Pular para o conteúdo principal

Configurando um servidor de autenticação LDAP externo

Os usuários podem usar um servidor de autenticação LDAP externo em vez do servidor de autenticação LXCI para VMware vCenter local no nó de gerenciamento.

Antes de iniciar

  • A configuração inicial do LXCI para VMware vCenter deve ser concluída antes de configurar o servidor de autenticação externo.

  • Os seguintes servidores de autenticação externos são compatíveis:

    • Microsoft Active Directory. Ele deve residir em um servidor Microsoft Windows externo que possa se comunicar com o dispositivo LXCI para VMware vCenter.

  • O LXCI para VMware vCenter executa uma verificação de conectividade a cada 10 minutos para manter a conectividade com os servidores LDAP externos configurados. Ambientes com muitos servidores LDAP podem apresentar alto uso de CPU durante essa verificação de conectividade. Para obter o melhor desempenho, especifique somente servidores LDAP conhecidos e acessíveis ao configurar o Cliente LDAP.

  • Garanta que os usuários LDAP que podem fazer login nessa interface da Web do XClarity Integrator sejam membros do grupo LDAP no servidor LDAP.

    Crie o grupo e adicione os usuários a ele no servidor LDAP antes de configurar este Cliente LDAP:
    1. No servidor de autenticação externo, crie uma conta do usuário. Para obter instruções, consulte a documentação do servidor LDAP.

    2. Crie um grupo no servidor LDAP. O nome do grupo LDAP pode ser o nome padrão LXCI-SUPERVISOR ou outros nomes definidos pelo usuário. O grupo deve existir dentro do contexto do nome distinto raiz definido no cliente LDAP.

    3. Adicione o usuário como membro do grupo criado anteriormente.

Procedimento

Para configurar o LXCI para VMware vCenter para usar um servidor de autenticação externo, conclua as etapas a seguir.

  1. Configure o método de autenticação de usuários para o Microsoft Active Directory. Realize uma das seguintes ações:
    • Para usar autenticação não segura, nenhuma configuração adicional será necessária. Os controladores de domínio do Windows Active Directory usam autenticação LDAP não segura por padrão.

    • Para usar autenticação LDAP segura:
      1. Configure os controladores de domínio para permitir autenticação LDAP segura. Para obter mais informações sobre como configurar a autenticação LDAP segura no Active Directory, consulte https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx.

      2. Verifique se os controladores de domínio do Active Directory estão configurados para usar autenticação LDAP segura:
        • Procure o evento LDAP sobre Secure Sockets layer (SSL) agora está disponível na janela do Visualizador de Eventos dos controladores de domínio.

        • Use a ferramenta ldp.exe Windows para testar a conectividade LDAP segura com os controladores de domínio.

      3. Importe o certificado do servidor LDAP, os certificados intermediários (se houver) e o certificado raiz da autoridade de certificação que assina o certificado do servidor.

        1. No painel de navegação esquerdo do menu LXCI para VMware vCenter, clique em Security Settings (Configurações de segurança).

        2. Clique em Trusted Certificates (Certificados Confiáveis) na seção Gerenciamento de certificados.

        3. Clique em Add (Adicionar).

        4. Na janela Add (Adicionar), clique em Choose File (Escolher arquivo) para fazer upload do certificado de destino.

        5. Clique em Download Certificate (Fazer upload de Certificado).

  2. Configure o cliente LDAP do LXCI para VMware vCenter:
    1. No painel de navegação esquerdo do LXCI para VMware vCenter, clique em Security Settings (Configurações de segurança) > LDAP Client (Cliente LDAP).
    2. Selecione um destes métodos de autenticação do usuário:
      • Allow logons from local users (Permitir logons de usuários locais). A autenticação é executada usando a autenticação local. Quando essa opção estiver selecionada, os usuários só poderão fazer login no LXCI com a conta local.
      • Allow LDAP users first, then local users (Permitir usuários LDAP primeiro e, depois, usuários locais). Um servidor LDAP externo executará a autenticação primeiro. Se isso falhar, o servidor de autenticação local executará a autenticação.

        Se esse método for selecionado, faça o seguinte:

        1. Insira um ou mais endereços e portas do servidor.

        2. Nome do grupo LDAP de entrada.

          Nota
          Por padrão, o nome do grupo LDAP é LXCI-SUPERVISOR. Os usuários também podem inserir outros nomes.
        3. Selecione um destes métodos de vinculação:

          • Configured Credentials (Credenciais Configuradas). Use esse método de vinculação para usar o nome do cliente e a senha para vincular o LXCI para VMware vCenter ao servidor de autenticação externo. Se essa vinculação falhar, o processo de autenticação também falhará

            O nome do cliente pode ser qualquer nome aceito pelo servidor LDAP, incluindo um nome distinto, um sAMAccountName, nome de NetBIOS ou um UserPrincipalName. O nome do usuário do cliente deve ser uma conta do usuário no domínio que tem pelo menos privilégios somente leitura. Por exemplo:
            cn=administrator,cn=users,dc=example,dc=com
            example\administrator
            administrator@example.com
            Atenção
            Para alterar a senha do cliente no servidor de autenticação externo, garanta também que a nova senha no LXCI para VMware vCenter esteja atualizada. Se a senha do cliente for alterada no servidor LDAP externo, os usuários poderão fazer login no Integrator usando a conta local para atualizar a nova senha.
          • Login Credentials (Credenciais de Login). Use esse método de vinculação para usar o nome de um usuário LDAP e a senha para vincular o LXCI para VMware vCenter ao servidor de autenticação externo.

            O ID do usuário e a senha especificados são usados apenas para testar a conexão com o servidor de autenticação. Se for bem-sucedida, as configurações do cliente LDAP serão salvas, exceto as credenciais de login de teste. Todas as vinculações futuras usarão o nome do usuário e a senha usada para fazer login no LXCI para VMware vCenter.

            Nota
            • Os usuários devem fazer login no LXCI para VMware vCenter usando um ID de usuário totalmente qualificado (por exemplo, administrator@domain.com ou DOMAIN\admin).

            • Os usuários devem usar um nome de cliente de teste totalmente qualificado para o método de vinculação.

        4. No campo Root DN (DN Raiz), especifique a entrada mais alta na árvore de diretórios LDAP. Nesse caso, as pesquisas são iniciadas com o nome distinto raiz especificado como base de procura.
        5. No campo User Search Attribute (Atributo de pesquisa do usuário), especifique o atributo a ser usado para procurar o nome do usuário.

          Quando o método de vinculação está definido como Configured Credentials (Credenciais Configuradas), a vinculação inicial com o servidor LDAP é seguida por uma solicitação de pesquisa que recupera informações específicas sobre o usuário, incluindo o DN do usuário, permissões de login e associação a grupos. Essa solicitação de procura deve especificar o nome do atributo que representa os IDs de usuário nesse servidor. Esse nome de atributo é configurado nesse campo.

        6. No campo Group Search Attribute (Atributo de pesquisa de grupo), especifique o nome do atributo usado para identificar os grupos aos quais um usuário pertence.

        7. No campo Group Name Attribute (Atributo de nome do grupo), especifique o nome do atributo usado para identificar o nome do grupo que é configurado pelo servidor LDAP.

    3. Clique em Save (Salvar).

      O LXCI para VMware vCenter tenta testar a configuração para detectar erros comuns. Se o teste falhar, mensagens de erro serão exibidas indicando a origem de erros. Para o método de vinculação Configured Credentials (Credenciais Configuradas), se o teste for bem-sucedido e as conexões com os servidores especificados for concluída com êxito, a autenticação do usuário ainda poderá falhar se:

      • Se houver configuração incorreta ou alterações no servidor LDAP, os usuários poderão fazer login usando a conta local. É recomendável manter um registro da conta e senha locais.

      • O nome distinto raiz estiver incorreto.

      • O usuário não for membro do grupo LDAP no servidor LDAP.

    4. Clique em OK.

Resultados

O LXCI para VMware vCenter valida a conexão do servidor LDAP. Se a validação passar, a autenticação do usuário ocorrerá no servidor de autenticação externo ao fazer login no LXCI para VMware vCenter.

Se a validação falhar, o modo de autenticação será alterado automaticamente para a configuração Allow logons from local users (Permitir logons de usuários locais), e uma mensagem que explica a causa da falha será exibida.

Nota
Os grupos de funções corretos devem ser configurados no LXCI para VMware vCenter, e as contas de usuário devem ser definidas como membros do grupo LDAP no servidor LDAP. Caso contrário, a autenticação do usuário falhará.