使用者可使用外部 LDAP 鑑別伺服器,而不使用管理節點上的本端適用於 VMware vCenter 的 LXCI 鑑別伺服器。
開始之前
必須先完成適用於 VMware vCenter 的 LXCI 的起始設定,才能設定外部鑑別伺服器。
支援的外部鑑別伺服器如下:
適用於 VMware vCenter 的 LXCI 每 10 分鐘會執行一次連線功能檢查,以維護與配置的外部 LDAP 伺服器之間的連線。有多部 LDAP 伺服器的環境在連線功能檢查期間可能會出現高 CPU 使用率的情形。為了達到最佳效能,請在配置 LDAP 用戶端時僅指定已知的、可存取的 LDAP 伺服器。
確保可以登入此 XClarity Integrator Web 介面的 LDAP 使用者是 LDAP 伺服器中 LDAP 群組的成員。
在配置此 LDAP 用戶端之前,請在 LDAP 伺服器中建立群組並新增使用者:
從外部鑑別伺服器建立使用者帳戶。如需相關指示,請參閱 LDAP 伺服器的文件。
在 LDAP 伺服器中建立群組。LDAP 群組名稱可以是預設的名稱 LXCI-SUPERVISOR 或其他使用者定義的名稱。群組必須存在 LDAP 用戶端中所定義根識別名稱的環境定義內。
新增使用者做為先前建立之群組的成員。
程序
若要配置適用於 VMware vCenter 的 LXCI 以使用外部鑑別伺服器,請完成下列步驟。
- 設定 Microsoft Active Directory 的使用者鑑別方法,執行下列其中一項:
- 配置適用於 VMware vCenter 的 LXCI LDAP 用戶端:
- 在適用於 VMware vCenter 的 LXCI 左側導覽窗格中,按一下 。
- 選取其中一種使用者鑑別方法:
- Allow logons from local users(允許本端使用者登入)。使用本端鑑別進行鑑別。選取此選項後,使用者只能使用本端帳戶登入 LXCI。
- Allow LDAP users first, then local users(先允許 LDAP 使用者,然後允許本端使用者)。外部 LDAP 伺服器會先執行鑑別。如果鑑別失敗,再由本端鑑別伺服器執行鑑別。
如果選取此方法,請執行下列動作:
輸入一個或多個伺服器位址和埠。
輸入 LDAP 群組名稱。
依預設,LDAP 群組名稱為 LXCI-SUPERVISOR。使用者也可以輸入其他名稱。
選取其中一種連結方法:
Configured Credentials(配置的認證)。使用此連結方法可利用用戶端名稱和密碼將適用於 VMware vCenter 的 LXCI 連結至外部鑑別伺服器。如果連結失敗,鑑別程序也會失敗
用戶端名稱可以是 LDAP 伺服器支援的任何名稱,包括識別名稱、sAMAccountName、NetBIOS 名稱或 UserPrincipalName。用戶端使用者名稱必須是網域內至少具有唯讀權限的使用者帳戶。例如:
cn=administrator,cn=users,dc=example,dc=com
example\administrator
administrator@example.com
若要變更外部鑑別伺服器中的用戶端密碼,請務必更新適用於 VMware vCenter 的 LXCI 中的新密碼。如果在外部 LDAP 伺服器中變更了用戶端密碼,使用者可使用本端帳戶登入 Integrator 以更新該新密碼。
Login Credentials(登入認證)。使用此連結方法可利用 LDAP 使用者名稱和密碼將適用於 VMware vCenter 的 LXCI 連結至外部鑑別伺服器。
指定的使用者 ID 和密碼只會用來測試與鑑別伺服器之間的連線。如果成功,就會儲存 LDAP 用戶端設定,但是不會儲存所指定的測試登入認證。未來所有連結都會使用用來登入適用於 VMware vCenter 的 LXCI 的使用者名稱和密碼。
- 在 Root DN(根 DN)欄位中,指定 LDAP 目錄樹中最上方的項目。在此情況下,系統會使用指定的根識別名稱做為搜尋基礎開始搜尋。
在 User Search Attribute(使用者搜尋屬性)欄位中,指定要用來搜尋使用者名稱的屬性。
若連結方法設定為 Configured Credentials(配置的認證),LDAP 伺服器的起始連結後面會接著搜尋要求,該要求會擷取有關使用者的特定資訊,包括使用者 DN 和群組成員資格。此搜尋要求必須指定代表該伺服器上使用者 ID 的屬性名稱。此屬性名稱是在此欄位中配置。
在 Group Search Attribute(群組搜尋屬性)欄位中,指定用來識別使用者所屬群組的屬性名稱。
在 Group Name Attribute(群組名稱屬性)欄位中,指定用來識別由 LDAP 伺服器配置之群組名稱的屬性名稱。
- 按一下 Save(儲存)。
適用於 VMware vCenter 的 LXCI 嘗試測試配置以偵測一般錯誤。如果測試失敗,則會顯示錯誤訊息,指出錯誤的來源。對於 Configured Credentials(配置的認證)連結方法,如果測試成功並成功完成與指定伺服器的連線,在下列情況下使用者鑑別仍可能失敗:
- 按一下 OK(確定)。
結果
適用於 VMware vCenter 的 LXCI 會驗證 LDAP 伺服器連線。如果驗證通過,登入適用於 VMware vCenter 的 LXCI 時,就會在外部鑑別伺服器上進行使用者鑑別。
如果驗證失敗,鑑別模式會自動恢復為 Allow logons from local users(允許本端使用者登入)設定,並顯示訊息說明失敗的原因。
必須在適用於 VMware vCenter 的 LXCI 中配置正確的角色群組,而且必須將使用者帳戶定義為 LDAP 伺服器中 LDAP 群組的成員。否則使用者鑑別將會失敗。