跳至主要内容

設定外部 LDAP 鑑別伺服器

使用者可使用外部 LDAP 鑑別伺服器,而不使用管理節點上的本端適用於 VMware vCenter 的 LXCI 鑑別伺服器。

開始之前

  • 必須先完成適用於 VMware vCenter 的 LXCI 的起始設定,才能設定外部鑑別伺服器。

  • 支援的外部鑑別伺服器如下:

    • Microsoft Active Directory。它必須位於能夠與適用於 VMware vCenter 的 LXCI 裝置通訊的外接式 Microsoft Windows Server 上。

  • 適用於 VMware vCenter 的 LXCI 每 10 分鐘會執行一次連線功能檢查,以維護與配置的外部 LDAP 伺服器之間的連線。有多部 LDAP 伺服器的環境在連線功能檢查期間可能會出現高 CPU 使用率的情形。為了達到最佳效能,請在配置 LDAP 用戶端時僅指定已知的、可存取的 LDAP 伺服器。

  • 確保可以登入此 XClarity Integrator Web 介面的 LDAP 使用者是 LDAP 伺服器中 LDAP 群組的成員。

    在配置此 LDAP 用戶端之前,請在 LDAP 伺服器中建立群組並新增使用者:
    1. 從外部鑑別伺服器建立使用者帳戶。如需相關指示,請參閱 LDAP 伺服器的文件。

    2. 在 LDAP 伺服器中建立群組。LDAP 群組名稱可以是預設的名稱 LXCI-SUPERVISOR 或其他使用者定義的名稱。群組必須存在 LDAP 用戶端中所定義根識別名稱的環境定義內。

    3. 新增使用者做為先前建立之群組的成員。

程序

若要配置適用於 VMware vCenter 的 LXCI 以使用外部鑑別伺服器,請完成下列步驟。

  1. 設定 Microsoft Active Directory 的使用者鑑別方法,執行下列其中一項:
    • 若要使用非安全鑑別,不需進行其他配置。Windows Active Directory 網域控制站預設為使用非安全 LDAP 鑑別。

    • 若要使用安全 LDAP 鑑別:
      1. 將網域控制站設定為允許安全 LDAP 鑑別。如需在 Active Directory 中配置安全 LDAP 鑑別的相關資訊,請參閱 https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx

      2. 驗證 Active Directory 網域控制站已配置為使用安全 LDAP 鑑別:
        • 在網域控制站的事件檢視器視窗中尋找「現在可以透過 Secure Sockets layer (SSL) 使用 LDAP」事件。

        • 使用 ldp.exe Windows 工具測試與網域控制站之間的安全 LDAP 連線。

      3. 匯入 LDAP 伺服器憑證、中繼憑證(如果有),以及簽署伺服器憑證的憑證管理中心的主要憑證。

        1. 適用於 VMware vCenter 的 LXCI 左側導覽窗格中,按一下 Security Settings(安全設定)

        2. 按一下 Certificate Management(憑證管理)區段中的 Trusted Certificates(受信任憑證)

        3. 按一下 Add(新增)

        4. 在 Add(新增)視窗中,按一下 Choose File(選擇檔案)以上傳目標憑證。

        5. 按一下 Upload Certificate(上傳憑證)

  2. 配置適用於 VMware vCenter 的 LXCI LDAP 用戶端:
    1. 適用於 VMware vCenter 的 LXCI 左側導覽窗格中,按一下 Security Settings(安全設定) > LDAP Client(LDAP 用戶端)
    2. 選取其中一種使用者鑑別方法:
      • Allow logons from local users(允許本端使用者登入)。使用本端鑑別進行鑑別。選取此選項後,使用者只能使用本端帳戶登入 LXCI。
      • Allow LDAP users first, then local users(先允許 LDAP 使用者,然後允許本端使用者)。外部 LDAP 伺服器會先執行鑑別。如果鑑別失敗,再由本端鑑別伺服器執行鑑別。

        如果選取此方法,請執行下列動作:

        1. 輸入一個或多個伺服器位址和埠。

        2. 輸入 LDAP 群組名稱。

          依預設,LDAP 群組名稱為 LXCI-SUPERVISOR。使用者也可以輸入其他名稱。
        3. 選取其中一種連結方法:

          • Configured Credentials(配置的認證)。使用此連結方法可利用用戶端名稱和密碼將適用於 VMware vCenter 的 LXCI 連結至外部鑑別伺服器。如果連結失敗,鑑別程序也會失敗

            用戶端名稱可以是 LDAP 伺服器支援的任何名稱,包括識別名稱、sAMAccountName、NetBIOS 名稱或 UserPrincipalName。用戶端使用者名稱必須是網域內至少具有唯讀權限的使用者帳戶。例如:
            cn=administrator,cn=users,dc=example,dc=com
            example\administrator
            administrator@example.com
            小心
            若要變更外部鑑別伺服器中的用戶端密碼,請務必更新適用於 VMware vCenter 的 LXCI 中的新密碼。如果在外部 LDAP 伺服器中變更了用戶端密碼,使用者可使用本端帳戶登入 Integrator 以更新該新密碼。
          • Login Credentials(登入認證)。使用此連結方法可利用 LDAP 使用者名稱和密碼將適用於 VMware vCenter 的 LXCI 連結至外部鑑別伺服器。

            指定的使用者 ID 和密碼只會用來測試與鑑別伺服器之間的連線。如果成功,就會儲存 LDAP 用戶端設定,但是不會儲存所指定的測試登入認證。未來所有連結都會使用用來登入適用於 VMware vCenter 的 LXCI 的使用者名稱和密碼。

            • 使用者應使用完整的使用者 ID(例如 administrator@domain.comDOMAIN\admin)登入適用於 VMware vCenter 的 LXCI

            • 使用者應針對連結方法使用完整的測試用戶端名稱。

        4. Root DN(根 DN)欄位中,指定 LDAP 目錄樹中最上方的項目。在此情況下,系統會使用指定的根識別名稱做為搜尋基礎開始搜尋。
        5. User Search Attribute(使用者搜尋屬性)欄位中,指定要用來搜尋使用者名稱的屬性。

          若連結方法設定為 Configured Credentials(配置的認證),LDAP 伺服器的起始連結後面會接著搜尋要求,該要求會擷取有關使用者的特定資訊,包括使用者 DN 和群組成員資格。此搜尋要求必須指定代表該伺服器上使用者 ID 的屬性名稱。此屬性名稱是在此欄位中配置。

        6. Group Search Attribute(群組搜尋屬性)欄位中,指定用來識別使用者所屬群組的屬性名稱。

        7. Group Name Attribute(群組名稱屬性)欄位中,指定用來識別由 LDAP 伺服器配置之群組名稱的屬性名稱。

    3. 按一下 Save(儲存)

      適用於 VMware vCenter 的 LXCI 嘗試測試配置以偵測一般錯誤。如果測試失敗,則會顯示錯誤訊息,指出錯誤的來源。對於 Configured Credentials(配置的認證)連結方法,如果測試成功並成功完成與指定伺服器的連線,在下列情況下使用者鑑別仍可能失敗:

      • 如果 LDAP 伺服器配置錯誤或發生變更,使用者可以使用本端帳戶登入。建議保存本端帳戶和密碼的記錄。

      • 根識別名稱不正確。

      • 使用者不是 LDAP 伺服器中 LDAP 群組的成員。

    4. 按一下 OK(確定)

結果

適用於 VMware vCenter 的 LXCI 會驗證 LDAP 伺服器連線。如果驗證通過,登入適用於 VMware vCenter 的 LXCI 時,就會在外部鑑別伺服器上進行使用者鑑別。

如果驗證失敗,鑑別模式會自動恢復為 Allow logons from local users(允許本端使用者登入)設定,並顯示訊息說明失敗的原因。

必須在適用於 VMware vCenter 的 LXCI 中配置正確的角色群組,而且必須將使用者帳戶定義為 LDAP 伺服器中 LDAP 群組的成員。否則使用者鑑別將會失敗。