Configura la autenticación con Active Directory
Puedes configurar vCenter y NSX-T en Google Cloud VMware Engine para usar tu Active Directory local como fuente de identidad de LDAP o LDAPS para la autenticación de usuarios. Una vez que se complete la configuración, puedes proporcionar acceso a vCenter y NSX-T Manager, y asignar las funciones necesarias para administrar tu nube privada.
Antes de comenzar
En los pasos que se indican en este documento, se supone que primero harás lo siguiente:
- Establece conectividad desde tu red local a tu nube privada
- Habilita la resolución de nombres de DNS de tu Active Directory local:
- Para las redes heredadas de VMware Engine: Habilita la resolución de nombres de DNS de tu Active Directory local creando reglas de reenvío de DNS en tu nube privada.
- Para las redes estándar de VMware Engine, habilita la resolución de nombres de DNS de tu Active Directory local configurando vinculaciones de DNS a tu red de VMware Engine.
En la siguiente tabla, se muestra la información que necesitas cuando configuras el dominio de Active Directory local como una fuente de identidad de SSO en vCenter y NSX-T. Antes de configurar las fuentes de identidad de SSO, recopila la siguiente información:
Información | Descripción |
---|---|
DN base para usuarios | Es el nombre distinguido base para los usuarios. |
Nombre de dominio | El FDQN del dominio, por ejemplo, example.com . No proporciones una dirección IP en este campo. |
Alias del dominio | Es el nombre de NetBIOS del dominio. Si usas la autenticación SSPI, agrega el nombre de NetBIOS del dominio de Active Directory como un alias de la fuente de identidad. |
DN base para grupos | Es el nombre distinguido base de los grupos. |
URL del servidor principal |
Es el servidor LDAP del controlador de dominio principal para el dominio. Usa el formato Se requiere un certificado que establezca la confianza para el extremo LDAPS del servidor de Active Directory cuando se usa |
URL del servidor secundario | Es la dirección de un servidor LDAP de controlador de dominio secundario que se usa para la conmutación por error. |
Elige un certificado | Para usar LDAPS con el servidor LDAP de Active Directory o la fuente de identidad del servidor OpenLDAP, haz clic en el botón Elegir certificado que aparece después de escribir ldaps:// en el campo de URL. No se necesita una URL de servidor secundaria. |
Nombre de usuario | Es el ID de un usuario en el dominio que tiene un acceso mínimo de solo lectura al DN base para usuarios y grupos. |
Contraseña | Es la contraseña del usuario que se especifica mediante Nombre de usuario. |
Agrega una fuente de identidad en vCenter
- Eleva privilegios en la nube privada.
- Accede a vCenter para la nube privada.
- Selecciona Home > Administration.
- Selecciona Single Sign On > Configuration.
- Abre la pestaña Identity Sources y haz clic en +Add para agregar una fuente de identidad nueva.
- Selecciona Active Directory as an LDAP Server y haz clic en Next.
- Especifica los parámetros de fuente de identidad para el entorno y haz clic en Next.
- Revisa la configuración y haz clic en Finish.
Agrega una fuente de identidad en NSX-T
- Accede a NSX-T Manager en tu nube privada.
- Ve a Sistema > Configuración > Usuarios y funciones > LDAP.
- Haz clic en Agregar fuente de identidad.
- En el campo Nombre, ingresa un nombre visible para la fuente de identidad.
- Especifica el Nombre de dominio y el DN base de tu fuente de identidad.
- En la columna Tipo, selecciona Active Directory en LDAP.
- En la columna Servidores LDAP, haga clic en Configurar.
- En la ventana Configurar servidor LDAP, haz clic en Agregar servidor LDAP.
- Especifica los parámetros del servidor LDAP y haz clic en Verificar estado para verificar la conexión del administrador de NSX-T a tu servidor LDAP.
- Haz clic en Agregar para agregar el servidor LDAP.
- Haz clic en Aplicar y, luego, en Guardar.
Puertos necesarios para usar Active Directory local como fuente de identidad
Los puertos que se muestran en la siguiente tabla son necesarios para configurar tu Active Directory local como una fuente de identidad en la nube privada de vCenter.
Puerto | Origen | Destino | Objetivo |
---|---|---|---|
53 (UDP) | Servidores DNS de nube privada | Servidores DNS locales | Necesario para reenviar la búsqueda de DNS de los nombres de dominio locales de Active Directory desde un servidor privado de nube de vCenter a un servidor DNS local. |
389 (TCP/UDP) | Red de administración de nube privada | Controladores de dominio de Active Directory local | Obligatorio para la comunicación LDAP de un servidor privado de vCenter en la nube a los controladores de dominio de Active Directory para la autenticación de usuarios. |
636 (TCP) | Red de administración de nube privada | Controladores de dominio de Active Directory local | Obligatorio para la comunicación de LDAP seguro (LDAPS) desde un servidor privado de vCenter en la nube a controladores de dominio de Active Directory para la autenticación de usuarios. |
3268 (TCP) | Red de administración de nube privada | Servidores de catálogos globales de Active Directory local | Obligatorio para la comunicación LDAP a las implementaciones del controlador de varios dominios. |
3269 (TCP) | Red de administración de nube privada | Servidores de catálogos globales de Active Directory local | Obligatorio para la comunicación LDAPS a las implementaciones del controlador de varios dominios. |
8000 (TCP) | Red de administración de nube privada | Red local | Obligatorio para vMotion de máquinas virtuales de la red de nube privada a la red local. |
¿Qué sigue?
Para obtener más información sobre las fuentes de identidad de SSO, consulta la siguiente documentación de vSphere y del centro de datos de NSX-T:
- Agrega o edita una fuente de identidad de inicio de sesión único de vCenter.
- Fuente de identidad de LDAP: