使用 Active Directory 配置身份验证

您可以在 Google Cloud VMware Engine 中配置 vCenter 和 NSX-T,以便将本地 Active Directory 用作 LDAP 身份源以进行用户身份验证。设置完成后,您可以提供访问 vCenter 和 NSX-T Manager 的权限,并分配管理私有云所需的角色。

准备工作

本文档中的步骤假定您首先执行以下操作:

下表列出了将本地 Active Directory 网域设置为 vCenter 和 NSX-T 上的 SSO 身份源时所需的信息。在设置 SSO 身份源之前,请先收集以下信息:

信息 说明
用户的基本 DN 用户的基本标识名。
域名 网域的 FDQN,例如 example.com。 请勿在此字段中提供 IP 地址。
网域别名 网域 NetBIOS 名称。如果您使用 SSPI 身份验证,请将 Active Directory 网域的 NetBIOS 名称添加为身份源的别名。
群组的基本 DN 群组的基本标识名。
主服务器网址

网域的主域名控制器 LDAP 服务器。

使用 ldap://hostname:portldaps://hostname:port 格式。对于 LDAP 连接,端口通常为 389;对于 LDAPS 连接,端口通常为 636。在 Active Directory 多网域控制器部署中:对于 LDAP,端口通常为 3268;对于 LDAPS,端口通常为 3269。

在主要或辅助 LDAP 网址中使用 ldaps:// 时,需要使用证书为 Active Directory 服务器的 LDAPS 端点建立信任。

辅助服务器网址 用于故障转移的辅助网域控制器 LDAP 服务器的地址。
选择证书 如需将 LDAPS 用于您的 Active Directory LDAP 服务器或 OpenLDAP 服务器身份源,请点击在网址文本框中输入 ldaps:// 后显示的选择证书按钮。不需要辅助服务器网址。
用户名 对用户和群组的基本 DN 至少拥有只读权限的网域用户的 ID。
密码 用户名指定的用户密码。

在 vCenter 上添加身份源

  1. 在您的私有云上升级权限
  2. 登录到私有云的 vCenter。
  3. 选择首页 > 管理
  4. 选择单点登录 > 配置
  5. 打开身份源标签页,然后点击 +添加以添加新的身份源。
  6. 选择 Active Directory 作为 LDAP 服务器,然后点击下一步
  7. 为您的环境指定身份源参数,然后点击下一步
  8. 检查设置,然后点击完成

在 NSX-T 上添加身份源

  1. 在您的私有云中登录到 NSX-T Manager。
  2. 转到系统 > 设置 > 用户和角色 > LDAP
  3. 点击添加身份源
  4. 名称字段中,输入身份源的显示名。
  5. 指定身份源的域名基本 DN
  6. 类型列中,选择 Active Directory over LDAP
  7. LDAP 服务器列中,点击设置
  8. 设置 LDAP 服务器窗口中,点击添加 LDAP 服务器
  9. 指定 LDAP 服务器参数,然后点击检查状态以验证从 NSX-T Manager 到您的 LDAP 服务器的连接。
  10. 点击添加以添加 LDAP 服务器。
  11. 点击应用,然后点击保存

后续步骤

如需详细了解 SSO 身份源,请参阅以下 vSphere 和 NSX-T 数据中心文档: