A key part of vSphere infrastructure administration is being able to assign roles and permissions for vSphere resources. Managing logins and privileges in a VMware vSphere vCenter Server environment is critical for several reasons. You want to allow granular permissions and also provide an audit trail of the actions performed in the vCenter environment.
لنلقِ نظرة على النقاط الرئيسية، بما في ذلك تعيين الأدوار أو الصلاحيات استنادًا إلى vCenter Single Sign-On وActive Directory لتكوين vCenter SSO.
ما هو نطاق vCenter SSO؟
VMware vCenter Single Sign-On (SSO) هو مكون المصادقة في VMware vSphere لإدارة الهوية. يُصادق SSO على مستخدم للوصول إلى مكونات vSphere المختلفة باستخدام بيانات اعتماد حساب واحد. يعتمد SSO على آلية رمز آمن للسماح لمكونات vSphere المتعددة بالتواصل مع بعضها البعض.
تتكامل مجموعة منتجات VMware vSphere مع vCenter من خلال آلية المصادقة SSO. يتيح لك ذلك استخدام SSO للتحكم في الموارد أو منح الصلاحيات للموارد عبر المجموعة. يرجى ملاحظة أن SSO لا يحل محل مدير الهوية VMware Horizon Identity Manager. اطلع على المزيد في مقالتنا VMware Horizon and VDI.
ابتداءً من vSphere 5.1، قدمت VMware SSO لتبسيط إدارة عدة مضيفي ESXi وموارد vSphere أخرى وتحسين أمان آلية المصادقة في vSphere باستخدام نفس بيانات اعتماد المستخدم. يتيح SSO ليس فقط المصادقة على Active Directory، ولكن أيضًا أي مصدر مصادقة آخر استنادًا إلى Security Assertion Markup Language (SAML) 2.0.
ملاحظة أن مصدر الهوية لـ vCenter SSO يمكن أن يكون مرتبطًا بنطاق ولكنه ليس بديلاً ل Active Directory. يمكن لـ SSO التفاعل مع Active Directory وتوحيد المصادقة والاستعلامات ذات الصلة إلى مراقب مجال Active Directory. لا يلزمك تكوين نطاق Active Directory لاستخدام vCenter SSO إذا لم يكن لديك مراقب نطاق AD في بيئتك – لـ SSO متجر مستخدمين داخلي لأغراض المصادقة.
كيف يعمل vCenter SSO
- A user logs in to VMware vSphere Web Client.
- يستقبل خادم SSO اسم المستخدم وكلمة المرور التي أدخلها المستخدم.
- يُرسل الطلب من خلال خادم SSO إلى آلية المصادقة المناسبة، مثل Active Directory أو المصادقة المحلية.
- بعد المصادقة الناجحة، يمر SSO الرمز إلى عميل VMware vSphere.
- يمكن استخدام الرمز للمصادقة مباشرة مع خادم vCenter ومكونات VMware vSphere الأخرى.
الخدمات المستخدمة لـ vCenter Single Sign-On هي:
- مصادقة المستخدم
- خدمة الرمز الأمني
- المصادقة من خلال الشهادات
- SSL لحركة المرور الآمنة
تتم المصادقة للمستخدم من خلال موفر هوية مدمج في vCenter أو موفر هوية خارجي (IdP). يدعم الموفر المدمج Active Directory و OpenLDAP والحسابات المحلية والمصادقة المتكاملة مع Windows وبطاقة ذكية ومصادقة جلسة Windows و RSA securID. تصدر خدمة الرمز الأمني رموز SAM التي تمثل هوية المستخدم.
تكوين vCenter SSO
يتم التعامل مع جزء SSO من بنية vCenter عند تثبيت Platform Services Controller. يتم إعداد Platform Services Controller أثناء تكوين جهاز الخادم vCenter Appliance (VCSA)، والذي يتم توفيره كقالب VM معد تقريبًا ونشره في vSphere. يعمل VCSA على نظام التشغيل القائم على Linux التابع لـ Photon OS. كما يدير Platform Services Controller خدمات الشهادات وخدمات الترخيص والإطار المصادقة وإدارة الجهاز.
في إصدارات vCenter v.6.7 والإصدارات الأقدم، كان بإمكان تكوين PSC كـ Embedded Platform Services Controller أو External Platform Services Controller. في vSphere v6.7، تم إيقاف تشغيل External Platform Services Controller. في vSphere 7، يمكنك تثبيت vCenter باستخدام Embedded Platform Services Controller فقط.
في اللقطة الشاشة أدناه، يمكنك رؤية الخطوة 1 (المقدمة) من المرحلة 1 عند تثبيت vCenter 7 ورسالة تحذير بأنه لم يعد بإمكانك استخدام External Platform Services Controller.
يتم تكوين مجال SSO لـ vSphere أثناء نشر جهاز خادم vCenter. يمكنك رؤية المزيد من التفاصيل حول تكوين vCenter SSO في الخطوة 3 من المرحلة 2 عند نشر vCenter (انظر اللقطة الشاشة أدناه). يتم تكوين مسؤول SSO وكلمة مرور SSO واسم مجال SSO واسم موقع SSO أثناء التثبيت.
يمكنك إنشاء نطاق SSO جديد أو الانضمام إلى نطاق SSO موجود. يعد نطاق SSO vCenter الذي تنشئه أثناء تثبيت vCenter الأول هو المصدر الافتراضي للهوية في بيئة VMware vSphere الافتراضية الخاصة بك.
نطاق SSO هو مصدر الهوية الافتراضي لبيئة vSphere عندما لا يتم تحديد نطاق المصادقة الآخر (مثل Active Directory). كما ذكر بالفعل، يوفر SSO آلية تبادل الرموز (بناءً على SAML) للمصادقة باستخدام مصادر الهوية مثل Active Directory، وما إلى ذلك. يجب أيضًا أن تضع في اعتبارك أن المشاكل قد تنشأ إذا قمت بتعيين نطاق SSO ليكون مشابهًا لاسم نطاق AD. يختار الكثيرون اسم نطاق SSO مع امتداد “local”.
اسم نطاق vCenter SSO: الممارسات الأفضل
تشمل الممارسات الأفضل لاسم نطاق vCenter SSO استخدام اسم النطاق “vsphere.local” في البيئات الصغيرة، ولكن يمكن أيضًا استخدامه في البيئات الكبيرة. يتناسب اسم نطاق SSO “vsphere.local” جيدًا مع التشغيل المتكامل في VMware vSphere، بما في ذلك المكونات مثل vRealize Automation. إذا لم تكن متأكدًا من اسم نطاق vCenter SSO المستخدم، استخدم “vsphere.local”.
يجب ألا يكون اسم نطاق SSO المستخدم للمصادقة المحلية في vCenter هو نفس اسم نطاق Active Directory الموجود. استخدم التكامل مع Active Directory لاستخدام نطاق AD واسمه إذا لزم الأمر بعد تثبيت vCenter. أدخل اسم نطاق vCenter SSO باستخدام أحرف صغيرة.
تكوين vCenter SSO بعد التثبيت
يمكنك تحرير تكوين vCenter SSO بعد نشر VMware vCenter Server.
قم بتسجيل الدخول إلى واجهة الويب لعميل VMware vSphere باستخدام حساب المسؤول الحالي لإدارة vCenter، على سبيل المثال، [email protected].
ملاحظة: إذا كنت تستخدم متصفحًا للوصول إلى عميل VMware vSphere من جهاز Windows الذي يعتبر عضوًا في نطاق Active Directory (بعد تسجيل الدخول إلى Windows كمستخدم في النطاق)، وتم تكوين هذا النطاق كنطاق SSO لـ vCenter، يمكنك تحديد استخدام مصادقة جلسة Windows لمزيد من الراحة. إذا كانت هذه الخانة مخطوطة باللون الرمادي (غير نشطة)، فيجب عليك تنزيل مكون التوثيق المحسّن. فيما يلي شرح لتكوين SSO لـ vCenter باستخدام نطاق Active Directory الحالي.
إضافة نطاق Active Directory
يمكننا تكوين الاندماج بين مصادقة vCenter وActive Directory واستخدام نطاق Active Directory كنطاق SSO لـ vCenter. نفترض أن لديك بالفعل وحدة تحكم نطاق Active Directory مكونة ولن ندخل في تفاصيل عملية تكوين AD في Windows Server. تذكر أنه يجب عليك إنشاء نسخ احتياطية منتظمة لنطاق Active Directory، خاصة إذا كانت العديد من الخدمات تستخدم AD للمصادقة.
قم باتخاذ الإجراءات التالية لتحرير تكوين SSO لـ vCenter ودمجه مع Active Directory:
- انقر فوق أيقونة القائمة في الزاوية اليسرى العلوية من واجهة الويب. انتقل إلى قسم Single Sign On في اللوح الأيسر وانقر على Configuration.
- حدد علامة التبويب مزود الهوية ثم حدد Active Directory Domain.
- انقر على Join AD للانضمام إلى نطاق Active Directory الذي سيتم استخدامه لـ vCenter Single Sign-On (كمجال vCenter SSO).
- أدخل اسم المجال، وحدد وحدة المنظمة (اختياري)، وأدخل بيانات اعتماد مسؤول نطاق AD (اسم المستخدم وكلمة المرور).
- انقر على Join وأعد تشغيل مثيل vCenter (VCSA) لتطبيق التغييرات.
مزود الهوية
يمكنك استخدام مصدر هوية بديل لنطاق vCenter Single Sign On الخاص بك.
- انتقل إلى Administration> Single Sign On> Configuration في عميل VMware vSphere وانقر على مصادر الهوية في علامة التبويب مزود الهوية.
- حدد مصدر الهوية المتاح أو انقر على Add لإضافة واحد جديد.
يمكنك تحديد علامة التبويب Local accounts وتكوين وقت انتهاء صلاحية كلمة المرور وسياسات كلمة المرور الأخرى.
إدارة المستخدمين والمجموعات
بمجرد تكوين نطاق vCenter SSO، يمكنك إنشاء مستخدمين وإضافتهم إلى مجموعات لتوفير الأذونات المناسبة.
- انقر على Users and Groups تحت قسم Single Sign On في اللوح الأيسر لصفحة إدارة vCenter.
- حدد علامة المستخدمين.
- اختر نطاقًا يمكن أن يكون افتراضيًا (مضمنًا) كنطاق vsphere.local أو نطاق Active Directory قمت بإضافته يدويًا لاستخدامه كنطاق تسجيل واحد لـ vCenter.
- انقر فوق إضافة لإضافة مستخدم جديد للنطاق المحدد.
- املأ الحقول المطلوبة واحفظ الإعدادات.
من مزايا إدارة المجموعات هو القدرة على تعيين الأذونات اللازمة لمجموعة وإضافة مستخدمين متعددين إلى المجموعة لمنحهم الأذونات تلقائيًا.
- حدد علامة المجموعات على الصفحة المستخدمين والمجموعات.
- انقر فوق إضافة أعضاء.
- املأ الحقول المطلوبة، مثل اسم المجموعة، وحدد من أي نطاق لإضافة الأعضاء. يمكن أن يكون ذلك نطاقًا مدمجًا لـ vCenter SSO مثل vsphere.local أو نطاق Active Directory.
- أضف الأعضاء (مستخدمين أو مجموعات) من النطاقات المحددة وانقر فوق حفظ.
لا تقم بحذف المستخدمين والمجموعات المحددة مسبقًا (التي توجد بعد تثبيت vCenter النظيف).
اختتام
يوصى بعمل نسخ احتياطية لـ أجهزة VMs لـ vCenter Server Appliance وأجهزة تشغيل مراقبي نطاق Active Directory. تُستخدم هذه الأجهزة للإدارة المركزية والمصادقة، ويمكن أن يؤدي أي فشل إلى عواقب خطيرة وتوقف في الخدمة.
Source:
https://www.nakivo.com/blog/vsphere-authentication-vcenter-single-sign-on/