通訊需要此憑證。
8000 (TCP)	私有雲管理網路	地端部署網路	將虛擬機器從私有雲網路 vMotion 至地端部署網路時，必須使用此功能。

後續步驟

如要進一步瞭解單一登入身分識別來源，請參閱下列 vSphere 和 NSX Data Center 說明文件：

• 新增或編輯 vCenter 單一登入識別資訊來源。
• LDAP 識別資訊來源。