設定 VMware NSX 的外部身分識別來源
在本文中,瞭解如何在 Azure VMware 解決方案 實例中設定 VMware NSX 的外部身分識別來源。
您可以將 NSX 設定為使用外部輕量型目錄存取通訊協定 (LDAP) 目錄服務來驗證使用者。 使用者可以使用其 Windows Server Active Directory 帳戶認證或來自第三方 LDAP 伺服器的認證來登入。 然後,帳戶可以指派 NSX 角色,就像在內部部署環境中一樣,為 NSX 使用者提供角色型存取。
必要條件
從 Windows Server Active Directory 網路到 Azure VMware 解決方案私人雲端的作用中連線。
從 Windows Server Active Directory 伺服器到部署 NSX 之 Azure VMware 解決方案 實例的管理網路路徑。
具有有效憑證的 Windows Server Active Directory 網域控制站。 憑證可由 Windows Server Active Directory 憑證服務憑證授權單位 (CA) 或第三方 CA 來核發。
建議您使用與 Azure VMware 解決方案軟體定義資料中心位於相同 Azure 區域的兩個網域控制站。
注意
不建議將自我簽署憑證用於生產環境。
具有系統管理員權限的帳戶。
正確設定的 Azure VMware 解決方案 DNS 區域和 DNS 伺服器。 如需詳細資訊,請參閱 設定 NSX DNS 以解析 Windows Server Active Directory 網域並設定 DNS 轉寄站。
注意
如需安全 LDAP (LDAPS) 和憑證發行的詳細資訊,請連絡安全性或身分識別管理小組。
使用 Windows Server Active Directory 作為 LDAPS 身分識別來源
登入 NSX Manager,然後移至 [系統] > [使用者管理] > [LDAP] > [新增身分識別來源]。
輸入 [名稱]、[網域名稱 (FQDN)]、[類型 ] 和 [基準 DN] 的值。 您可以新增說明 (選擇性)。
基準 DN 是保留使用者帳戶的容器。 基準 DN 是 LDAP 伺服器在驗證要求中搜尋使用者時所使用的起點。 例如,CN=users,dc=azfta,dc=com。
注意
您可以使用多個目錄作為 LDAP 提供者。 假如您有多個 Windows Server Azure Directory 網域,並使用 Azure VMware 解決方案來合併工作負載。
![顯示 NSX 管理員中 [使用者管理新增身分識別來源] 頁面的螢幕快照。](media/nsxt/configure-nsx-t-pic-2.png)
接下來,在 [LDAP 伺服器] 底下選取 [設定],如上面的螢幕擷取畫面所示。
在 [設定 LDAP 伺服器] 上,選取 [新增 LDAP 伺服器],然後輸入或選取下列項目的值:
名稱 動作 主機名稱/IP 輸入 LDAP 伺服器的 FQDN 或 IP 位址。 例如,azfta-dc01.azfta.com 或 10.5.4.4。 LDAP 通訊協定 選取 [LDAPS]。 通訊埠 保留預設的安全 LDAP 連接埠。 已啟用 保留為 [是]。 使用啟動 TLS 只有在您使用標準 (不安全) LDAP 時才需要。 繫結身分識別 使用具有網域系統管理員權限的帳戶。 例如: <admin@contoso.com>。密碼 輸入 LDAP 伺服器的密碼。 此密碼是您用於範例 <admin@contoso.com>帳戶的密碼。[MSSQLSERVER 的通訊協定內容] 保留空白 (請參閱步驟 6)。 ![顯示 [設定 LDAP 伺服器] 頁面以新增 LDAP 伺服器的螢幕快照。](media/nsxt/configure-nsx-t-pic-3.png)
頁面更新並顯示連線狀態之後,選取 [新增],然後選取 [套用]。
在 [使用者管理] 上,選取 [儲存] 以完成變更。
若要新增第二個網域控制站或其他外部識別提供者,請返回步驟 1。
![顯示 NSX 管理員中 [使用者管理新增身分識別來源] 頁面的螢幕快照。](media/nsxt/configure-nsx-t-pic-2.png#lightbox)
注意
建議的做法是讓兩個網域控制站充當 LDAP 伺服器。 您也可以將 LDAP 伺服器放在負載平衡器後面。
將角色指派給 Windows Server Active Directory 身分識別
新增外部身分識別之後,您可以根據組織的安全性控制,將 NSX 角色指派給 Windows Server Active Directory 安全組。
在 NSX Manager 中,移至 [系統] > [使用者管理] > [使用者角色指派] > [新增]。
![顯示 NSX Manager 中 [使用者管理] 頁面的螢幕快照。](media/nsxt/configure-nsx-t-pic-5.png)
選取 [新增] > [LDAP 的角色指派]。
選取您在上一節的步驟 3 中選取的外部識別提供者。 例如, NSX 外部識別提供者。
輸入使用者名稱、使用者登入識別碼或群組名稱的前幾個字元來搜尋 LDAP 目錄。 然後從結果清單中選取使用者或群組。
選取角色。 在此範例中,為 FTAdmin 使用者指派 CloudAdmin 角色。
選取 [儲存]。
![顯示 NSX 管理員中 [新增使用者] 頁面的螢幕快照。](media/nsxt/configure-nsx-t-pic-6.png)
在 [使用者角色指派] 底下,確認是否顯示權限指派。
![顯示 [使用者管理] 頁面的螢幕快照,確認已新增使用者。](media/nsxt/configure-nsx-t-pic-7.png)
![顯示 NSX Manager 中 [使用者管理] 頁面的螢幕快照。](media/nsxt/configure-nsx-t-pic-5.png#lightbox)
![顯示 NSX 管理員中 [新增使用者] 頁面的螢幕快照。](media/nsxt/configure-nsx-t-pic-6.png#lightbox)
![顯示 [使用者管理] 頁面的螢幕快照,確認已新增使用者。](media/nsxt/configure-nsx-t-pic-7.png#lightbox)
您的使用者現在應該能夠使用其 Windows Server Active Directory 認證登入NSX Manager。