Cách kết nối vCenter với miền Active Directory

Việc tích hợp vCenter Server Appliance (VCSA) với Microsoft Active Directory làm nguồn nhận dạng sẽ giúp đơn giản hóa và tăng cường tính bảo mật trong quản lý quyền truy cập. Bằng cách kết nối vCenter với miền AD, các quản trị viên VMware vSphere có thể sử dụng cùng một nguồn nhận dạng được dùng để cấp quyền truy cập vào các máy chủ tệp và các tài nguyên khác trên mạng để cấp quyền truy cập vào các đối tượng vSphere. Hãy tiếp tục đọc để tìm hiểu các bước kết nối vCenter với miền.

NAKIVO cho sao lưu VMware vSphere

Bảo vệ dữ liệu toàn diện cho các máy ảo VMware vSphere và các tùy chọn khôi phục tức thì. Các điểm sao lưu an toàn tại chỗ, ngoài cơ sở và trên đám mây. Các tính năng chống ransomware.

KHÁM PHÁ GIẢI PHÁP

Cách thêm vCenter vào miền Active Directory

Active Directory là một tiêu chuẩn phổ biến để xác thực tập trung người dùng trong nhiều tổ chức. Active Directory cũng có thể được sử dụng để xác thực người dùng VMware ESXi và VMware vCenter. Sau đó, chúng ta có thể cấp các quyền vSphere cần thiết cho người dùng miền Active Directory đã được xác thực.

Yêu cầu

Có một số yêu cầu để cấu hình tích hợp vCenter với Active Directory:

• Phải cấu hình một máy chủ miền Active Directory. Máy chủ miền phải có quyền ghi (và không chỉ ở chế độ chỉ đọc).
• Phần mở rộng DNS được sử dụng cho tên miền đầy đủ (FQDN) của máy chủ vCenter phải chính xác.
• Các thiết lập DNS của VCSA để giao tiếp với máy chủ miền phải chính xác.
• Máy chủ vCenter Server Appliance (VCSA) phải giải quyết tên DNS của máy chủ miền Active Directory thành địa chỉ IP.

Lưu ý: Cũng có thể kết nối một máy chủ ESXi độc lập với miền AD.

Cách kết nối vCenter với miền

Chúng ta cần kết nối thiết bị VCSA với Active Directory dưới dạng một đối tượng để kích hoạt Active Directory (Integrated Windows Authentication). Tùy chọn này cho phép chúng ta truyền thông tin đăng nhập Windows của người dùng đã đăng nhập làm thông tin xác thực cho vCenter Web Client. Lưu ý rằng trong hướng dẫn này, chúng ta đang sử dụng vCenter Server Appliance 7.0 với bộ điều khiển dịch vụ nền tảng nhúng.

Thực hiện các bước sau để thiết lập kết nối AD:

1. Đăng nhập với tư cách là SSO administrator vào vCenter bằng trình duyệt web và truy cập trang VMware vSphere Client. Tên quản trị viên mặc định là administrator@vsphere.local (được đề cập trong bài viết trước tại Miền SSO của vSphere), đây là tài khoản quản trị viên được thiết lập trong quá trình cài đặt VCSA. Lưu ý, đây không phải là tài khoản người dùng trong miền Active Directory của Windows. Tuy nhiên, bạn có thể sử dụng tùy chọn Sử dụng xác thực phiên Windows khi tích hợp vCenter với Active Directory.
   
2. Sau khi đăng nhập vào Web Client với tư cách quản trị viên SSO, nhấp vào biểu tượng menu ở góc trên bên trái. Nhấp vào Administration trong menu vừa mở ra.
   
3. Nhấp vào Configuration trên trang Quản trị trong phần Đăng nhập một lần . Chọn tab Identity Provider , nhấp vào Active Directory Domain, và nhấp vào JOIN AD để kết nối vCenter với miền.

4. Điều này sẽ hiển thị hộp thoại để nhập Domain, Organizational unit, Username, và Password.
   • Nhập tên miền Active Directory, ví dụ: domain1.net . Lưu ý rằng tên miền SSO cục bộ hiện có của bạn ( vsphere.local trong trường hợp của chúng tôi) và tên miền Active Directory ( domain1.net trong trường hợp của chúng tôi) phải khác nhau. Nếu bạn sử dụng cùng một tên miền AD, bạn sẽ gặp lỗi và không thể tham gia miền cũng như tích hợp vCenter với Active Directory.
   • Việc thiết lập đơn vị tổ chức có thể hữu ích cho những ai quen thuộc với LDAP. Nếu trường Organization unit được để trống, thì tài khoản máy tính trong AD sẽ được tạo tại vị trí mặc định, đó là Computers container. Bạn luôn có thể di chuyển đối tượng máy tính sang đơn vị tổ chức cần thiết trên máy chủ điều khiển miền Active Directory của bạn. Ví dụ về cách điền trường Organization Unit:

     OU=Unit1,DC=domain1,DC=net

   • Nhập tên người dùng của quản trị viên miền Active Directory và mật khẩu. Quản trị viên miền của chúng tôi là administrator@domain.net . Tuy nhiên, bạn có thể tạo một người dùng chuyên dụng (ví dụ: vmwareadmin ) trên máy chủ miền và thêm người dùng này vào nhóm quản trị viên miền phù hợp.

     Sau khi hoàn tất hộp thoại, nhấp vào Join và bạn sẽ được yêu cầu khởi động lại thiết bị vCenter.

   

   Lưu ý : Nếu bạn thấy lỗi như:

   Lỗi của khách hàng IDM: Lỗi khi cố gắng tham gia AD, mã lỗi [11], người dùng [domain1/administrator], miền [domain1.net], orgUnit[]

   hãy chạy lệnh sau trong giao diện dòng lệnh (console shell) của VCSA với quyền root, sử dụng tên miền và tên quản trị viên miền của bạn:

   /opt/likewise/bin/domainjoin-cli join domain1.net administrator

5. Để khởi động lại máy chủ vCenter từ giao diện VMware vSphere Client, hãy truy cập Administration > System Configuration, chọn nút vCenter của bạn và nhấp vào Reboot node.

   Ngoài ra, bạn có thể đăng nhập vào VMware Host Client của máy chủ ESXi đang chạy máy ảo vCenter Server Appliance (VCSA) và khởi động lại máy ảo VCSA. Một giải pháp khác là sử dụng giao diện người dùng Direct Console (DCUI) trên VCSA và sử dụng tùy chọn Khởi động lại tại đó.

   

6. Sau khi khởi động lại vCenter, bạn có thể truy cập Administration > Single Sign On > Configuration > Identity Provider > Active Directory Domain (như đã làm trước đó) và đảm bảo rằng việc kết nối với máy chủ miền thành công và vCenter của bạn hiện là thành viên của miền.

7. Bạn cũng có thể đảm bảo rằng máy vCenter của bạn đã tham gia miền trong Windows Server đóng vai trò là máy chủ miền. Để làm điều này, mở Active Directory Users and Computers, chọn miền của bạn và nhấp vào Computers. Bạn có thể thấy rằng máy chủ vCenter Server Appliance (VCSA) của chúng ta tại địa chỉ là thành viên của miền Active Directory trong ảnh chụp màn hình bên dưới.

Thêm nguồn nhận dạng

Sau khi vCenter Server Appliance (VCSA) đã được kết nối với miền và khởi động lại, chúng ta đã sẵn sàng để thêm nguồn nhận dạng Active Directory:

1. Quay lại trang Administration và nhấp vào Configuration trong menu Single Sign-On . Nhấp vào Identity Sources trong tab Identity Provider , sau đó nhấp vào nút ADD để thêm nguồn nhận dạng.

2. Chúng ta chọn tùy chọn Active Directory (Integrated Windows Authentication) . Bây giờ khi đã kết nối vCenter với miền, trường Domain name sẽ tự động được điền bằng tên miền của chúng ta. Chúng ta có thể để tùy chọn Use machine account là mặc định ở đây. Cuối cùng, hoàn tất cấu hình nguồn danh tính và nhấp vào Add.

3. Bây giờ, dưới phần nguồn danh tính, chúng ta có thể thấy miền của mình. Bạn có thể nhấp vào Set as default để sử dụng miền Active Directory này làm mặc định.

Sau đó, bạn có thể Tạo vai trò trong vCenter và gán quyền hạn cho các vai trò đó, sau đó gán vai trò cho người dùng Active Directory.

Kết luận

Việc có một hệ thống tập trung cho xác thực người dùng trong môi trường của bạn và sử dụng Active Directory cho xác thực người dùng vSphere là hữu ích trong nhiều tình huống. Hãy đảm bảo Sao lưu Active Directory máy chủ miền và thiết bị vCenter Server thường xuyên để tránh thời gian ngừng hoạt động và các sự cố do không thể xác thực người dùng và quản lý cơ sở hạ tầng. NAKIVO Backup & Replication là giải pháp bảo vệ dữ liệu hoàn chỉnh cho các môi trường VMware vSphere. Sử dụng giải pháp này để sao lưu các máy ảo và ứng dụng của bạn như Microsoft Active Directory.

Hãy thử NAKIVO Backup & Replication

Đăng ký dùng thử miễn phí để khám phá toàn bộ các tính năng bảo vệ dữ liệu của giải pháp. Dùng thử miễn phí trong 15 ngày. Không có bất kỳ giới hạn nào về tính năng hay dung lượng. Không cần thẻ tín dụng.

Dùng thử miễn phí