Saltar al contenido principal

Configuración de un servidor de autenticación LDAP externo

Los usuarios pueden usar un servidor de autenticación LDAP externo en lugar del servidor de autenticación de LXCI para VMware vCenter local en el nodo de gestión.

Antes de empezar

  • Es preciso llevar a cabo la configuración inicial de LXCI para VMware vCenter antes de configurar el servidor de autenticación externo.

  • Se admiten los siguientes servidores de autenticación externos:

    • Microsoft Active Directory. Debe residir en un Microsoft Windows Server externo capaz de comunicarse con el dispositivo LXCI para VMware vCenter.

  • LXCI para VMware vCenter realiza un control de conectividad cada 10 minutos para mantener la conectividad en los servidores LDAP externos. Los entornos con muchos servidores LDAP podrían experimentar un alto uso de la CPU durante esta comprobación de conectividad. Para lograr el mejor rendimiento, especifique solo los servidores LDAP conocidos y accesibles al configurar el cliente LDAP.

  • Asegúrese de que los usuarios de LDAP que pueden iniciar sesión en esta interfaz web de XClarity Integrator sean miembros del grupo LDAP en el servidor LDAP.

    Cree el grupo y agregue los usuarios al servidor LDAP antes de configurar este cliente LDAP:

    1. Desde el servidor de autenticación externo, cree una cuenta de usuario. Para obtener instrucciones, consulte la documentación del servidor LDAP.

    2. Cree un grupo en el servidor LDAP. El nombre de grupo LDAP puede ser el nombre predeterminado LXCI-SUPERVISOR u otros nombres definidos por el usuario. El grupo debe existir en el contexto del nombre distinguido raíz definido en el cliente LDAP.

    3. Añada el usuario como miembro del grupo creado anteriormente.

Procedimiento

Para configurar LXCI para VMware vCenter para que use un servidor de autenticación externo, lleve a cabo los pasos siguientes.

  1. Configure el método de autenticación de usuarios para Microsoft Active Directory siguiendo uno de estos procedimientos:

    • Para usar una autenticación no segura, no se requiere ninguna configuración adicional. Los controladores de dominio de Windows Active Directory usan la autenticación LDAP no segura de forma predeterminada.

    • Para utilizar la autenticación LDAP segura:

      1. Configure los controladores de dominio para permitir la autenticación LDAP segura. Para obtener más información sobre la configuración de la autenticación LDAP segura en Active Directory, consulte https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx.

      2. Compruebe que los controladores de dominio de Active Directory están configurados para usar la autenticación LDAP segura:

        • Busque el suceso LDAP sobre Secure Sockets layer (SSL) ya está disponible en la ventana Visor de sucesos de los controladores del dominio.

        • Use la herramienta ldp.exe de Windows para comprobar que la conexión LDAP con los controladores de dominio sea segura.

      3. Importe el certificado del servidor LDAP, los certificados intermedios (si los hay) y el certificado raíz de la entidad de certificación que firma el certificado de servidor.

        1. En el panel de navegación izquierdo del menú LXCI para VMware vCenter, haga clic en Security Settings (Valores de seguridad).

        2. Haga clic en Trusted Certificates (Certificados de confianza) en la sección Gestión de certificados.

        3. Haga clic en Add (Añadir).

        4. En la ventana Añadir, haga clic en Choose File (Seleccionar archivo) para cargar el certificado de destino.

        5. Haga clic en Upload Certificate (Cargar certificado).

  2. Configure el cliente LDAP de LXCI para VMware vCenter:
    1. En el panel de navegación izquierdo del menú LXCI para VMware vCenter, haga clic en Security Settings (Valores de seguridad) > LDAP Client (Cliente LDAP).
    2. Elija uno de los siguientes métodos de autenticación de usuario:
      • Allow logons from local users (Permitir inicios de sesión de usuarios locales). La autenticación se realiza mediante la autenticación local. Cuando se selecciona esta opción, los usuarios solo pueden iniciar sesión en LXCI con la cuenta local.
      • Allow LDAP users first, then local users (Permitir usuarios de LDAP primero, luego usuarios locales). Un servidor LDAP externo realiza la autenticación primero. Si falla, el servidor de autenticación local realiza la autenticación.

        Si se selecciona este método, haga lo siguiente:

        1. Introduzca una o varias direcciones de servidor y puertos.

        2. Ingrese el nombre del grupo LDAP.

          Nota
          De manera predeterminada, el nombre del grupo LDAP es LXCI-SUPERVISOR. Los usuarios también pueden introducir otros nombres.

        3. Elija uno de los siguientes métodos de vinculación:

          • Configured Credentials (Credenciales configuradas). Use este método de vinculación para utilizar el nombre y la contraseña de cliente que se deberán utilizar para vincular LXCI para VMware vCenter con el servidor de autenticación externo. Si la vinculación falla, también fallará el proceso de autenticación

            El nombre de cliente puede ser cualquier nombre que el servidor LDAP admita, incluido un nombre distinguido, sAMAccountName, nombre de NetBIOS o UserPrincipalName. El nombre de usuario de cliente debe ser una cuenta de usuario con el dominio que tenga al menos privilegios de solo lectura. Por ejemplo:
            cn=administrator,cn=users,dc=example,dc=com
            example\administrator
            administrator@example.com
            Atención
            Para cambiar la contraseña del cliente en el servidor de autenticación externo, asegúrese de actualizar también la nueva contraseña en LXCI para VMware vCenter. Si se cambia la contraseña del cliente en el servidor LDAP externo, los usuarios pueden iniciar sesión en Integrator mediante una cuenta local para actualizar la nueva contraseña.

          • Login Credentials (Credenciales de inicio de sesión). Use este método de vinculación para utilizar el nombre de usuario y la contraseña de LDAP para vincular LXCI para VMware vCenter con el servidor de autenticación externo.

            El ID usuario y la contraseña que especifica se usan solo para probar la conexión con el servidor de autenticación. Si es correcta, los valores del cliente LDAP se guardarán, pero la credencial de inicio de sesión de prueba especificada no se guardará. Todas las vinculaciones futuras utilizarán el nombre de usuario y la contraseña que haya usado para iniciar sesión en LXCI para VMware vCenter.

            Nota

            • Los usuarios deben iniciar sesión en LXCI para VMware vCenter utilizando un ID de usuario completamente calificado (por ejemplo, administrator@domain.com o DOMAIN\admin).

            • Los usuarios deben utilizar un nombre de cliente de prueba completamente calificado para el método de vinculación.

        4. En el campo Root DN (DN raíz), especifique la entrada de nivel superior en el árbol del directorio LDAP. En este caso, las búsquedas se inician utilizando el nombre distinguido raíz especificado como la base de búsqueda.

        5. En el campo User Search Attribute (Atributo de búsqueda de usuarios), especifique el atributo que debe usarse para buscar el nombre de usuario.

          Cuando el método de vinculación está configurado como Configured Credentials (Credenciales configuradas), una solicitud de búsqueda sigue la vinculación inicial al servidor LDAP al recuperar la información específica acerca del usuario, incluyendo el DN de usuario y la membresía de grupo. Esta solicitud de búsqueda debe especificar el nombre del atributo que representa los ID de usuario en ese servidor. Este nombre del atributo se configura en este campo.

        6. En el campo Group Search Attribute (Atributo de búsqueda de grupos), especifique el nombre del atributo que se utilizará para identificar los grupos a los que un usuario pertenece.

        7. En el campo Group Name Attribute (Atributo de nombre de grupo), especifique el nombre del atributo que se utilizará para identificar el nombre de grupo que está configurado por el servidor LDAP.

    3. Haga clic en Save (Guardar).

      LXCI para VMware vCenter intenta probar la configuración para detectar errores comunes. Si la prueba falla, se muestran mensajes de error que indican el origen de los errores. Para el método de vinculación Configured Credentials (Credenciales configuradas), si la prueba se realiza correctamente y las conexiones a los servidores especificados finalizan correctamente, la autenticación del usuario podría seguir fallando si:

      • Hay una configuración errónea o cambios en el servidor LDAP, los usuarios pueden iniciar sesión utilizando la cuenta local. Se recomienda conservar un registro de la cuenta y contraseña local.

      • El nombre distinguido raíz no es correcto.

      • El usuario no es miembro del grupo LDAP en el servidor LDAP.

    4. Haga clic en OK (Aceptar).

Resultados

LXCI para VMware vCenter valida la conexión al servidor LDAP. Si la validación se realiza correctamente, la autenticación del usuario en el servidor de autenticación externo se lleva a cabo al iniciar sesión en LXCI para VMware vCenter.

Si la validación falla, el modo de autenticación se revierte automáticamente a la opción Allow logons from local users (Permitir inicios de sesión de usuarios locales) y se muestra un mensaje en el que se explica la causa del error.

Nota
Se deben configurar los grupos de roles correctos en LXCI para VMware vCenter y las cuentas de usuarios deben estar definidas como miembros del grupo LDAP en el servidor LDAP. De lo contrario, la autenticación de usuario fallará.