Configurazione dell'autenticazione mediante Active Directory
Puoi configurare vCenter e NSX-T in Google Cloud VMware Engine in modo da utilizzare Active Directory on-premise come origine identità LDAP o LDAPS per l'autenticazione utente. Al termine della configurazione, puoi fornire l'accesso a vCenter e NSX-T Manager e assegnare i ruoli necessari per gestire il tuo cloud privato.
Prima di iniziare
I passaggi descritti in questo documento presuppongono che tu abbia prima eseguito quanto segue:
- Stabilisci la connettività dalla tua rete on-premise al tuo cloud privato
- Attiva la risoluzione dei nomi DNS di Active Directory on-premise:
- Per le reti VMware Engine legacy: abilita la risoluzione dei nomi DNS del tuo Active Directory on-premise creando regole di inoltro DNS nel tuo cloud privato.
- Per le reti VMware Engine standard: abilita la risoluzione dei nomi DNS del tuo Active Directory on-premise configurando le associazioni DNS alla rete VMware Engine.
La tabella seguente elenca le informazioni necessarie per configurare il tuo dominio Active Directory on-premise come origine identità SSO su vCenter e NSX-T. Prima di configurare le origini delle identità SSO, raccogli le seguenti informazioni:
| Informazioni | Descrizione |
|---|---|
| DN di base per gli utenti | Il nome distinto di base per gli utenti. |
| Nome di dominio | Il nome di dominio completo del dominio, ad esempio example.com. Non
specificare un indirizzo IP in questo campo. |
| Alias di dominio | Il nome del dominio NetBIOS. Se utilizzi l'autenticazione SSPI, aggiungi il nome NetBIOS del dominio Active Directory come alias dell'origine identità. |
| DN di base per i gruppi | Il nome distinto di base per i gruppi. |
| URL server principale |
Il server LDAP del controller di dominio principale per il dominio. Utilizza il formato Un certificato che stabilisce il trust per l'endpoint LDAPS del
server Active Directory è obbligatorio quando utilizzi |
| URL server secondario | L'indirizzo di un server LDAP del controller di dominio secondario utilizzato per il failover. |
| Scegli certificato | Per utilizzare LDAPS con l'origine identità del server LDAP Active Directory o del server OpenLDAP, fai clic sul pulsante Scegli certificato visualizzato dopo aver digitato ldaps:// nel campo URL. Un URL del
server secondario non è obbligatorio. |
| Nome utente | L'ID di un utente nel dominio che dispone di un accesso minimo di sola lettura al DN di base per utenti e gruppi. |
| Password | La password dell'utente specificato da Nome utente. |
Aggiungi un'origine identità su vCenter
- Eleva i privilegi sul tuo cloud privato.
- Accedi a vCenter per il tuo cloud privato.
- Seleziona Home > Amministrazione.
- Seleziona Single Sign-On > Configurazione.
- Apri la scheda Origini identità e fai clic su +Aggiungi per aggiungere una nuova origine identità.
- Seleziona Active Directory come server LDAP e fai clic su Avanti.
- Specifica i parametri dell'origine identità per il tuo ambiente e fai clic su Avanti.
- Controlla le impostazioni e fai clic su Fine.
Aggiungere un'origine identità su NSX-T
- Accedi a NSX-T Manager nel tuo cloud privato.
- Vai a Sistema > Impostazioni > Utenti e ruoli > LDAP.
- Fai clic su Aggiungi origine identità.
- Nel campo Nome, inserisci un nome visualizzato per l'origine identità.
- Specifica il nome di dominio e il DN di base dell'origine identità.
- Nella colonna Tipo, seleziona Active Directory over LDAP.
- Nella colonna Server LDAP, fai clic su Imposta .
- Nella finestra Imposta server LDAP, fai clic su Aggiungi server LDAP.
- Specifica i parametri del server LDAP e fai clic su Verifica stato per verificare la connessione dal gestore NSX-T al server LDAP.
- Fai clic su Aggiungi per aggiungere il server LDAP.
- Fai clic su Applica e poi su Salva.
Porte richieste per l'utilizzo di Active Directory on-premise come origine identità
Le porte elencate nella tabella seguente sono necessarie per configurare Active Directory on-premise come origine identità in vCenter cloud privato.
| Porta | Origine | Destinazione | Finalità |
|---|---|---|---|
| 53 (UDP) | Server DNS del private cloud | Server DNS on-premise | Obbligatorio per inoltrare la ricerca DNS dei nomi di dominio Active Directory on-premise da un server vCenter cloud privato a un server DNS on-premise. |
| 389 (TCP/UDP) | Rete di gestione del cloud privato | Domain controller Active Directory on-premise | Obbligatorio per la comunicazione LDAP da un server vCenter di cloud privato ai controller di dominio Active Directory per l'autenticazione utente. |
| 636 (TCP) | Rete di gestione del cloud privato | Domain controller Active Directory on-premise | Obbligatorio per la comunicazione LDAP sicura (LDAPS) da un server vCenter cloud privato ai controller di dominio Active Directory per l'autenticazione degli utenti. |
| 3268 (TCP) | Rete di gestione del cloud privato | Server del catalogo globale Active Directory on-premise | Obbligatorio per la comunicazione LDAP nei deployment di controller di più domini. |
| 3269 (TCP) | Rete di gestione del cloud privato | Server del catalogo globale Active Directory on-premise | Obbligatorio per la comunicazione LDAPS nei deployment di controller di dominio con più domini. |
| 8000 (TCP) | Rete di gestione del cloud privato | Rete on-premise | Obbligatorio per il vMotion delle macchine virtuali dalla rete del cloud privato alla rete on-premise. |
Passaggi successivi
Per ulteriori informazioni sulle origini identità SSO, consulta la seguente documentazione di vSphere e NSX-T Data Center: