作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與SD-WAN方案的介紹與推廣。

接著我們要來說明在生產環境內,如何將NSX-T與VMware Identity Manager接取完成。要做這件事前,有兩個先決條件必須要事先做好:

 

  • Identity Manager要安裝完成

 

  • Identity Manager要與相關的目錄系統比如說Active Directory,或是一些企業採用的安全驗證系統像是Radius Server / RSA Token等等整合完成

 

上面兩件事,不是我們這邊的重點,只會點到為止,也不會談像是雙因素系統怎麼連接這些的,大家請參考相關的vIDM安裝文件來進行。當然我知道要讀文件很麻煩,有兩篇在VMware官方Blog內,由VMware NSBU的Product Manager撰寫的網誌可以供各位參考,本文的部分內容也是與這兩篇網誌重合的:

 

  • Remote User Authentication and RBAC with NSX-T: https://blogs.vmware.com/networkvirtualization/2017/11/remote-user-authentication-and-rbac-with-nsx-t.html/

 

  • Two-Factor Authentication with VMware NSX-T: https://blogs.vmware.com/networkvirtualization/2018/04/two-factor-authentication-vmware-nsx-t.html/

 

接著我們來一步步看要做的事情:

 

  1. 安裝VMware Identity Manager

 

和VMware大部分的產品一樣,你需要下載VMware Identity Manager的OVA檔,準備好IP地址與相關網路配置,DNS正反解,NTP設定等。在生產環境,你需要有外部的SQL-Server,但通常在PoC環境內用Embedded Database即可。

 

由vCenter匯入OVA檔,輸入基礎的配置。匯入完成後開啟VM。在VM完整開啟完畢後,可以以瀏覽器用 https://<vIDM-FQDN or IP> 連入。在第一次連入時vIDM會啟用資料庫連接精靈,管理者可以選擇使用內嵌資料庫或是指定外部的SQL-Server。

 

  1. 進行AD的配置連接

 

你需要到管理介面的Identity & Access Management內加入企業或是PoC環境內的AD目錄,包含AD的位置啦,管理者的密碼啦,連接埠啦,Base DN / Bind DN CN DC這些鬼啦,相信熟悉AD / LDAP的你一定超熟,我和他們是混得不太好啦~~

 

接著呢要選擇把AD內哪些使用者或群組匯入,讓vIDM能夠看到。帳號本身如果有修改或是密碼等的管理,當然仍然是由AD管理者來做,vIDM會定時地去與AD詢問並把配置要作為NSX-T管理者的帳號進行同步。

 

下圖內是我展示環境內的Identity Manager畫面,各位可以看到我從AD內拉了三個帳號:colin-auditor / colin-security / colin-network到vIDM內

  1. 建立vIDM內的NSX-T連接配置

 

接著進入本篇的重點,要寫仔細一點。要讓vIDM與NSX-T 2.3版整合,首先我們要到vIDM的Catalog – Settings內,選擇Remote App Access,接著按Create Client按鈕。這個畫面內有三個重要的值要填寫,如下圖所示:

 

  • Access-Type選擇Service Client Token

 

  • Client ID打入一個可以清楚識別 / 代表NSX-T Manager的名稱

 

  • Shared Secret內用Generate Shared Secret按鍵建立一組長密碼。

 

 

上面的Client ID與Shared Secret請要記錄下來,後面會用到。這幾個值配置完,按Add按鈕後,這個Client就會出現在列表內。後面的STATUS內如果出現Not Activated這樣的狀況請不用管,這是正常狀況

 

  1. 查詢vIDMfingerprint

 

這邊得要打幾個指令。首先請用ssh client的軟體比如說putty連入vIDM,並以sshuser帳戶登入。需要打的指令大概是這樣,如下圖所示:

 

> sudo su

> cd /usr/local/horizon/conf

> openssl x509 -in <vIDM-FQDN>_cert.pem -noout -sha256 -fingerprint

 

 

重點是,請把那一堆冒號列出來的Fingerprint抄起來 / 剪貼下來。然後手工作業一下把冒號去掉,下個步驟就會用到。

 

  1. NSX-T介面內來接vIDM

 

請以admin帳戶登入NSX-T Manager的管理介面,然後在System – Users – Configuration內,可以設定VMware Identity Manager。幾個重要的設定值:

 

  • VMware Identity Manager Integration選為Enabled

 

  • VMware Identity Manager Appliance內,輸入Identity Manager的FQDN。請注意,一定要輸入FQDN,不是IP喔!所以DNS正反解的配置真的很重要~

 

  • OAuth Client ID: 請輸入在第三步驟內,你配置的Client ID

 

  • OAuth Client Secret: 請輸入在第三步驟內,你紀錄的Shared Secret值

 

  • SHA-256 Thumbprint: 請把第四步驟內的那個Fingerprint,把所有冒號去掉後貼進去

 

  • NSX Manager Appliance: 請輸入NSX-T Manager的FQDN

 

下圖是我展示環境的配置:

 

按Save後如果一切輸入正確,各位就會看到VMware Identity Manager這裡的配置會一片綠燈顯示正常運作了。

 

如果上面這幾個動作都順利完成,NSX-T與vIDM的整合就做好了。此時,就可以如前篇網誌討論,由System – Users – Role Assignments內,按ADD選擇要增加新用戶,接著在Search Users / User Groups內可以輸入用戶ID,NSX-T會自動去與vIDM詢問有哪些用戶符合可供選擇。選擇正確的用戶後,我們就可以配置這個用戶的角色權限了

這三篇網誌是我們對NSX-T內要如何做AAA / RBAC的機制與vIDM整合方式討論,其實步驟並不複雜,以我個人來說,vIDM要怎麼去接AD / 其他的第三方安全方案還反而是更需要測試的地方。希望相關的說明能讓各位清晰理解這邊的概念與建置方式。