跳到主要内容

设置外部 LDAP 认证服务器

用户可以在管理节点上使用外部 LDAP 认证服务器代替本地适用于 VMware vCenter 的 LXCI 认证服务器。

开始之前

  • 必须先完成适用于 VMware vCenter 的 LXCI 的初始设置,然后才能设置外部认证服务器。

  • 支持以下外部认证服务器:

    • Microsoft Active Directory。它必须位于能够与适用于 VMware vCenter 的 LXCI 设备通信的外部 Microsoft Windows 服务器上。

  • 适用于 VMware vCenter 的 LXCI 会每隔 10 分钟执行一次连接检查以保持与配置的外部 LDAP 服务器的连接。具有较多 LDAP 服务器的环境在此连接检查期间可能会遇到 CPU 使用率较高的情况。为了获得最佳性能,在配置 LDAP 客户端时,请仅指定已知的可访问的 LDAP 服务器。

  • 请确保能够登录此 XClarity Integrator Web 界面的 LDAP 用户属于 LDAP 服务器中的 LDAP 组。

    在配置此 LDAP 客户端之前,需要先在 LDAP 服务器中创建组并添加用户:

    1. 从外部认证服务器中创建用户帐户。相关说明请参阅 LDAP 服务器的文档。

    2. 在 LDAP 服务器中创建组。LDAP 组名称可以是默认名称 LXCI-SUPERVISOR 或由用户定义的其他名称。该组必须存在于 LDAP 客户端中定义的根可分辨名称的上下文中。

    3. 将先前创建的用户添加为该组的成员。

过程

要将适用于 VMware vCenter 的 LXCI 配置为使用外部认证服务器,请完成以下步骤。

  1. 执行以下操作之一来设置 Microsoft Active Directory 的用户认证方法:

    • 要使用非安全认证,则无需进行其他配置。默认情况下,Windows Active Directory 域控制器使用非安全 LDAP 认证。

    • 要使用安全 LDAP 认证,则需执行以下操作:

      1. 设置域控制器以允许执行安全 LDAP 认证。有关在 Active Directory 中配置安全 LDAP 认证的更多信息,请参阅 https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx

      2. 确认是否已将 Active Directory 域控制器配置为使用安全 LDAP 认证:

        • 在域控制器的“Event Viewer(事件查看器)”窗口中查找“LDAP over Secure Sockets layer (SSL) is now available(LDAP over Secure Sockets layer(SSL)现在可用)”事件。

        • 使用 ldp.exe Windows 工具测试与域控制器的安全 LDAP 连接。

      3. 导入 LDAP 服务器证书、中间证书(如果有)以及签署该服务器证书的证书颁发机构的根证书。

        1. 适用于 VMware vCenter 的 LXCI 菜单的左侧导航窗格中,单击 Security Settings(安全设置)

        2. 在“Certificate Management(证书管理)”部分中单击 Trusted Certificates(可信证书)

        3. 单击 Add(添加)。

        4. 在“Add(添加)”窗口中,单击 Choose File(选择文件),上传目标证书。

        5. 单击 Upload Certificate(上传证书)

  2. 配置适用于 VMware vCenter 的 LXCI 的 LDAP 客户端:
    1. 适用于 VMware vCenter 的 LXCI 的左侧导航窗格中,单击 Security Settings(安全设置) > LDAP Client(LDAP 客户端)
    2. 选择以下用户认证方法之一:
      • Allow logons from local users(允许从本地用户登录)。使用本地认证来执行认证。选择此选项后,用户只能使用本地帐户登录 LXCI。
      • Allow LDAP users first, then local users(首先允许 LDAP 用户,然后允许本地用户)。先由外部 LDAP 服务器执行认证。如果失败,则由本地认证服务器执行认证。

        如果选择此方法,请执行以下操作:

        1. 输入一个或多个服务器地址和端口。

        2. 输入 LDAP 组名称。

          默认情况下,LDAP 组名称为 LXCI-SUPERVISOR。用户也可以输入其他名称。

        3. 选择以下绑定方法之一:

          • Configured Credentials(已配置的凭证)。此绑定方法使用客户端名称和密码将适用于 VMware vCenter 的 LXCI 绑定到外部认证服务器。如果绑定失败,则认证过程也将失败。

            客户端名称可以是 LDAP 服务器支持的任何名称,包括可分辨名称、sAMAccountName、NetBIOS 名称或 UserPrincipalName。客户端用户名必须是域中至少具有只读权限的用户帐户。例如:
            cn=administrator,cn=users,dc=example,dc=com
            example\administrator
            administrator@example.com
            注意
            如果要在外部认证服务器中更改客户端密码,请确保将新密码更新到适用于 VMware vCenter 的 LXCI 中。如果在外部 LDAP 服务器中更改了客户端密码,用户可以使用本地帐户登录 Integrator 来更新密码。

          • Login Credentials(登录凭证)。此绑定方法使用 LDAP 用户名和密码将适用于 VMware vCenter 的 LXCI 绑定到外部认证服务器。

            指定的用户 ID 和密码仅用于测试与认证服务器的连接。如果成功,则会保存 LDAP 客户端设置,但是不会保存指定的测试登录凭证。所有后续绑定均将使用登录适用于 VMware vCenter 的 LXCI 所用的用户名和密码。

            • 用户应使用完全限定用户 ID(例如 administrator@domain.comDOMAIN\admin)登录适用于 VMware vCenter 的 LXCI

            • 用户应使用完全限定测试客户端名称进行绑定。

        4. Root DN(根 DN)字段中,指定 LDAP 目录树中的最上层条目。在这种情况下,使用指定的根可分辨名称作为搜索基础执行搜索。

        5. User Search Attribute(用户搜索属性)字段中,指定用于搜索用户名的属性。

          当绑定方法设置为 Configured Credentials(已配置的凭证)时,初始绑定到 LDAP 服务器后将跟随一个搜索请求,该请求将检索有关用户的特定信息,其中包括用户 DN 和组成员资格。该搜索请求必须指定代表该服务器上用户 ID 的属性名称。此属性名称在该字段中配置。

        6. Group Search Attribute(组搜索属性)字段中,指定用于标识用户所属组的属性名称。

        7. Group Name Attribute(组名称属性)字段中,指定用于标识由 LDAP 服务器配置的组名称的属性名称。

    3. 单击 Save(保存)。

      适用于 VMware vCenter 的 LXCI 会尝试测试配置以检测常见错误。如果该测试失败,则会显示错误消息,指示错误的来源。对于 Configured Credentials(已配置的凭证)绑定方法,即便测试成功并且成功连接到指定服务器,在以下情况下,用户认证仍有可能失败:

      • 如果 LDAP 服务器发生了配置错误或更改,用户可以使用本地帐户登录。建议保存好本地帐户和密码。

      • 根可分辨名称不正确。

      • 用户不是 LDAP 服务器中的 LDAP 组的成员。

    4. 单击 OK(确定)。

结果

适用于 VMware vCenter 的 LXCI 会验证 LDAP 服务器连接。如果验证通过,则登录到适用于 VMware vCenter 的 LXCI 时,将在该外部认证服务器上进行用户认证。

如果验证失败,认证模式会自动变回 Allow logons from local users(允许从本地用户登录)设置,并显示一条说明失败原因的消息。

必须在适用于 VMware vCenter 的 LXCI 中配置正确的角色组,且必须将用户帐户定义为 LDAP 服务器中的 LDAP 组的成员。否则,用户认证将失败。