Desde la versión VMware NSX-T 3.0 se ha agregado la compatibilidad de autenticación a través de LDAP o AD de una forma nativa, antes de ello para poder habilitar la autenticación a través de LDAP era necesario implementar un dispositivo adicional el vIDM (VMware Identity Manager) y así poder permitir la autenticación externa.
En este artículo veremos cómo habilitar la autenticación LDAP en NSX-T 3.x, para ello veremos los requerimientos y los pasos necesarios en cada proceso.
REQUISITOS:
- MS Active Directory instalado y configurado.
- Cuenta de servicio de dominio.
- Datos del domino (Base DN).
- Puerto (389).
- Grupos de usuarios por rol.
PROCESO:
El proceso se lleva a cabo a través de 2 actividades: El agregado de la fuente LDAP a la Solución NSX-T y la creación y asignación de roles de usuarios y grupos.
- AGREGADO DE LA FUENTE LDAP A NSX-T.
PASO 1: Ingrese a través de la consola GUI de administración al NSX-T.
PASO 2: Desde la consola de Administración de NSX-T vaya a System –> Configuration –> Settings –> Users and Roles –> LDAP.
PASO 3: Presione el botón ADD Identity Source.
PASO 4: Agregue los siguientes campos:
- Name.
- Domain Name
- Type.
- Base DN= el nombre del dominio con el siguiente formato DC=dominio, DC=extesión del dominio
Ejemplo: DC=ramones,DC=LAB - Description= Información referente a servicio LDAP que estamos agregando.
PASO 5: Luego de Ingresar los datos presione el botón SET, para ingresar los datos del servidor del Active Directory.
PASO 6: Presione el botón ADD LDAP SERVER, para ingresar los datos del servidor AD.
Ingrese los datos solicitados:
- Hostname (FQDN)/IP: Nombre completo del servidor de Active Directory.
- LDAP Protocol: por defecto LDAP.
- Port: El puerto por defecto 389.
- Bind Identity: Cuenta de usuario de servicio en el dominio.
- User StartTLS: Opcional solo si va usar TLS.
Si selecciono la opción StartTLS el sistema mostrará el certificado acepte el mismo presionando en el botón Accept.
PASO 7: Presione el botón ADD para agregar la información del servidor.
PASO 8: Presione el botón APPLY para que finalmente se agregue el servicio de Active Directory y poder observar que esta con estatus Success.
Ahora deberá ver agregado correctamente su LDAP, pero para poder iniciar sesión con usuarios LDAP, debe crear la relación y no olvide que para una mejor administración debe crear asignaciones de usuario/grupo a rol.
- CREACIÓN Y ASIGNACION DE ROLES DE USUARIOS/GRUPOS.
PASO 1: Ingrese en el Active Directory y cree los grupos de usuarios para el NSX de acuerdo a los roles que desee asignar, para este caso he preparado 3 grupos:
- NSX-GRP-Admin.
- NSX-GRP-Audit.
- NSX-GRP-Operador.
PASO 2: Ingrese a la consola GUI del NSX-T Manager.
PASO 3: Desde la consola de Administración de NSX-T vaya a System –> Configuration –> Settings –> Users and Roles.
PASO 4: Seleccione el dominio y luego escriba el nombre del usuario o grupo a buscar.
PASO 5: Seleccione el ROL a asignar al grupo.
PASO 6: Si lo desea aquí puede agregar roles adicionales según sus necesidades o requerimientos.
PASO 7: Ahora ya está en condiciones de ingresar con el usuario que este asignado al grupo que asocio con NSX.
Con esto ya tendríamos la solución de NSX-T lista para permitir el acceso a través de la autenticación de LDAP.
