Jak dołączyć vCenter do domeny Active Directory

Zintegrowanie urządzenia vCenter Server Appliance (VCSA) z usługą Microsoft Active Directory jako źródłem tożsamości upraszcza zarządzanie dostępem i zwiększa jego bezpieczeństwo. Dzięki przyłączeniu vCenter do domeny AD administratorzy VMware vSphere mogą korzystać z tego samego źródła tożsamości, które służy do przyznawania dostępu do serwerów plików i innych zasobów w sieci, również w celu przyznawania dostępu do obiektów vSphere. Zapoznaj się z poniższym opisem, aby poznać kroki niezbędne do przyłączenia vCenter do domeny.

NAKIVO do tworzenia kopii zapasowej VMware vSphere

Kompleksowa ochrona danych dla maszyn wirtualnych VMware vSphere oraz opcje natychmiastowego odzyskiwania. Bezpieczne lokalizacje kopii zapasowych na miejscu, zdalnie oraz w chmurze. Funkcje ochrony przed oprogramowaniem wymuszającym okup.

ODKRYJ ROZWIĄZANIE

Jak dodać vCenter do domeny Active Directory

Active Directory to powszechnie stosowany standard scentralizowanego uwierzytelniania użytkowników w wielu organizacjach. Active Directory może służyć również do uwierzytelniania użytkowników VMware ESXi i VMware vCenter. Następnie możemy przypisać niezbędne uprawnienia vSphere uwierzytelnionym użytkownikom domeny Active Directory.

Wymagania

Istnieje kilka wymagań dotyczących konfiguracji integracji vCenter z Active Directory:

• Konieczne jest skonfigurowanie kontrolera domeny Active Directory. Kontroler domeny musi mieć uprawnienia do zapisu (a nie tylko do odczytu).
• Sufiks DNS używany dla w pełni kwalifikowanej nazwy domeny (FQDN) serwera vCenter Server musi być poprawny.
• Ustawienia DNS urządzenia VCSA umożliwiające komunikację z kontrolerem domeny muszą być poprawne.
• Urządzenie vCenter Server Appliance (VCSA) musi rozpoznawać nazwę DNS kontrolera domeny Active Directory jako adres IP.

Uwaga: Możliwe jest również dołączenie samodzielnego hosta ESXi do domeny AD.

Jak dołączyć vCenter do domeny

Musimy dołączyć nasze urządzenie VCSA do Active Directory jako obiekt, aby włączyć Active Directory (Integrated Windows Authentication). Ta opcja pozwala nam przekazać poświadczenia użytkownika zalogowanego w systemie Windows jako uwierzytelnienie do klienta internetowego vCenter. Należy pamiętać, że w tym samouczku używamy vCenter Server Appliance 7.0 z wbudowanym kontrolerem usług platformy.

Aby skonfigurować połączenie z usługą AD, wykonaj następujące czynności:

1. Zaloguj się jako SSO administrator do vCenter, korzystając z przeglądarki internetowej i przechodząc do strony VMware vSphere Client. Domyślna nazwa administratora to administrator@vsphere.local (omówiona w poprzednim poście na stronie Domena vSphere SSO), czyli użytkownik admin skonfigurowany podczas instalacji VCSA. Należy również pamiętać, że nie jest to użytkownik domeny Windows Active Directory. Można jednak użyć opcji Użyj uwierzytelniania sesji Windows podczas integracji vCenter z Active Directory.
   
2. Po zalogowaniu się do klienta internetowego jako administrator SSO kliknij ikonę menu w lewym górnym rogu. Kliknij Administration w menu, które się otworzy.
   
3. Kliknij Configuration na stronie Administracja w sekcji Pojedyncze logowanie . Wybierz kartę Identity Provider , kliknij Active Directory Domaini kliknij JOIN AD , aby dołączyć vCenter do domeny.

4. Spowoduje to wyświetlenie okna dialogowego, w którym należy wpisać Domain, Organizational unit, Usernamei Password.
   • Wprowadź nazwę domeny Active Directory, na przykład domain1.net . Należy pamiętać, że nazwa istniejącej lokalnej domeny SSO (w naszym przypadku vsphere.local ) oraz nazwa domeny Active Directory (w naszym przypadku domain1.net ) muszą się różnić. Jeśli użyjesz tej samej nazwy domeny AD, pojawi się błąd i nie będzie można dołączyć do domeny ani zintegrować vCenter z Active Directory.
   • Ustawienie jednostki organizacyjnej może być przydatne dla osób zaznajomionych z LDAP. Jeśli pole Jednostka organizacyjna zostanie pozostawione puste, konto komputera w AD zostanie utworzone w domyślnej lokalizacji, którą jest Komputery kontener. Zawsze możesz przenieść obiekt komputera do potrzebnej jednostki organizacyjnej na kontrolerze domeny Active Directory. Przykład wypełnienia pola Jednostka organizacyjna:

     OU=Unit1,DC=domain1,DC=net

   • Wprowadź nazwę użytkownika administratora domeny Active Directory oraz hasło. Nasz administrator domeny to administrator@domain.net . Można jednak utworzyć dedykowanego użytkownika (na przykład vmwareadmin ) na kontrolerze domeny i dodać go do odpowiedniej grupy administratorów domeny.

     Po wypełnieniu okna dialogowego kliknij Join — pojawi się monit o ponowne uruchomienie urządzenia vCenter.

   

   Uwaga : Jeśli pojawi się błąd typu:

   Wyjątek klienta Idm: Błąd podczas próby dołączenia do AD, kod błędu [11], użytkownik [domain1/administrator], domena [domain1.net], orgUnit[]

   spróbuj uruchomić następujące polecenie w powłoce konsoli VCSA (wiersz poleceń) jako użytkownik główny, podając nazwę domeny i nazwę administratora domeny:

   /opt/likewise/bin/domainjoin-cli join domain1.net administrator

5. Aby zrestartować serwer vCenter z poziomu interfejsu VMware vSphere Client, przejdź do Administration > System Configuration, wybierz węzeł vCenter i kliknij Reboot node.

   Alternatywnie można zalogować się do VMware Host Client hosta ESXi, na którym działa maszyna wirtualna vCenter Server urządzenie, i zrestartować maszynę wirtualną VCSA. Innym rozwiązaniem jest użycie interfejsu użytkownika Direct Console (DCUI) na VCSA i skorzystanie z opcji Reboot.

   

6. Po ponownym uruchomieniu vCenter można przejść do Administration > Single Sign On > Configuration > Identity Provider > Active Directory Domain (tak jak wcześniej) i upewnić się, że połączenie z kontrolerem domeny przebiegło pomyślnie, a vCenter jest teraz członkiem domeny.

7. Można również sprawdzić, czy maszyna vCenter dołączyła do domeny w systemie Windows Server pełniącym rolę kontrolera domeny. W tym celu należy otworzyć Active Directory Users and Computers, wybrać swoją domenę i kliknąć Computers. Na poniższym zrzucie ekranu widać, że nasz serwer vcenter7 należy do naszej domeny Active Directory.

Dodawanie źródła tożsamości

Po dołączeniu urządzenia vCenter Server Appliance (VCSA) do domeny i ponownym uruchomieniu jesteśmy gotowi do dodania źródła tożsamości Active Directory:

1. Wróć do strony Administration i kliknij Configuration w menu Single Sign-On . Kliknij Identity Sources w zakładce Identity Provider , a następnie kliknij przycisk ADD , aby dodać źródło tożsamości.

2. Wybieramy opcję Active Directory (Integrated Windows Authentication) . Teraz, gdy dołączyliśmy nasze vCenter do domeny, pole Domain name zostaje automatycznie wypełnione nazwą naszej domeny. Możemy pozostawić Use machine account jako opcję domyślną. Na koniec zakończ konfigurację źródła tożsamości i kliknij Add.

3. Teraz w sekcji źródła tożsamości widzimy naszą domenę. Możesz kliknąć Set as default , aby domyślnie używać tej domeny Active Directory.

Następnie możesz utwórz role w vCenter i przypisać uprawnienia do tych ról, a następnie przypisać rolę do użytkownika Active Directory.

Wnioski

Posiadanie scentralizowanego systemu uwierzytelniania użytkowników w środowisku oraz korzystanie z Active Directory do uwierzytelniania użytkowników vSphere jest przydatne w wielu sytuacjach. Pamiętaj o regularnym wykonaj kopię zapasową usługi Active Directory kontrolera domeny i urządzenia vCenter Server, aby uniknąć przestojów i problemów spowodowanych niemożnością uwierzytelniania użytkowników i zarządzania infrastrukturą. NAKIVO Backup & Replication to kompletne rozwiązanie do ochrony danych dla środowisk VMware vSphere. Użyj tego rozwiązania do wykonania kopii zapasowej maszyn wirtualnych i aplikacji, takich jak Microsoft Active Directory.

Wypróbuj NAKIVO Backup & Replication

Skorzystaj z bezpłatnej wersji próbnej, aby zapoznać się ze wszystkimi funkcjami rozwiązania w zakresie ochrony danych. 15 dni za darmo. Bez żadnych ograniczeń dotyczących funkcji ani pojemności. Nie trzeba podawać danych karty kredytowej.

Wypróbuj za darmo