Configurar a autenticação através do Active Directory
Pode configurar o vCenter e o NSX no Google Cloud VMware Engine para usar o seu Active Directory no local como uma origem de identidade LDAP ou LDAPS para a autenticação de utilizadores. Assim que a configuração estiver concluída, pode conceder acesso ao vCenter e ao NSX Manager e atribuir as funções necessárias para gerir a sua nuvem privada.
Antes de começar
Os passos neste documento pressupõem que faz primeiro o seguinte:
- Estabeleça a conetividade da sua rede no local à sua nuvem privada
- Ative a resolução do nome DNS do Active Directory no local:
- Para redes do VMware Engine antigas: ative a resolução de nomes DNS do seu Active Directory no local criando regras de encaminhamento de DNS na sua nuvem privada.
- Para redes do VMware Engine padrão: ative a resolução de nomes DNS do seu Active Directory no local configurando associações de DNS à sua rede do VMware Engine.
A tabela seguinte indica as informações necessárias quando configura o seu domínio do Active Directory no local como uma origem de identidade de SSO no vCenter e no NSX. Recolha as seguintes informações antes de configurar origens de identidade de SSO:
| Informações | Descrição |
|---|---|
| DN de base para utilizadores | O nome distinto base para os utilizadores. |
| Nome do domínio | O FQDN do domínio, por exemplo, example.com. Não
faculte um endereço IP neste campo. |
| Alias do domínio | O nome NetBIOS do domínio. Se usar a autenticação SSPI, adicione o nome NetBIOS do domínio do Active Directory como um alias da origem de identidade. |
| DN de base para grupos | O nome distinto base para grupos. |
| URL do servidor principal |
O servidor LDAP do controlador de domínio principal para o domínio. Use o formato É necessário um certificado que estabeleça confiança para o ponto final LDAPS do servidor do Active Directory quando usa |
| URL do servidor secundário | O endereço de um servidor LDAP do controlador de domínio secundário que é usado para a comutação por falha. |
| Selecione um certificado | Para usar o LDAPS com a sua origem de identidade do servidor LDAP do Active Directory ou do servidor OpenLDAP, clique no botão Escolher certificado apresentado depois de escrever ldaps:// no campo do URL. Não é necessário um URL de servidor secundário. |
| Nome de utilizador | O ID de um utilizador no domínio que tem, no mínimo, acesso de leitura ao DN base para utilizadores e grupos. |
| Palavra-passe | A palavra-passe do utilizador especificado por Nome de utilizador. |
Adicione uma origem da identidade no vCenter
- Inicie sessão no vCenter da sua nuvem privada com uma conta de utilizador da solução.
- Selecione Página inicial > Administração.
- Selecione Início de sessão único > Configuração.
- Abra o separador Origens de identidade e clique em +Adicionar para adicionar uma nova origem de identidade.
- Selecione Active Directory como um servidor LDAP e clique em Seguinte.
- Especifique os parâmetros da origem de identidade para o seu ambiente e clique em Seguinte.
- Reveja as definições e clique em Concluir.
Adicione uma origem da identidade no NSX
- Inicie sessão no NSX Manager na sua nuvem privada.
- Aceda a Sistema > Definições > Utilizadores e funções > LDAP.
- Clique em Adicionar origem da identidade.
- No campo Nome, introduza um nome a apresentar para a origem de identidade.
- Especifique o nome do domínio e o DN base da sua origem de identidade.
- Na coluna Tipo, selecione Active Directory através de LDAP.
- Na coluna Servidores LDAP, clique em Definir .
- Na janela Definir servidor LDAP, clique em Adicionar servidor LDAP.
- Especifique os parâmetros do servidor LDAP e clique em Verificar estado para validar a ligação do gestor do NSX ao seu servidor LDAP.
- Clique em Adicionar para adicionar o servidor LDAP.
- Clique em Aplicar e, de seguida, clique em Guardar.
Portas necessárias para usar o Active Directory no local como uma origem de identidade
As portas indicadas na tabela seguinte são necessárias para configurar o seu Active Directory no local como uma origem de identidade no vCenter da nuvem privada.
| Porta | Origem | Destino | Finalidade |
|---|---|---|---|
| 53 (UDP) | Servidores DNS de nuvem privada | Servidores DNS nas instalações | Necessário para o encaminhamento da procura de DNS de nomes de domínio do Active Directory no local a partir de um servidor vCenter na nuvem privada para um servidor DNS no local. |
| 389 (TCP/UDP) | Rede de gestão de nuvem privada | Controladores de domínio do Active Directory no local | Necessário para a comunicação LDAP de um servidor vCenter na nuvem privada para os controladores de domínio do Active Directory para autenticação de utilizadores. |
| 636 (TCP) | Rede de gestão de nuvem privada | Controladores de domínio do Active Directory no local | Necessário para a comunicação LDAP segura (LDAPS) de um servidor vCenter de nuvem privada para controladores de domínio do Active Directory para autenticação de utilizadores. |
| 3268 (TCP) | Rede de gestão de nuvem privada | Servidores de catálogo global do Active Directory no local | Necessário para a comunicação LDAP em implementações de controladores de vários domínios. |
| 3269 (TCP) | Rede de gestão de nuvem privada | Servidores de catálogo global do Active Directory no local | Obrigatório para a comunicação LDAPS em implementações de controladores de vários domínios. |
| 8000 (TCP) | Rede de gestão de nuvem privada | Rede nas instalações | Necessário para a vMotion de máquinas virtuais da rede de nuvem privada para a rede no local. |
O que se segue?
Para mais informações sobre as origens de identidade de SSO, consulte a seguinte documentação do vSphere e do NSX Data Center:
- Adicione ou edite uma origem de identidade de início de sessão único do vCenter.
- Origem de identidade LDAP.