- 添加 ACTIVE DIRECTORY 域作为身份源
1.使用 LDAP将 Active Directory 域添加到 NSX Manager。
配置新的 LDAP 身份源。
a. 导航至系统>设置>用户管理。
b. 导航到“身份验证提供程序”选项卡并单击LDAP。
c. 单击添加身份源。
d 配置新的身份源。
2.为身份源配置 LDAP 服务器。
a. 单击LDAP 服务器列下的设置 链接。
b. 单击添加 LDAP 服务器。
c. 配置 LDAP 服务器。
d. 单击检查状态链接。
e. 当出现“接受证书”警告时,单击“接受”。
f. 验证连接状态是否为成功。
g. 单击“添加”。
h. 单击“应用”。
i. 单击“保存”。
3.验证身份源的状态。
a. 单击检查状态链接并验证连接状态是否为成功。
b. 单击LDAP 服务器列下的1链接。
c. 单击检查状态链接并验证连接状态是否为成功。
d. 单击“关闭”。
- 将 NSX 角色分配给域用户并测试权限
将 NSX 角色分配给 Active Directory 域用户并验证用户的权限。
1.将安全管理员角色分配给 jdoe@vclass.local Active Directory 域用户。
a. 导航到系统>设置>用户管理,然后单击用户角色分配选项卡。
b. 单击为提供商添加角色并选择LDAP。
c. 在搜索域下拉菜单中选择vclass.local 。
d. jdoe在“用户/用户组名称”文本框中输入并选择“jdoe@vclass.local ”用户。
e. 单击“角色”下的“设置”。
f. 单击添加角色。
g. 从角色下拉菜单中选择安全管理员。
h. 单击范围下的设置。
i. 验证是否已选择“全部”并单击“应用”。
j. 单击“添加”,然后单击“应用”。
k. 单击“保存”。
2.以 jdoe@vclass.local 身份登录到 NSX UI。
a. 注销 NSX。
b. 登录到 NSX UI。
• 用户名:jdoe@vclass.local
• 密码:XXX
c. 单击登录。3.验证 jdoe@vclass.local 用户权限。
a. 验证您是否以 jdoe@vclass.local 身份登录。
以 jdoe@vclass.local 身份登录时,NSX UI 会自动更改为深色模式。
b. 导航到网络>连接>第 0 层网关并验证添加网关选项不可用。
不可用选项表示具有安全管理员角色的用户没有配置第 0 层网关的权限。
c. 导航到安全>策略管理>分布式防火墙。
d. 验证“添加策略”选项是否可用。
该选项的可用性表明具有安全管理员角色的用户有权配置分布式防火墙策略和规则。
e. 如果单击“添加策略”并出现新策略,请单击“新策略”附近的垂直省略号图标,然后选择“删除策略”。
f. 导航到安全>策略管理>网关防火墙。
g. 验证是否从网关下拉菜单中选择了T0-GW-01 。
h. 验证“添加策略”选项是否可用。
该选项的可用性表示具有安全管理员角色的用户有权配置网关防火墙策略和规则。
i. 如果您单击“添加策略”并出现新策略,请单击“新策略”附近的垂直省略号图标,然后选择“删除策略”。
j. 注销 NSX。
- 修改现有角色并测试角色权限
克隆并修改现有 NSX 角色,将新角色分配给 Active Directory 域用户,并验证用户的权限。
1.创建一个名为分布式防火墙管理员的角色,它是安全管理员角色的克隆。
此角色应提供对分布式防火墙的完全访问权限以及对其他安全功能的只读权限。
a. 登录到 NSX UI。
• 用户名: 管理员
• 密码:VMware1!VMware1!
b. 导航到系统>设置>用户管理,然后单击角色选项卡。
c. 单击安全管理员角色旁边的垂直省略号图标,然后单击克隆。
d. Distributed Firewall Admin在角色名称文本框中输入。
e. 在“权限”下,单击“安全”旁边的“完全访问权限” 。
f. 单击策略管理以展开。
g. 从IDS/IPS 和恶意软件防护的权限下拉菜单中,选择只读。
h. 从TLS 检查的权限下拉菜单中,选择只读。
i. 从身份防火墙的权限下拉菜单中,选择只读。
j. 从网关防火墙的权限下拉菜单中,选择只读。
k. 单击“应用”。
l. 单击“保存”。
2.将分布式防火墙管理员角色分配给 jsmith@vclass.local Active Directory 域用户。
a. 导航到“用户角色分配”选项卡。
b. 单击为提供商添加角色并选择LDAP。
c. 在搜索域下拉菜单中选择vclass.local 。
d. jsmith在“用户/用户组名称”文本框中输入并选择“jsmith@vclass.local”用户。
e. 单击“角色”下的“设置”。
f. 单击添加角色。
g. 从角色下拉菜单中选择分布式防火墙管理员。
h. 单击“添加”,然后单击“应用”。
i. 单击“保存”。
3 以 jsmith@vclass.local 身份登录到 NSX UI。
a. 注销 NSX。
b. 登录到 NSX UI。
• 用户名:jsmith@vclass.local
• 密码:VMware1!
c. 单击登录。
4. 验证 jsmith@vclass.local 用户权限。
a. 验证您是否以 jsmith@vclass.local 身份登录。
以 jsmith@vclass.local 身份登录时,NSX UI 会自动更改为暗模式。
b. 导航到网络>连接>第 0 层网关并验证添加网关选项不可用。
不可用选项表示具有分布式防火墙管理员角色的用户没有配置第 0 层网关的权限。
c. 导航到安全>策略管理>分布式防火墙。
d. 验证“添加策略”选项是否可用。
该选项的可用性表明具有分布式防火墙管理员角色的用户有权配置分布式防火墙策略和规则。
e. 如果您单击“添加策略”并出现新策略,请单击“新策略”附近的垂直省略号图标,然后选择“删除策略”。
f. 导航到安全>策略管理>网关防火墙。
g. 验证是否从网关下拉菜单中选择了T0-GW-01 。
h. 验证“添加策略”选项不可用。
不可用选项表示具有分布式防火墙管理员角色的用户没有配置网关防火墙策略和规则的权限。
i. 注销 NSX。 - 为项目分配项目角色
创建一个项目,将项目特定的角色分配给 Active Directory 域用户,并验证用户的权限。
1.创建一个项目。
a. 登录到 NSX UI。
• 用户名: admin
• 密码:XXXX
b. 单击顶部的默认打开项目切换器下拉菜单。
c. 从项目切换器下拉菜单中选择管理。
单击添加项目。
e. Tenant-01在名称文本框中输入。
f. 对所有其他设置使用默认值,然后单击“保存”。
g. 当出现继续配置的消息时,单击“否”。
h. 单击“关闭”。
i. 单击“默认”并验证 Tenant-01 项目是否出现在项目切换器下拉菜单中。
2.将安全管理员角色分配给 Tenant-01 项目的tenant-01-user@vclass.local Active Directory 域用户。
a. 导航到系统>设置>用户管理,然后单击用户角色分配选项卡。
b. 单击为提供商添加角色并选择LDAP。
c. 从搜索域下拉菜单中选择vclass.local 。
d. tenant-01-user在“用户/用户组名称”文本框中输入并选择“tenant-01-user@vclass.local”用户。
e. 单击“角色”下的“设置”。
f. 单击添加角色。
g. 从角色下拉菜单中选择安全管理员。
h. 单击范围下的设置。
i. 单击选择项目并选择Tenant-01。
j. 单击“应用”。
k. 单击“添加”,然后单击“应用”。
l. 单击“保存”。
3.以tenant-01-user@vclass.local 身份登录到NSX UI。
a. 注销 NSX。
b. 登录到 NSX UI。
• 用户名:tenant-01-user@vclass.local
• 密码:XXXX
c. 单击登录。
4.验证tenant-01-user@vclass.local用户权限。
a. 验证您是否以tenant-01-user@vclass.local 身份登录。
以tenant-01-user@vclass.local 身份登录时,NSX UI 会自动更改为暗模式。
b. 单击Tenant-01并验证 Tenant-01 是否是项目切换器下拉菜单中显示的唯一项目。
Tenant-01 项目的可用性仅表明tenant-01-user@vclass.local 用户是项目特定用户,只能访问Tenant-01 项目。
c. 导航到网络>连接>第 1 层网关并验证添加第 1 层网关选项不可用。
unavailable 选项表示tenant-01-user@vclass.local 用户没有为Tenant-01 项目配置Tier-1 网关的权限。
d. 导航到安全>策略管理>分布式防火墙。
e. 验证“添加策略”选项是否可用。
该选项的可用性表明tenant-01-user@vclass.local用户有权为Tenant-01项目配置分布式防火墙策略和规则。
f. 如果您单击“添加策略”并出现新策略,请单击“新策略”附近的垂直省略号图标,然后选择“删除策略”。
g. 注销 NSX。
VMware NSX 管理用户和角色
于 2024-03-04 13:56:00 首次发布
本文详细介绍了如何在NSXManager中添加ActiveDirectory域作为身份源,配置LDAP服务器,验证身份源连接,以及分配不同角色(如安全管理员和分布式防火墙管理员)给域用户,以测试和限制他们的权限。
摘要由CSDN通过智能技术生成