Zum Hauptinhalt springen

Externen LDAP-Authentifizierungsserver konfigurieren

Benutzer können einen externen LDAP-Authentifizierungsserver anstelle des lokalen LXCI für VMware vCenter-Authentifizierungsservers auf dem Verwaltungsknoten verwenden.

Vorbereitende Schritte

  • Bevor Sie den externen Authentifizierungsserver konfigurieren, muss die Erstkonfiguration von LXCI für VMware vCenter abgeschlossen sein.

  • Die folgenden externen Authentifizierungsserver werden unterstützt:

    • Microsoft Active Directory. Dieser muss sich auf einem externen Microsoft Windows-Server befinden, der mit der LXCI für VMware vCenter-Einheit kommunizieren kann.

  • LXCI für VMware vCenter führt alle 10 Minuten eine Konnektivitätsprüfung durch, um die Konnektivität für konfigurierte externe LDAP-Server aufrechtzuerhalten. In Umgebungen mit vielen LDAP-Servern kommt es möglicherweise zu einer hohen CPU-Auslastung während dieser Konnektivitätsprüfung. Um die optimale Leistung zu erreichen, geben Sie beim Konfigurieren des LDAP-Clients nur bekannte, erreichbare LDAP-Server an.

  • Stelle sicher, dass die LDAP-Benutzer, die sich an der XClarity Integrator-Webschnittstelle anmelden können, Mitglieder der LDAP-Gruppe im LDAP-Server sind.

    Erstellen Sie die Gruppe und fügen Sie die Benutzer im LDAP-Server dazu hinzu, bevor Sie diesen LDAP-Client konfigurieren:
    1. Erstellen Sie einen Benutzeraccount auf dem externen Authentifizierungsserver. Anweisungen hierzu finden Sie in der Dokumentation des LDAP-Servers.

    2. Erstelle eine Gruppe im LDAP-Server. Für den LDAP-Gruppennamen können der Standardname LXCI-SUPERVISOR oder andere benutzerdefinierte Namen verwendet werden. Die Gruppe muss sich im Kontext des definierten Namens des Stammelements befinden, der auf dem LDAP-Client definiert wurde.

    3. Fügen Sie den Benutzer als Mitglied der zuvor erstellten Gruppe hinzu.

Vorgehensweise

Gehen Sie wie folgt vor, um LXCI für VMware vCenter für die Verwendung eines externen Authentifizierungsservers zu konfigurieren.

  1. Richten Sie das Benutzerauthentifizierungsverfahren für Microsoft Active Directory ein. Gehen Sie dabei wie folgt vor:
    • Zur Verwendung einer nicht gesicherten Authentifizierung ist keine weitere Konfiguration erforderlich. Standardmäßig verwenden Windows Active Directory-Domänencontroller die nicht gesicherte LDAP-Authentifizierung.

    • So verwenden Sie die sichere LDAP-Authentifizierung:
      1. Richten Sie die Domänencontroller so ein, dass eine sichere LDAP-Authentifizierung zulässig ist. Weitere Informationen zum Konfigurieren der sicheren LDAP-Authentifizierung in Active Directory finden Sie unter https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx.

      2. Stellen Sie sicher, dass die Active Directory-Domänencontroller für die Verwendung der sicheren LDAP-Authentifizierung konfiguriert sind:
        • Suchen Sie im Fenster der Ereignisanzeige der Domänencontroller nach dem Ereignis „LDAP über SSL-Funktionen (Secure Sockets Layer) ist jetzt verfügbar“.

        • Verwende das Windows-Tool ldp.exe, um zu testen, dass die LDAP-Verbindung zu den Domänencontrollern sicher ist.

      3. Importieren Sie das LDAP-Serverzertifikat, die Zwischenzertifikate (falls vorhanden) und das Stammzertifikat der Zertifizierungsstelle, die das Serverzertifikat signiert.

        1. Klicken Sie im linken Navigationsbereich des LXCI für VMware vCenter-Menüs auf Security Settings (Sicherheitseinstellungen).

        2. Klicken Sie im Abschnitt für Zertifikatsverwaltung auf Trusted Certificates (Vertrauenswürdige Zertifikate).

        3. Klicken Sie auf Add (Hinzufügen).

        4. Klicken Sie im Fenster „Add“ (Hinzufügen) auf Choose File (Datei auswählen), um das Zielzertifikat hochzuladen.

        5. Klicken Sie auf Upload Certificate (Zertifikat hochladen).

  2. Konfigurieren Sie den LDAP-Client für LXCI für VMware vCenter:
    1. Klicken Sie im linken Navigationsbereich des LXCI für VMware vCenter-Menüs auf Security Settings (Sicherheitseinstellungen) > LDAP Client (LDAP-Client).
    2. Wählen Sie eins dieser Benutzerauthentifizierungsverfahren aus:
      • Allow logons from local users (Anmeldung von lokalen Benutzern zulassen). Es wird die lokale Authentifizierung verwendet. Wenn diese Option ausgewählt ist, können Benutzer sich nur mit dem lokalen Account bei LXCI anmelden.
      • Allow LDAP users first, then local users (Erst LDAP-Benutzer und danach lokale Benutzer zulassen). Zuerst führt ein externer LDAP-Server die Authentifizierung aus. Wenn dieser Schritt nicht erfolgreich ist, führt der lokale Authentifizierungsserver die Authentifizierung aus.

        Wenn diese Methode ausgewählt ist, gehen Sie wie folgt vor:

        1. Geben Sie eine oder mehrere Serveradressen und Ports ein.

        2. Gib den LDAP-Gruppennamen ein.

          Anmerkung
          Standardmäßig ist der LDAP-Gruppenname LXCI-SUPERVISOR. Benutzer können auch andere Namen eingeben.
        3. Wählen Sie eine dieser Bindungsmethoden aus:

          • Configured Credentials (Konfigurierter Berechtigungsnachweis). Verwenden Sie diese Bindungsmethode, um den Clientnamen und das Kennwort für die Bindung von LXCI für VMware vCenter an den externen Authentifizierungsserver zu verwenden. Wenn diese Bindung fehlschlägt, kann auch der Authentifizierungsprozess nicht durchgeführt werden.

            Als Clientname kann ein beliebiger Name dienen, den der LDAP-Server unterstützt. Dazu gehören definierte Namen, sAMAccountName, der NetBIOS-Name und UserPrincipalName. Der Client-Benutzername muss ein Benutzeraccount innerhalb der Domäne sein, der mindestens über Leserechte verfügt. Beispiel:
            cn=administrator,cn=users,dc=example,dc=com
            example\administrator
            administrator@example.com
            Achtung
            Wenn Sie das Clientkennwort auf dem externen Authentifizierungsserver ändern, müssen Sie das neue Kennwort auch in LXCI für VMware vCenter aktualisieren. Wenn das Clientkennwort auf dem externen LDAP-Server geändert wird, können Benutzer sich mit einem lokalen Account beim Integrator anmelden, um das neue Kennwort zu aktualisieren.
          • Login Credentials (Anmeldeinformationen). Verwenden Sie diese Bindungsmethode, um einen LDAP-Benutzernamen und das Kennwort für die Bindung von LXCI für VMware vCenter an den externen Authentifizierungsserver zu verwenden.

            Die angegebene Benutzer-ID und das Kennwort werden nur verwendet, um die Verbindung zum Authentifizierungsserver zu testen. Wenn dieser Test erfolgreich ist, werden die LDAP-Clienteinstellungen gespeichert. Allerdings werden die von Ihnen für die Testanmeldung angegebenen Anmeldeinformationen nicht gespeichert. Alle zukünftigen Bindungen verwenden den Benutzernamen und das Kennwort, die Sie für die Anmeldung bei LXCI für VMware vCenter verwendet haben.

            Anmerkung
            • Benutzer sollten sich bei LXCI für VMware vCenter mit einer vollständig qualifizierten Benutzer-ID anmelden (z. B. administrator@domain.com oder DOMAIN\admin).

            • Benutzer sollten einen vollständig qualifizierten Testclientnamen für die Bindungsmethode verwenden.

        4. Geben Sie im Feld Root DN (Definierter Name des Stammelements) den obersten Eintrag in der LDAP-Verzeichnisstruktur an. In diesem Fall beginnt eine Suche mit dem angegebenen definierten Namen des Stammelements.
        5. Geben Sie im Feld User Search Attribute (Benutzersuchattribut) das Attribut an, das für die Suche nach dem Benutzernamen verwendet werden soll.

          Wenn als Bindungsmethode Configured Credentials (Konfigurierter Berechtigungsnachweis) festgelegt wurde, folgt der einleitenden Bindung mit dem LDAP-Server eine Suchanforderung, die bestimmte Informationen über den Benutzer abruft, einschließlich des definierten Namens (DN) und der Gruppenmitgliedschaft des Benutzers. Diese Suchanforderung muss den Attributnamen angeben, der für die Benutzer-IDs auf diesem Server steht. Dieser Attributname wird in diesem Feld konfiguriert.

        6. Geben Sie im Feld Group Search Attribute (Gruppensuchattribut) den Attributnamen an, der zum Identifizieren der Gruppen verwendet wird, zu denen ein Benutzer gehört.

        7. Geben Sie im Feld Group Name Attribute (Gruppennamenattribut) den Attributnamen ein, der verwendet wird, um den Gruppennamen zu identifizieren, der vom LDAP-Server konfiguriert wurde.

    3. Klicken Sie auf Save (Speichern).

      LXCI für VMware vCenter versucht, die Konfiguration zu testen, um allgemeine Fehler zu erkennen. Wenn der Test fehlschlägt, werden Fehlernachrichten mit der Fehlerquelle angezeigt. Wenn bei der Bindungsmethode Configured Credentials (Konfigurierter Berechtigungsnachweis) der Test erfolgreich war und die Verbindungen mit den angegebenen Servern hergestellt wurden, kann die Benutzerauthentifizierung in den folgenden Fällen trotzdem fehlschlagen:

      • Wenn der LDAP-Server falsch konfiguriert ist oder Änderungen vorliegen, können Benutzer sich mit dem lokalen Account anmelden. Es wird empfohlen, den lokalen Account und das Kennwort zu notieren.

      • Der definierte Name des Stammelements ist falsch.

      • Der Benutzer ist kein Mitglied der Gruppe LDAP-Gruppe im LDAP-Server.

    4. Klicken Sie auf OK.

Ergebnisse

LXCI für VMware vCenter überprüft die Verbindung zum LDAP-Server. Wenn die Überprüfung erfolgreich war, wird bei der Anmeldung an LXCI für VMware vCenter eine Benutzerauthentifizierung auf dem externen Authentifizierungsserver durchgeführt.

Wenn die Überprüfung nicht erfolgreich war, wird der Authentifizierungsmodus automatisch zurück auf die Einstellung Allow logons from local users (Anmeldung von lokalen Benutzern zulassen) geändert. Dann wird eine Nachricht angezeigt, die die Fehlerursache erläutert.

Anmerkung
In LXCI für VMware vCenter müssen die richtigen Rollengruppen konfiguriert sein und Benutzeraccounts müssen als Mitglied der LDAP-Gruppe im LDAP-Server definiert sein. Andernfalls schlägt die Benutzerauthentifizierung fehl.