作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與SD-WAN方案的介紹與推廣。

在一個中大型的IT生產環境內,管理者能夠基於不同的群組或角色,賦予不同的設備或是應用系統管理權限是很重要的。比如說防火牆管理者可以進行安全政策的配置,但是不應該去進行邏輯交換器、邏輯路由器等的配置作業。稽核人員可以對於環境內的不同網路與安全狀態進行檢視,但不應該對環境進行任何異動。一般來說這樣的機制叫做RBAC (Role-Based Access Control)。在NSX-T Data Center內當然也需要有這樣的功能。

此外,針對不同管理者的帳號管理與登入方式,企業通常也會希望有下列的運作機制:

 

  • 可以和企業的目錄系統,比如說Active Directory結合,達成帳號與密碼政策的集中管理

 

  • 能夠搭配進階的安全認證機制,像是雙因素認證比如說RSA Token / Smart Card / One-Time-Password等等不同的認證防護方式

 

  • 可以達成Single-Sign-On,在完成認證後,不用每個應用或業務系統都各自獨立去再進行認證作業。

 

上面這些要求,在企業不同的資訊系統與業務應用環境可以說是共通的,因此當然NSX-T不應該也不需要自己去寫一套,而應該要能與具備上述功能的系統進行結合。NSX-T在這邊與之前NSX for vSphere的機制有大幅的不同:之前NSX for vSphere是與vCenter內PSC (Platform Service Controller) 內的身份識別機制做結合,但在NSX-T內,整個AAA (Authentication / Authorization / Accounting or Auditing) 與 RBAC 的功能,改成與VMware Identity Manager (vIDM) 來進行整合。

 

下圖內,當我們建置完成NSX-T與vIDM的整合後,從瀏覽器要登入NSX-T的畫面會變成下面這樣:預設是Remote User。如果你想要原先的本地管理者帳號admin登入的話,要改為Node-Local User。

選擇Remote User並在下面按Log In後,接著大家會發現,Workspace ONE的登入畫面跳出來了。咦我們不是在用Horizon View或Airwatch或Remote App啊?VMware Identity Manager是VMware Workspace ONE整體方案的一部分,而且會作為所有VMware產品共通的用戶登入 / 目錄整合 / 安全方案結合的統合入口。因此各位在下圖內看到的就是vIDM的用戶登入畫面。在此展示畫面內,我們選擇登入的AD目錄域是zodemo.com,然後登入的用戶是colin-auditor,並且輸入對應到這個帳號的AD密碼。

然後畫面會跳轉回NSX-T的管理介面去。這個用戶帳號在NSX-T環境內,我們已經配置了對應的角色授權僅有auditor的權限。因此四處轉轉,在交換器的管理介面內,下圖內大家可以看到我們沒法新增 / 刪除 / 編輯交換器,也就是說,這個帳號沒有管理網路配置的權限,只能看配置。

同時在防火牆的管理介面內,相同的,可以點開看到規則,但是我們無論是段落或是單一規則的新增或任何異動,都無法進行

後續的網誌我們要繼續討論NSX-T的角色權限控制以及與Identity Manager結合的配置方式。在本文寫作時NSX-T版本是2.3版,可能大家看到本網誌時最新的NSX-T Data Center版本已經又更新了,但在這邊的配置方式與權限控管概念基本上都是接近的。

 

另外,如果各位有在NSX-T方案內要採用到與vIDM整合的相關功能,不用擔心說是否需要找錢找額外的預算來買vIDM。就如同Log Insight一樣,對於NSX-T Data Center產品來說VMware Identity Manager算是方案內的必要功能之一,因此只要您有購置NSX Data Center的授權,就可以直接於My VMware內下載vIDM。但當然,在這邊的vIDM授權也應僅限於對應到NSX-T管理者登入權限的相關使用。