如何將 vCenter 加入 Active Directory 網域
將 vCenter Server 裝置 (VCSA) 與 Microsoft Active Directory 整合為身分來源,可簡化存取管理流程並提升其安全性。透過將 vCenter 加入 AD 網域,VMware vSphere 管理員便能使用與授予網路中檔案伺服器及其他資源存取權限相同的身分來源,來授予 vSphere 物件的存取權限。請繼續閱讀,了解將 vCenter 加入網域的步驟。
如何將 vCenter 加入 Active Directory 網域
Active Directory 是許多組織中用於集中式使用者驗證的通用標準。Active Directory 亦可用於驗證 VMware ESXi 和 VMware vCenter 使用者。接著,我們可以為已通過驗證的 Active Directory 網域使用者指派所需的 vSphere 權限。
需求
設定 vCenter 與 Active Directory 整合時,需符合以下幾項需求:
- 必須設定一個 Active Directory 網域控制器。該網域控制器必須具備寫入權限(而非僅處於唯讀模式)。
- vCenter Server 的完全合格網域名稱 (FQDN) 所使用的 DNS 後綴必須正確。
- VCSA 與網域控制器通訊的 DNS 設定必須正確。
- vCenter Server 裝置必須將 Active Directory 網域控制器的 DNS 名稱解析為 IP 位址。
註: 此外,也可以將獨立的 ESXi 主機加入 AD 網域。
如何將 vCenter 加入網域
我們需要將 VCSA 裝置作為物件加入 Active Directory,以便啟用 Active Directory (Integrated Windows Authentication). 此選項可讓我們將已登入使用者的 Windows 憑證作為驗證資訊傳遞給 vCenter Web Client。請注意,在本教學中,我們使用的是內建平台服務控制器 (PSC) 的 vCenter Server 裝置 7.0。
請完成以下步驟以設定 AD 連線:
- 請以
SSO administrator透過網頁瀏覽器前往 VMware vSphere Client 頁面,即可存取 vCenter。預設的管理員名稱是 administrator@vsphere.local (詳見先前的一篇貼文) vSphere SSO 網域),這是 VCSA 安裝過程中設定的管理員使用者。此外,請注意,這並非 Windows Active Directory 網域使用者。不過,您可以使用 使用 Windows 工作階段驗證 在將 vCenter 與 Active Directory 整合時,請選擇此選項。
- 以 SSO 管理員身分登入 Web Client 後,請點擊左上角的選單圖示。點擊
Administration在彈出的選單中。
- 點擊
Configuration關於 行政 頁面位於 單一登入 區段。選取Identity Provider分頁,點擊Active Directory Domain,然後點擊JOIN AD將 vCenter 加入網域。
- 這會彈出一個對話方塊,供您輸入
Domain,Organizational unit,Username,以及Password.- 請輸入 Active Directory 網域名稱,例如: domain1.net請注意,您現有的本地 SSO 網域名稱(vsphere.local (就我們而言)以及 Active Directory 網域(domain1.net (在我們的使用情境下)必須不同。若使用相同的 AD 網域名稱,將會出現錯誤,且無法加入網域,也無法將 vCenter 與 Active Directory 整合。
- 對於熟悉 LDAP 的使用者而言,設定組織單位可能會很有幫助。如果 組織單位 若此欄位留空,則會在預設位置建立一個 AD 中的電腦帳戶,該位置為 電腦 容器。您可以隨時將電腦物件移至 Active Directory 網域控制器上的所需組織單位。以下為填寫"組織單位"欄位的範例:
OU=單元1,DC=網域1,DC=網路
-
請輸入 Active Directory 網域管理員的用戶名稱和密碼。我們的網域管理員是 administrator@domain.net. 不過,您可以建立一個專用使用者(例如, vmwareadmin) 在網域控制器上,並將此使用者加入適當的網域管理員群組。
完成對話方塊後,請按一下
Join系統將提示您重新啟動 vCenter 裝置。
註: 如果您看到類似以下的錯誤訊息:
IDM 客戶端異常:嘗試加入 AD 時發生錯誤,錯誤代碼 [11], 使用者 [domain1/administrator], 網域 [domain1.net], orgUnit[]
請以 root 身分在 VCSA 主控台(命令列)中執行以下指令,並填入您的網域名稱及網域管理員名稱:
/opt/likewise/bin/domainjoin-cli join domain1.net administrator
-
若要透過 VMware vSphere Client 介面重新啟動 vCenter Server,請前往
Administration>System Configuration,選取您的 vCenter 節點,然後按一下Reboot node.此外,您也可以登入正在執行 vCenter Server 裝置虛擬機的 ESXi 主機上的 VMware Host Client,並重新啟動 VCSA 虛擬機。另一種解決方案是使用 VCSA 上的直接主控台使用者介面 (DCUI),並透過該介面選擇"重新啟動"選項。
- vCenter 重新啟動後,您可以前往
Administration>Single Sign On>Configuration>Identity Provider>Active Directory Domain(如同您稍早所做的那樣),並確認已成功連線至網域控制器,且您的 vCenter 現已成為網域成員。
- 您也可以確認您的 vCenter 伺服器是否已加入由 Windows Server 擔任網域控制器的網域。為此,請開啟
Active Directory Users and Computers,選擇您的網域,然後點擊Computers. 您可以看到我們的 vCenter 7 如下圖所示,該電腦是我們 Active Directory 網域的成員。
新增身分來源
在 vCenter Server 裝置 (VCSA) 加入網域並重新啟動後,我們現在可以開始新增 Active Directory 身分來源:
- 返回
Administration然後點擊Configuration根據Single Sign-On選單。點擊Identity Sources在Identity Provider選單頁籤,然後點擊ADD按鈕以新增身分來源。
- 我們選取
Active Directory (Integrated Windows Authentication)選項。既然我們已經將 vCenter 加入網域,Domain name該欄位會自動填入我們的網域名稱。我們可以保留Use machine account作為此處的預設選項。最後,完成身分來源的設定,然後按一下Add.
- 現在,在"身分來源"下方,我們可以看到我們的網域。您可以點擊
Set as default預設使用此 Active Directory 網域。
然後你就可以 在 vCenter 中建立角色 並為這些角色指派權限,然後將角色指派給 Active Directory 使用者。
結論
在您的環境中建立集中式的使用者驗證系統,並使用 Active Directory 進行 vSphere 使用者驗證,在許多情況下都相當實用。請務必 備份您的 Active Directory 請定期維護網域控制器和 vCenter Server 裝置,以避免因無法驗證使用者身分或管理基礎架構而導致的停機及相關問題。 NAKIVO Backup & Replication 這是一套專為 VMware vSphere 環境設計的完整資料保護解決方案。您可以利用此解決方案備份虛擬機器(VM)以及 Microsoft Active Directory 等應用程式。
