Prism Element (PE)和Prism Central (PC)部署时配置了一个本地用户,称为“admin”。对于初始设置,这是有用的,但为了安全和审计,强烈建议配置和使用其他帐户。
为供参考,用户管理将在Nutanix安全指南.
一种选择是在Prism中创建个人本地帐户。这是从设置-本地用户管理。无论是在PE还是PC上(直到最新的AOS 5.16版本),本地用户的角色选项有:
- 用户Admin -允许用户查看信息,执行任何管理任务,并创建或修改用户帐户。
- Cluster Admin—允许用户查看信息和执行任何管理任务,但不允许控制用户帐户。
- 查看器-只允许用户查看信息。
UI显示了集群admin和用户admin的复选框选项。如果选中了用户admin,集群admin也会被自动选中。如果两者都不勾选,则将该用户配置为视图用户。
用户管理的详细信息可以在《Nutanix安全指南》中找到用户管理部分。
您可能更愿意为Prism Element或Prism Central配置LDAP或LDAPS身份验证。这个设置可以用两个基本步骤来描述:身份验证配置和角色分配。
在“棱镜元素”或“棱镜中心”的“设置”中,进入“认证”页面。有关完整的文档,请参阅“配置身份验证在《安全指南》里。
虽然还有其他选项,比如使用身份提供者,但在本例中,我将重点关注LDAP/LDAPS身份验证。
您可以添加一个或多个身份验证目录(Active Directory或OpenLDAP)。要添加身份验证目录,请单击“目录列表”,然后单击“新建目录”按钮。大多数字段都是自解释的,但是Directory URL字段值得特别注意。
通过这个Directory URL字段中的格式化来指定LDAPS(而不是LDAP)。如果您想使用LDAP(不使用SSL),您的URL应该看起来像“LDAP://ad_server.mycompany.com:389”,但是如果您想使用LDAPS, URL应该看起来像“LDAPS://ad_server.mycompany.com:636”。在某些情况下,为LDAP(S)使用全局编录端口是有益的。为此,只需通过LDAP将端口3268替换为全局目录,或通过LDAPS将端口3269替换为全局目录。如果查找时间较长,并且所选目录服务器启用了全局编录角色,则可以通过使用全局编录端口改进查找时间。
关于配置LDAPS的另一个注意事项。由于OpenSSL的后续版本增强了安全性,Prism协商的LDAPS握手将包括SSL端点验证。这意味着LDAP服务器的SSL证书必须包含与LDAPS设置期间提供的URL匹配的Subject Alternative Name (SAN)。默认情况下,这通常被限制为LDAP服务器(活动目录域控制器)的IP地址。进一步说,如果您使用一个URL在多个域控制器之间进行负载平衡,则每个域控制器都需要有一个SSL证书,该证书反映您将在Directory URL字段中输入的负载平衡URL。有关此证书要求和相关错误的详细信息,请参阅文章“在Prism Central中配置LDAP身份验证时,抛出无效的服务帐户详细信息”错误”(需要登录)。
在输入服务帐户详细信息时,您需要提供一个允许执行用户和组查找的帐户。这可以是,但不一定是域管理员帐户。当您试图保存配置时,将测试身份验证,如果身份验证测试中出现错误,则会失败。
在配置了目录的身份验证之后,就可以将用户或组与其所需的角色关联起来了。
在Prism Element上,可用的角色选项与上面描述的相同。每个角色的配置可以为用户设置一次,为每个域的组设置一次,因此对于单个目录,最多有6个角色配置,每个配置有一个或多个用户或组。
在Prism Central上,还提供了其他基于角色的访问控制(RBAC)选项。“Admin”用户为“Super Admin”,“Cluster Admin”用户为“Prism Admin”,“Viewer”用户为“Prism Viewer”。已经定义了其他内置角色,您还可以为用户构建自定义角色。关于权限和角色的全部细节在这里可能会涉及太多。有关Prism Central中RBAC和角色分配的更多细节,请参阅“控制用户访问(RBAC)在《安全指南》里。