Passa al contenuto principale

Configurazione di un server di autenticazione LDAP esterno

Gli utenti possono utilizzare un server di autenticazione LDAP esterna invece del server di autenticazione locale LXCI per VMware vCenter sul nodo di gestione.

Prima di iniziare

  • Prima di configurare il server di autenticazione esterna, è necessario completare la configurazione iniziale di LXCI per VMware vCenter.

  • Sono supportati i seguenti server di autenticazione esterna:

    • Microsoft Active Directory. Deve trovarsi su un server Microsoft Windows esterno in grado di comunicare con l'appliance LXCI per VMware vCenter.

  • LXCI per VMware vCenter esegue un controllo della connettività ogni 10 minuti per mantenere la connettività ai server LDAP esterni configurati. Durante questo controllo della connettività negli ambienti con molti server LDAP potrebbe verificarsi un elevato utilizzo della CPU. Per ottenere prestazioni migliori, specificare solo i server LDAP noti e raggiungibili durante la configurazione del client LDAP.

  • Verificare che gli utenti LDAP che possono accedere a questa interfaccia Web di XClarity Integrator siano membri del gruppo LDAP nel server LDAP.

    Creare il gruppo e aggiungere gli utenti al server LDAP prima di configurare questo client LDAP:
    1. Dal server di autenticazione esterna, creare un account utente. Per istruzioni, consultare la documentazione del server LDAP.

    2. Creare un gruppo nel server LDAP. Il nome del gruppo LDAP può essere il nome predefinito LXCI-SUPERVISOR o altri nomi definiti dall'utente. Il gruppo deve essere creato nel contesto del nome distinto radice definito nel client LDAP.

    3. Aggiungere l'utente come membro del gruppo creato in precedenza.

Procedura

Per configurare LXCI per VMware vCenter per utilizzare un server di autenticazione esterna, completare le seguenti operazioni.

  1. Per configurare il metodo di autenticazione utente per Microsoft Active Directory effettuare una delle seguenti operazioni:
    • Per utilizzare l'autenticazione non sicura, non è richiesta alcuna configurazione aggiuntiva. Per impostazione predefinita, i controller di dominio Windows Active Directory utilizzano l'autenticazione LDAP non sicura.

    • Per utilizzare l'autenticazione LDAP sicura:
      1. Configurare i controller di dominio per consentire l'autenticazione LDAP sicura. Per ulteriori informazioni sulla configurazione dell'autenticazione LDAP sicura in Active Directory, vedere https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx.

      2. Verificare che i controller di dominio Active Directory siano configurati per utilizzare l'autenticazione LDAP sicura:
        • Individuare l'evento LDAP su SSL (Secure Sockets Layer) è ora disponibile l'evento nella finestra Visualizzatore eventi dei controller dominio.

        • Utilizzare lo strumento di ldp.exe Windows per verificare la connettività LDAP sicura ai controller dominio.

      3. Importare il certificato del server LDAP, gli eventuali certificati intermedi e il certificato radice dell'autorità di certificazione che firma il certificato del server.

        1. Dal riquadro di navigazione sinistro del menu di LXCI per VMware vCenter, fare clic su Security Settings (Impostazioni di sicurezza).

        2. Fare clic su Trusted Certificates (Certificati attendibili) nella sezione Gestione certificati.

        3. Fare clic su Add (Aggiungi).

        4. Nella finestra Aggiungi fare clic su Choose File (Scegli file) per caricare il certificato di destinazione.

        5. Fare clic su Upload Certificate (Carica certificato).

  2. Configurare il client LDAP di LXCI per VMware vCenter:
    1. Dal riquadro di navigazione sinistro del menu di LXCI per VMware vCenter, fare clic u Security Settings (Impostazioni di sicurezza) > LDAP Client (Client LDAP).
    2. Selezionare uno dei seguenti metodi di autenticazione utente:
      • Allow logons from local users (Consenti accesso di utenti locali). L'autenticazione viene eseguita utilizzando l'autenticazione locale. Se questa opzione è selezionata, gli utenti possono eseguire solo il login a LXCI con l'account locale.
      • Allow LDAP users first, then local users (Consenti prima l'accesso degli utenti LDAP, quindi degli utenti locali). Un server LDAP esterno esegue prima l'autenticazione. In caso di errore, l'autenticazione viene eseguita dal server di autenticazione locale.

        Se è selezionato questo metodo, procedere nel modo seguente:

        1. Immettere uno o più indirizzi e porte del server.

        2. Immettere il nome del gruppo LDAP.

          Nota
          Per impostazione predefinita, il nome del gruppo LDAP è LXCI-SUPERVISOR. Gli utenti possono anche immettere altri nomi.
        3. Selezionare uno dei seguenti metodi di collegamento:

          • Configured Credentials (Credenziali configurate). Selezionare questo metodo di collegamento per utilizzare il nome e la password del client per collegare LXCI per VMware vCenter al server di autenticazione esterna. Se il collegamento non riesce, anche il processo di autenticazione fallisce

            Il nome del client può essere qualsiasi nome supportato dal server LDAP, come nome distinto, sAMAccountName, nome NetBIOS o UserPrincipalName. Il nome utente del client deve essere un account utente del dominio che disponga almeno dei privilegi di sola lettura. Ad esempio:
            cn=administrator,cn=users,dc=example,dc=com
            example\administrator
            administrator@example.com
            Attenzione
            Per modificare la password del client del server di autenticazione esterna, verificare che sia aggiornata anche la nuova password di LXCI per VMware vCenter. Se la password del client viene modificata nel server LDAP esterno, gli utenti possono eseguire il login a Integrator utilizzando l'account locale per aggiornare la nuova password.
          • Login Credentials (Credenziali di login). Selezionare questo metodo di collegamento per utilizzare un nome utente e la password LDAP per collegare LXCI per VMware vCenter al server di autenticazione esterno.

            L'ID utente e la password specificati vengono utilizzati solo per verificare il collegamento al server di autenticazione. Se l'operazione riesce, le impostazioni del client LDAP verranno salvate, ma le credenziali di login di prova specificate non verranno salvate. Tutti i futuri collegamenti utilizzeranno nome utente e password utilizzati per eseguire il login a LXCI per VMware vCenter.

            Nota
            • Gli utenti devono eseguire il login a LXCI per VMware vCenter utilizzando un ID utente completo (ad esempio, administrator@domain.com o DOMAIN\admin).

            • Gli utenti devono utilizzare un nome completo del client di prova.

        4. Nel campo Root DN (DN radice), specificare la voce più in alto nella struttura di directory LDAP. In questo caso, le ricerche vengono eseguite utilizzando il nome distinto radice specificato come base della ricerca.
        5. Nel campo User Search Attribute (Attributo di ricerca utente), specificare l'attributo da utilizzare per cercare il nome utente.

          Quando il metodo di collegamento è impostato su Configured Credentials (Credenziali configurate), il collegamento iniziale al server LDAP è seguito da una richiesta di ricerca che richiama informazioni specifiche sull'utente, come DN utente, autorizzazioni di login e appartenenza al gruppo. Questa richiesta di ricerca deve specificare il nome dell'attributo che rappresenta gli ID utente su tale server. Il nome dell'attributo è configurato in questo campo.

        6. Nel campo Group Search Attribute (Attributo di ricerca gruppi), specificare il nome dell'attributo utilizzato per identificare i gruppi a cui appartiene un utente.

        7. Nel campo Group Name Attribute (Attributo nome gruppi), specificare il nome dell'attributo utilizzato per identificare il nome del gruppo configurato dal server LDAP.

    3. Fare clic su Save (Salva).

      LXCI per VMware vCenter prova a verificare la configurazione per rilevare gli errori comuni. Se il test non riesce, vengono visualizzati i messaggi di errore che indicano l'origine degli errori. Per il metodo di associazione delle credenziali Configured Credentials (Credenziali configurate), se il test riesce e le connessioni ai server specificati vengono completate correttamente, l'autenticazione utente potrebbe comunque avere esito negativo se:

      • In caso di mancata configurazione o di modifiche nel server LDAP, gli utenti possono eseguire il login utilizzando l'account locale. Si consiglia di annotare l'account e la password locali.

      • Il nome distinto radice non è corretto.

      • L'utente non è membro del gruppo LDAP nel server LDAP.

    4. Fare clic su OK.

Risultati

LXCI per VMware vCenter convalida il collegamento del server LDAP. Se la convalida riesce, l'autenticazione utente viene effettuata sul server di autenticazione esterna quando si esegue il login a LXCI per VMware vCenter.

Se la convalida non riesce, la modalità di autenticazione viene automaticamente reimpostata su Allow logons from local users (Consenti accesso di utenti locali) e viene visualizzato un messaggio che descrive la causa dell'errore.

Nota
I gruppi di ruoli corretti devono essere configurati in LXCI per VMware vCenter e gli account utente devono essere definiti come membri del gruppo LDAP nel server LDAP. In caso contrario, l'autenticazione utente non riesce.