Posted by En la parte 1 dejamos preparados nuestros NSX Manager, en esta parte 2 de la serie de NSX-T vamos a ver como integrarlo con VMware Identity Manager para tener validación mediante Active Directory.
Aprovechamos para ver como integrar Identity Manager con nuestro AD, no solo la parte de integración con NSX-T. Desplegar la OVA como cualquier otra OVA no tiene nada de especial.
En nuestro caso hemos desplegado VMware Identity Manager 3.3.2 (for vRA, vRops, vRLI, vRB, vRNI, NSX only).
Accedemos vía Web al FQDN que le hemos configurado durante el despliegue (si en el deploy lo hemos configurado con FQDN y accedemos a la Web vía IP, dará un error al configurar la BBDD).
Establecemos el valor de todos los password de usuario.
Seleccionamos base de datos local y se pone a configurar.
Finaliza correctamente la configuración.
Y al acceder vía Web ya nos muestra el login, entramos con las credenciales locales especificadas en el despliegue.
Accedemos a la pestaña «Identity & Access Management».
Añadimos un nuevo directorio.
En el siguiente paso seleccionamos el dominio añadido.
Seleccionamos la asociación de atributos que nos interese (en nuestro caso por defecto).
Añadimos el DN del grupo a descubrir.
Añadimos el DN del usuario a descubrir, en mi caso Administrator.
Comprobamos que se añade el directorio y que ha sincronizado.
Ahora vamos a crear un OAuth Client para utilizarlo luego en NSX-T. Pinchamos sobre «Catalog» -> «Settings».
«Remote App Access» -> «Create Client».
Generamos el «Shared Secret» y lo guardamos para usarlo después.
Comprobamos que se ha creado OK.
Ahora vamos a recoger el Finger Print de nuestro Identity Manager, conectamos por ssh usando el sshuser con el password que hemos introducido en la configuración, nos cambiamos a root son sudo -s, vamos al path cd /usr/local/horizon/conf/ y ejecutamos el comando:
openssl x509 -in fqdn_identity_manager_cert.pem -noout -sha256 -fingerprint
Anotamos el Finger Print para usarlo después.
Y ahora si, por fin, vamos a agregar Identity Manager en nuestro NSX-T.
Vamos a «System» -> «Users» -> «VMware Identity Manager» y editamos.
No elegimos «External Load Balancer» ya que usamos VIP como vimos en la parte 1, habilitamos «Integration VMware Identity Manager», nombre de nuestro Identity, nombre del OAuth creado anteriormente, «Outh Client Secret» sera el «Shared Secret» que nos habíamos guardado, «SSL Thumbprint» el «Finger Print» y en «NSX Appliance» el FQDN de nuestra IP virtual de nuestro clúster NSX-T.
Comprobamos que se configura correctamente.
Vamos a añadir al usuario Administrator del dominio con el role «Enterprise Admin».
Cerramos la Web de NSX-T Manager, accedemos a la Web mediante el FQDN de la IP virtual del clúster de Managers y vemos que nos direcciona al log in de Identity Manager, seleccionamos nuestro dominio de AD.
Nos logueamos con el Administrator del dominio.
Vemos que logueamos correctamente.
Asi que con esto ya tenemos integrada la validación de Active Directory a través de Identity Manager con NSX-T, ya podemos ir agregando los distintos usuarios y roles. Para nuevos usuarios definiríamos el DN en Identity Manager editando el dominio agregado, pinchando sobre «Sync Settings» -> «Users». (Nota: al entrar en Identity Manager cogerá por defecto el dominio con el que hemos logueado a NSX-T, debemos decirle «Change to different domain» y elegir el «System Domain»)
Obviamente os aconsejo realizar la gestión de usuarios mediante grupos, para añadir un DN de grupo el proceso es el mismo pero en la pestaña «Groups».
Por ultimo si necesitamos acceder a NSX-T de forma local por fallo de Identity Manager o por cualquier otra cuestión, nos podemos saltar la redirección al login de Identity Manager accediendo a la VIP o a cualquier Manager con la siguiente URL:
https://fqdn_vip_NSX_o_fqdn_Managers/login.jsp?local=true
Podemos usar este Identity Manager como único punto de login de vRA, vRops, vRLI, vRB, vRNI y NSX.
Con esto finalizamos la parte 2 de esta serie de post de NSX-T, en la parte 3 veremos como preparar la infraestructura para su uso con NSX-T.
Comparte si te gusta 🙂