Definir uma fonte de identidade externa para o VMware NSX

Neste artigo, saiba como configurar uma fonte de identidade externa para o VMware NSX em uma instância da Solução VMware no Azure.

Você pode configurar o NSX para usar um serviço de diretório LDAP (Lightweight Directory Access Protocol) externo para autenticar usuários. Um usuário pode entrar usando suas credenciais ou credenciais de conta do Windows Server Active Directory de um servidor LDAP de terceiros. Em seguida, a conta pode receber uma função NSX, como em um ambiente local, para fornecer acesso baseado em função para usuários NSX.

Pré-requisitos

• Uma conexão funcional da rede do Windows Server Active Directory para a nuvem privada da Solução VMware no Azure.

• Um caminho de rede do servidor do Windows Server Active Directory para a rede de gerenciamento da instância da Solução VMware no Azure na qual o NSX está implantado.

• Um controlador de domínio do Windows Server Active Directory que tenha um certificado válido. O certificado pode ser emitido por uma AC (Autoridade de Certificação) dos Serviços de Certificados do Windows Server Active Directory ou por uma AC de terceiros.

  Recomendamos que você use dois controladores de domínio localizados na mesma região do Azure que o datacenter definido pelo software da Solução VMware no Azure.

  Observação

  Os certificados autoassinados não são recomendados para ambientes de produção.

• Uma conta que tenha permissões de Administrador.

• Zonas DNS da Solução VMware no Azure e servidores DNS configurados corretamente. Para obter mais informações, consulte Configurar o DNS NSX para resolução para seu domínio do Windows Server Active Directory e configurar o encaminhador DNS.

Observação

Para obter mais informações sobre LDAP Seguro (LDAPS) e emissão de certificados, entre em contato com sua equipe de segurança ou sua equipe de gerenciamento de identidades.

Usar o Windows Server Active Directory como uma fonte de identidade LDAPS

1. Entre no NSX Manager e vá para Sistema>Gerenciamento de Usuários>LDAP>Adicionar Fonte de Identidade.

   

2. Insira valores para Nome, Nome de Domínio (FQDN), Tipo e DN base. Você pode adicionar uma descrição (opcional).

   O DN base é o contêiner em que suas contas de usuário são mantidas. O DN base é o ponto de partida que um servidor LDAP usa quando pesquisa usuários em uma solicitação de autenticação. Por exemplo, CN=users,dc=azfta,dc=com.

   Observação

   Você pode usar mais de um diretório como um provedor LDAP. Um exemplo é se você tem vários domínios do Windows Server Azure Directory e usa a Solução VMware no Azure como uma maneira de consolidar cargas de trabalho.

   

3. Em seguida, em Servidores LDAP, selecione Definir, conforme mostrado na captura de tela anterior.

4. Em Definir Servidor LDAP, selecione Adicionar Servidor LDAP e, em seguida, insira ou selecione valores para os seguintes itens:

   Nome	Ação
   Nome do host/IP	Insira o FQDN ou o endereço IP do servidor LDAP. Por exemplo, azfta-dc01.azfta.com ou 10.5.4.4.
   Protocolo LDAP	Selecione LDAPS.
   Porta	Deixe a porta LDAP segura padrão.
   Enabled	Deixe como Sim.
   Usar Iniciar TLS	Necessário somente se você usar LDAP padrão (não seguro).
   Associar identidade	Use sua conta que tenha permissões de Administrador de domínio. Por exemplo, <admin@contoso.com>.
   Senha	Insira a senha para o servidor LDAP. Essa senha é a que você usa com o exemplo de conta <admin@contoso.com>.
   Certificado	Deixe vazio (consulte a etapa 6).

   

5. Depois que a página for atualizada e exibir um status de conexão, selecione Adicionar e, então, selecione Aplicar.

   

6. No Gerenciamento de Usuários, selecione Salvar para concluir as alterações.

7. Para adicionar um segundo controlador de domínio ou outro provedor de identidade externo, retorne à etapa 1.

Observação

Uma melhor prática é ter dois controladores de domínio para atuar como servidores LDAP. Você também pode colocar os servidores LDAP atrás de um balanceador de carga.

Atribuir funções a identidades do Windows Server Active Directory

Depois de adicionar uma identidade externa, você pode atribuir funções NSX a grupos de segurança do Windows Server Active Directory com base nos controles de segurança da organização.

1. No NSX Manager, acesse Sistema>Gerenciamento de Usuários>Atribuição de Função de Usuário>Adicionar.

   

2. Selecione Adicionar>Atribuição de Função para LDAP. 

   1. Selecione o provedor de identidade externo selecionado na etapa 3 na seção anterior. Por exemplo, Provedor de Identidade Externo NSX.

   2. Insira os primeiros caracteres do nome do usuário, a ID de entrada do usuário ou um nome de grupo para pesquisar o diretório LDAP. Em seguida, selecione um usuário ou grupo na lista de resultados.

   3. Selecionar uma função. Neste exemplo, atribua ao usuário FTAdmin a função CloudAdmin.

   4. Selecione Salvar.

   

3. Em Atribuição de Função de Usuário, verifique se a atribuição de permissões é exibida.

   

Agora, os usuários devem poder entrar no NSX Manager usando suas credenciais do Windows Server Active Directory.

Conteúdo relacionado

• Arquitetura de identidade da Solução VMware no Azure
• Definir uma fonte de identidade externa para o vCenter Server
• Documentação do produto do VMware