使用 Active Directory 配置身份验证
您可以在 Google Cloud VMware Engine 中配置 vCenter 和 NSX-T 以使用您的 作为 LDAP 或 LDAPS 身份源进行用户身份验证。 设置完成后,您可以提供访问 vCenter 和 NSX-T Manager 的权限,并分配管理私有云所需的角色。
准备工作
本文档中的步骤假定您首先执行以下操作:
- 建立从本地网络到您的私有云的连接
- 启用本地 Active Directory 的 DNS 名称解析:
下表列出了将本地 Active Directory 网域设置为 vCenter 和 NSX-T 上的 SSO 身份源时所需的信息。在设置 SSO 身份源之前,请先收集以下信息:
信息 | 说明 |
---|---|
用户的基本 DN | 用户的基本标识名。 |
域名 | 网域的 FQDN,例如 example.com 。请勿在此字段中提供 IP 地址。 |
网域别名 | 网域 NetBIOS 名称。如果您使用 SSPI 身份验证,请将 Active Directory 网域的 NetBIOS 名称添加为身份源的别名。 |
群组的基本 DN | 群组的基本标识名。 |
主服务器网址 |
网域的主域名控制器 LDAP 服务器。 使用 在主要或辅助 LDAP 网址中使用 |
辅助服务器网址 | 用于故障切换的辅助网域控制器 LDAP 服务器的地址。 |
选择证书 | 如需将 LDAPS 用于您的 Active Directory LDAP 服务器或 OpenLDAP 服务器身份源,请点击在网址字段中输入 ldaps:// 后显示的选择证书按钮。不需要辅助服务器网址。 |
用户名 | 对用户和群组的基本 DN 至少拥有只读权限的网域用户的 ID。 |
密码 | 由用户名指定的用户密码。 |
在 vCenter 上添加身份源
- 在您的私有云上升级权限。
- 登录到私有云的 vCenter。
- 选择首页 > 管理。
- 选择单点登录 > 配置。
- 打开身份源标签页,然后点击 +添加以添加新的身份源。
- 选择 Active Directory 作为 LDAP 服务器,然后点击下一步。
- 为您的环境指定身份源参数,然后点击下一步。
- 检查设置,然后点击完成。
在 NSX-T 上添加身份源
- 在您的私有云中登录到 NSX-T Manager。
- 转到系统 > 设置 > 用户和角色 > LDAP。
- 点击添加身份源。
- 在名称字段中,输入身份源的显示名。
- 指定身份源的域名和基本 DN。
- 在类型列中,选择 Active Directory over LDAP。
- 在 LDAP 服务器列中,点击设置。
- 在设置 LDAP 服务器窗口中,点击添加 LDAP 服务器。
- 指定 LDAP 服务器参数,然后点击检查状态以验证从 NSX-T Manager 到您的 LDAP 服务器的连接。
- 点击添加以添加 LDAP 服务器。
- 点击应用,然后点击保存。
将本地 Active Directory 用作身份源所需的端口
您需要使用下表中列出的端口将本地 Active Directory 配置为私有云 vCenter 上的身份源。
端口 | 来源 | 目的地 | 用途 |
---|---|---|---|
53 (UDP) | 私有云 DNS 服务器 | 本地 DNS 服务器 | 将本地 Active Directory 域名的 DNS 查找从私有云 vCenter 服务器转发到本地 DNS 服务器所需。 |
389 (TCP/UDP) | 私有云管理网络 | 本地 Active Directory 网域控制器 | 从私有云 vCenter 服务器到 Active Directory 网域控制器的 LDAP 通信(用于用户身份验证)所需。 |
636 (TCP) | 私有云管理网络 | 本地 Active Directory 网域控制器 | 从私有云 vCenter 服务器到 Active Directory 网域控制器的安全 LDAP (LDAPS) 通信(用于用户身份验证)所需。 |
3268 (TCP) | 私有云管理网络 | 本地 Active Directory 全局目录服务器 | 多网域控制器部署中的 LDAP 通信所需。 |
3269 (TCP) | 私有云管理网络 | 本地 Active Directory 全局目录服务器 | 多网域控制器部署中的 LDAPS 通信所需。 |
8000 (TCP) | 私有云管理网络 | 本地网络 | 从私有云网络到本地网络的虚拟机 vMotion 所需。 |
后续步骤
如需详细了解 SSO 身份源,请参阅以下 vSphere 和 NSX-T 数据中心文档: