Перейти к основному содержимому

Настройка внешнего сервера аутентификации LDAP

Пользователи могут использовать внешний сервер аутентификации LDAP вместо локального сервера аутентификации LXCI для VMware vCenter на узле управления.

Перед началом работы

  • Перед настройкой внешнего сервера аутентификации должна быть завершена начальная настройка LXCI для VMware vCenter.

  • Поддерживаются следующие внешние серверы аутентификации:

    • Microsoft Active Directory. Он должен находиться на внешнем сервере Microsoft Windows, который может обмениваться данными с устройством LXCI для VMware vCenter.

  • LXCI для VMware vCenter выполняет проверку подключения каждые 10 минут, чтобы поддерживать связь с настроенными внешними серверами LDAP. Во время этой проверки подключения в средах с несколькими серверами LDAP может отмечаться высокая загруженность ЦП. Чтобы обеспечить оптимальную производительность, при настройке клиента LDAP укажите только известные доступные серверы LDAP.

  • Убедитесь, что пользователи LDAP, которые могут войти в веб-интерфейс XClarity Integrator, являются участниками группы LDAP на сервере LDAP.

    Прежде чем настраивать этот клиент LDAP, создайте эту группу и добавьте в нее пользователей на своем сервере LDAP:

    1. На сервере внешней аутентификации создайте учетную запись пользователя. Инструкции см. в документации по серверу LDAP.

    2. Создайте группу на сервере LDAP. Группа LDAP может иметь имя LXCI-SUPERVISOR по умолчанию или другое имя, определенное пользователем. Группа должна существовать в контексте различающегося имени корня, определенного в клиенте LDAP.

    3. Добавьте пользователя в качестве участника ранее созданной группы.

Процедура

Чтобы настроить LXCI для VMware vCenter для использования внешнего сервера аутентификации, выполните следующие действия.

  1. В качестве метода аутентификации пользователей задайте Microsoft Active Directory. Выполните одно из следующих действий:

    • Для использования небезопасной аутентификации дополнительная настройка не требуется. Контроллеры домена Windows Active Directory используют небезопасную аутентификацию LDAP по умолчанию.

    • Для использования безопасной аутентификации LDAP выполните следующие действия:

      1. Настройте контроллеры домена так, чтобы разрешить безопасную аутентификацию LDAP. Дополнительные сведения о настройке безопасной аутентификации LDAP в Active Directory см. в разделе https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx.

      2. Проверьте, настроено ли для контроллеров домена Active Directory использование безопасной аутентификации LDAP:

        • Найдите событие «the LDAP over Secure Sockets layer (SSL) is now available (LDAP через SSL теперь доступен)» в окне средства просмотра событий контроллеров домена.

        • Используйте инструмент Windows ldp.exe для тестирования безопасного подключения LDAP к контроллерам домена.

      3. Импортируйте сертификат сервера LDAP, промежуточные сертификаты (если есть) и корневой сертификат центра сертификации, подписывающего сертификат сервера.

        1. На левой панели навигации меню LXCI для VMware vCenter нажмите Security Settings (Параметры безопасности).

        2. Нажмите Trusted Certificates (Доверенные сертификаты) в разделе «Certificate Management (Управление сертификатами)».

        3. Нажмите Add (Добавить).

        4. В окне «Add (Добавить)» нажмите Choose File (Выбрать файл), чтобы отправить целевой сертификат.

        5. Нажмите Upload Certificate (Отправить сертификат).

  2. Настройте клиент LDAP LXCI для VMware vCenter:
    1. На левой панели навигации меню LXCI для VMware vCenter нажмите Security Settings (Параметры безопасности) > LDAP Client (Клиент LDAP).
    2. Выберите один из следующих методов аутентификации пользователей:
      • Allow logons from local users (Разрешить вход из учетной записи локального пользователя). Используется локальная аутентификация. Если выбран этот параметр, пользователи могут войти в LXCI только с использованием локальной учетной записи.
      • Allow LDAP users first, then local users (Сначала разрешить вход пользователей LDAP, затем вход локальных пользователей). Внешний сервер LDAP выполняет аутентификацию первым. При неудаче аутентификацию выполняет локальный сервер аутентификации.

        Если выбран этот метод, выполните следующие действия:

        1. Введите один или несколько портов и адресов серверов.

        2. Введите имя группы LDAP.

          Прим.
          По умолчанию имя группы LDAP — LXCI-SUPERVISOR. Пользователи также могут вводить другие имена.

        3. Выберите один из следующих методов привязки:

          • Configured Credentials (Настроенные учетные данные). Используйте этот метод привязки, чтобы использовать имя и пароль клиента для привязки LXCI для VMware vCenter к внешнему серверу аутентификации. При сбое привязки процесс аутентификации также завершается сбоем.

            Имя клиента может быть любым именем, которое поддерживается сервером LDAP, включая различающееся имя, sAMAccountName, имя NetBIOS или UserPrincipalName. Имя пользователя клиента должно быть учетной записью пользователя в домене, имеющей по крайней мере разрешения только для чтения. Например:
            cn=administrator,cn=users,dc=example,dc=com
            example\administrator
            administrator@example.com
            Внимание
            Чтобы изменить пароль клиента на внешнем сервере аутентификации, обязательно обновите пароль в LXCI для VMware vCenter. Если пароль клиента изменен на внешнем сервере LDAP, для обновления нового пароля пользователи могут войти в Integrator с помощью локальной учетной записи.

          • Login Credentials (Учетные данные для входа). Используйте этот метод привязки, чтобы использовать имя пользователя и пароль LDAP для привязки LXCI для VMware vCenter к внешнему серверу аутентификации.

            Указанные идентификатор пользователя и пароль используются только для проверки подключения к серверу аутентификации. При успешном выполнении проверки параметры клиента LDAP сохраняются, а указанные для проверки учетные данные для входа не сохраняются. Все будущие привязки будут использовать имя пользователя и пароль, указанные для входа в LXCI для VMware vCenter.

            Прим.

            • Пользователи должны войти в LXCI для VMware vCenter, используя полный идентификатор пользователя (например, administrator@domain.com или DOMAIN\admin).

            • Пользователи должны использовать полное тестовое имя клиента для этого метода привязки.

        4. В поле Root DN (Различающееся имя корня) укажите элемент верхнего уровня в дереве каталога LDAP. В этом случае поиски начинаются с указанного различающегося имя корня в качестве основания поиска.

        5. В поле User Search Attribute (Атрибут поиска пользователя) укажите атрибут, который используется для поиска имени пользователя.

          Если в качестве метода привязки задано значение Configured Credentials (Настроенные учетные данные), за первоначальной привязкой к серверу LDAP следует поисковый запрос, извлекающий конкретную информацию о пользователе, включая различающееся имя пользователя и принадлежность к группе. В поисковом запросе необходимо указать имя атрибута, представляющее идентификаторы пользователей на этом сервере. Имя атрибута настраивается в этом поле.

        6. В поле Group Search Attribute (Атрибут поиска группы) укажите имя атрибута, которое используется для определения групп, к которым принадлежит пользователь.

        7. В поле Group Name Attribute (Атрибут имени группы) укажите имя атрибута, которое используется для определения имени группы, настроенной сервером LDAP.

    3. Нажмите кнопку Save (Сохранить).

      LXCI для VMware vCenter попытается проверить конфигурацию для обнаружения распространенных ошибок. Если проверка завершается ошибкой, отображаются сообщения об ошибках, которые указывают источник ошибок. Для метода привязки Configured Credentials (Настроенные учетные данные), если проверка выполняется успешно и успешно устанавливается подключение к указанным серверам, аутентификация пользователей может все же завершиться ошибкой в следующих случаях:

      • Если на сервере LDAP выполнена неправильная конфигурация или внесены изменения, пользователи могут войти в систему с помощью локальной учетной записи. Рекомендуется вести запись локальной учетной записи и пароля.

      • Неправильное различающееся имя корня.

      • Пользователь не является участником группы на сервере LDAP.

    4. Нажмите кнопку OK.

Результаты

LXCI для VMware vCenter проверяет подключение к серверу LDAP. Если проверка проходит успешно, аутентификация пользователей выполняется на внешнем сервере аутентификации при входе в LXCI для VMware vCenter.

Если проверка завершается ошибкой, режим аутентификации автоматически изменяется обратно на Allow logons from local users (Разрешить вход из учетной записи локального пользователя) и появляется сообщение, которое объясняет причину сбоя.

Прим.
В LXCI для VMware vCenter должны быть настроены правильные группы ролей, и учетные записи пользователей должны быть определены как участники группы LDAP на сервере LDAP. В противном случае аутентификация пользователя завершается ошибкой.