使用 Active Directory 設定驗證作業

您可以在 Google Cloud VMware Engine 中設定 vCenter 和 NSX-T,以便使用內部部署的 Active Directory 做為 LDAP 或 LDAPS 身分來源,用於使用者驗證。設定完成後,您可以提供 vCenter 和 NSX-T Manager 的存取權,並指派管理私有雲所需的角色。

事前準備

本文件中的步驟假設您已先執行下列操作:

  • 建立內部部署網路與私有雲端的連線
  • 啟用內部部署 Active Directory 的 DNS 名稱解析功能:
    • 舊版 VMware Engine 網路:在私有雲中建立DNS 轉送規則,啟用內部部署 Active Directory 的 DNS 名稱解析功能。
    • 標準 VMware Engine 網路:將 DNS 繫結 設定為 VMware Engine 網路,啟用內部部署 Active Directory 的 DNS 名稱解析功能。

下表列出在 vCenter 和 NSX-T 上將內部部署的 Active Directory 網域設為 SSO 身分來源時,所需的資訊。設定單一登入 (SSO) 身分來源前,請先收集下列資訊:

資訊 說明
使用者的基準 DN 使用者的基準辨別名稱。
網域名稱 網域的 FQDN,例如 example.com。請勿在這個欄位中輸入 IP 位址。
網域別名 網域的 NetBIOS 名稱。如果您是採用 SSPI 驗證程序,請將 Active Directory 網域的 NetBIOS 名稱新增為識別資訊來源的別名。
群組的基準 DN 群組的基準辨別名稱。
主要伺服器網址

網域的主網域控制器 LDAP 伺服器。

請使用 ldap://hostname:portldaps://hostname:port 格式。一般來說,LDAP 連線的通訊埠為 389,LDAPS 連線的通訊埠為 636。針對 Active Directory 多網域控制器部署作業,LDAP 的通訊埠通常為 3268,LDAPS 則為 3269。

在主要或次要 LDAP 網址中使用 ldaps:// 時,您必須使用憑證建立 Active Directory 伺服器 LDAPS 端點的信任關係。
次要伺服器網址 用於容錯移轉的次網域控制器 LDAP 伺服器位址。
選擇憑證 如要將 LDAPS 與 Active Directory LDAP 伺服器或 OpenLDAP 伺服器的 ID 來源搭配使用,請在 URL 欄位中輸入 ldaps:// 後,按一下隨即顯示的「Choose certificate」按鈕。不需要提供次要伺服器網址。
使用者名稱 網域中使用者的 ID,至少具備使用者和群組基準 DN 的唯讀存取權。
密碼 使用者名稱所指定使用者的密碼。

在 vCenter 上新增識別資訊來源

  1. 使用解決方案使用者帳戶登入私有雲端的 vCenter。
  2. 依序選取「首頁」>「管理」
  3. 依序選取「Single Sign-On」>「Configuration」
  4. 開啟「識別資訊來源」分頁,然後按一下「+ 新增」,新增新的識別資訊來源。
  5. 選取「Active Directory 做為 LDAP 伺服器」,然後按一下「下一步」
  6. 指定環境的 ID 來源參數,然後按一下「Next」
  7. 查看設定,然後按一下「完成」

在 NSX-T 上新增識別資訊來源

  1. 登入私有雲中的 NSX-T Manager。
  2. 依序前往「系統」>「設定」>「使用者和角色」>「LDAP」
  3. 按一下「新增識別資訊來源」
  4. 在「Name」欄位中,輸入識別資訊來源的顯示名稱。
  5. 指定身分識別來源的「網域名稱」和「基準 DN」
  6. 在「類型」欄中,選取「Active Directory over LDAP」
  7. 在「LDAP 伺服器」欄中,按一下「設定」
  8. 在「Set LDAP Server」視窗中,按一下「Add LDAP Server」
  9. 指定 LDAP 伺服器參數,然後按一下「檢查狀態」,確認 NSX-T 管理員與 LDAP 伺服器的連線。
  10. 按一下「新增」新增 LDAP 伺服器。
  11. 依序按一下「套用」和「儲存」

使用內部部署的 Active Directory 做為身分識別資訊來源時所需的連接埠

如要將內部 Active Directory 設為私有雲 vCenter 的識別資訊來源,請使用下表所列的連接埠。

通訊埠 來源 目的地 目的
53 (UDP) 私有雲 DNS 伺服器 內部部署 DNS 伺服器 如要將內部部署 Active Directory 網域名稱的 DNS 查詢從私有雲 vCenter 伺服器轉送至內部部署 DNS 伺服器,就必須使用這項屬性。
389 (TCP/UDP) 私有雲管理網路 內部部署的 Active Directory 網域控制器 這是從私有雲 vCenter 伺服器到 Active Directory 網域控制器的 LDAP 通訊所需的必要條件,可用於使用者驗證。
636 (TCP) 私有雲管理網路 內部部署的 Active Directory 網域控制器 如要從私有雲 vCenter 伺服器將安全 LDAP (LDAPS) 通訊傳送至 Active Directory 網域控制器,以便進行使用者驗證,就必須使用這個選項。
3268 (TCP) 私有雲管理網路 內部部署的 Active Directory 全域目錄伺服器 在多網域控制器部署中,這是 LDAP 通訊的必要條件。
3269 (TCP) 私有雲管理網路 內部部署的 Active Directory 全域目錄伺服器 在多網域控制器部署中,這是 LDAPS 通訊的必要條件。
8000 (TCP) 私有雲管理網路 地端部署網路 這是從私有雲網路將虛擬機器 vMotion 至內部部署網路的必要條件。

後續步驟

如要進一步瞭解 SSO 身分來源,請參閱下列 vSphere 和 NSX-T Data Center 說明文件: