كيفية الانضمام إلى vCenter إلى مجال Active Directory

بتكامل خادم vCenter Server Appliance (VCSA) مع Microsoft Active Directory كمصدر للهوية، يتم تبسيط وتحسين أمان إدارة الوصول. من خلال الانضمام إلى vCenter إلى نطاق AD، يمكن لمسؤولي VMware vSphere استخدام نفس مصدر الهوية المستخدم لمنح الوصول إلى خوادم الملفات وغيرها من الموارد على الشبكة لمنح الوصول إلى كائنات vSphere. اقرأ لتتعلم الخطوات التي يجب اتباعها للانضمام إلى vCenter إلى النطاق.

كيفية إضافة vCenter إلى نطاق Active Directory

Active Directory هو معيار شائع لمصادقة المستخدمين بشكل مركزي في العديد من المؤسسات. يمكن أيضًا استخدام Active Directory لمصادقة مستخدمي VMware ESXi و VMware vCenter. ثم يمكننا تعيين الصلاحيات اللازمة لـ vSphere للمستخدمين المصادق عليهم من نطاق Active Directory.

المتطلبات

هناك بعض المتطلبات لتكوين تكامل vCenter مع AD:

• يجب تكوين وحدة تحكم نطاق Active Directory. يجب أن تكون وحدة التحكم في النطاق قابلة للكتابة (وليس فقط في وضع القراءة فقط).
• يجب أن يكون اللاحقة DNS المستخدمة لاسم النطاق الكامل لخادم vCenter صحيحة.
• يجب أن تكون إعدادات DNS لـ VCSA للتواصل مع وحدة تحكم النطاق صحيحة.
• يجب على جهاز vCenter Server Appliance (VCSA) حل اسم DNS لوحدة تحكم نطاق Active Directory إلى عنوان IP.

ملاحظة: من الممكن أيضًا الانضمام إلى مضيف ESXi منفصل إلى نطاق AD.

كيفية الانضمام إلى vCenter إلى النطاق

نحتاج إلى الانضمام إلى جهاز VCSA إلى Active Directory ككائن لتمكين مصادقة Active Directory (المتكاملة مع نظام التشغيل ويندوز). تتيح لنا هذه الخيارات تمرير بيانات اعتماد المستخدم المسجَّل على نظام ويندوز كبيانات مصادقة إلى عميل ويب vCenter. يرجى ملاحظة أننا في هذا البرنامج التعليمي، نستخدم جهاز VCSA 7.0 مع مركز خدمة منصة مضمن.

قم باتباع الخطوات التالية لإعداد الاتصال بـ AD:

1. قم بتسجيل الدخول باسم مدير SSO إلى vCenter عن طريق استخدام متصفح الويب والانتقال إلى صفحة عميل VMware vSphere. اسم المسؤول الافتراضي هو [email protected] (المغطى في مشاركة سابقة عن مجال SSO لـ vSphere)، والذي هو المستخدم الإداري المعد خلال تثبيت VCSA. علماً بأن هذا المستخدم ليس مستخدمًا في مجال نظام التشغيل ويندوز Active Directory. ومع ذلك، يمكنك استخدام الخيار استخدام مصادقة جلسة Windows عند دمج vCenter مع Active Directory.
   
2. عندما تقوم بتسجيل الدخول إلى عميل الويب باسم مدير SSO، انقر فوق أيقونة القائمة في الزاوية اليسرى العليا. انقر على الإدارة في القائمة التي تفتح.
   
3. انقر على التكوين في صفحة الإدارة في قسم تسجيل الدخول الموحد. حدد علامة التبويب مزود الهوية، انقر على نطاق Active Directory، وانقر على الانضمام إلى AD للانضمام إلى vCenter إلى النطاق.

4. سيتم عرض مربع حوار لكتابة المجال, وحدة التنظيم, اسم المستخدم, و كلمة المرور.
   • أدخل اسم مجال Active Directory، على سبيل المثال، domain1.net. لاحظ أن اسم مجال SSO المحلي الحالي (vsphere.local في حالتنا) واسم مجال Active Directory (domain1.net في حالتنا) يجب أن يكونا مختلفين. إذا استخدمت نفس اسم مجال AD، فستحصل على خطأ ولن تتمكن من الانضمام إلى المجال ودمج vCenter مع Active Directory.
   • يمكن أن يكون تحديد وحدة تنظيم مفيدًا لأولئك الذين يعرفون LDAP. إذا ترك حقل وحدة التنظيم فارغًا، سيتم إنشاء حساب كمبيوتر في AD في الموقع الافتراضي، وهو حاوية الكمبيوترات. يمكنك دائمًا نقل كائن كمبيوتر إلى الوحدة التنظيمية المطلوبة على مراقب مجال Active Directory الخاص بك. مثال على كيفية ملء حقل وحدة التنظيم:

     OU=Unit1,DC=domain1,DC=net

   • أدخل اسم مستخدم مسؤول مجال Active Directory وكلمة المرور. مسؤول مجالنا هو [email protected]. ومع ذلك، يمكنك إنشاء مستخدم مخصص (على سبيل المثال، vmwareadmin) على مراقب مجال وإضافة هذا المستخدم إلى مجموعة مسؤولي المجال المناسبة.

     بعد إكمال مربع الحوار، انقر فوق انضمام وستُطلب منك إعادة تشغيل جهاز vCenter الخاص بك.

   

   ملاحظة: إذا رأيت خطأ مثل:
    
   استثناء عميل Idm: خطأ في محاولة الانضمام إلى AD، رمز الخطأ [11]، المستخدم [domain1/administrator]، المجال [domain1.net]، orgUnit[]
    
   حاول تشغيل الأمر التالي في وحدة التحكم الخاصة بـ VCSA (سطر الأوامر) كمستخدم root مع اسم مجالك واسم مسؤول مجالك:
    
   /opt/likewise/bin/domainjoin-cli join domain1.net administrator

5. لإعادة تشغيل خادم vCenter من واجهة مستخدم VMware vSphere Client، انتقل إلى الإدارة > تكوين النظام، حدد عقدة vCenter الخاصة بك، وانقر فوق إعادة تشغيل العقدة.

   بدلاً من ذلك، يمكنك تسجيل الدخول إلى عميل VMware Host لمضيف ESXi الذي يعمل عليه جهاز vCenter Server Appliance VM وإعادة تشغيل VCSA VM. الحل الآخر هو استخدام واجهة المستخدم للوحة التحكم المباشرة (DCUI) على VCSA واستخدام خيار إعادة التشغيل هناك.

   

6. بعد إعادة تشغيل vCenter، يمكنك الذهاب إلى الإدارة > تسجيل الدخول الفردي > التكوين > موفر الهوية > مجموعة ديناميكية Active Directory المجال (كما فعلت سابقًا) والتأكد من أن الاتصال بملحق دومين كونترولر ناجح وأن vCenter الخاص بك عضو المجال الآن.

7. يمكنك أيضًا التأكد من أن جهاز الكمبيوتر vCenter قد انضم إلى المجال في خادم Windows الذي يعمل كملحق دومين. لهذا الغرض، افتح Active Directory المستخدمين والأجهزة، حدد مجالك، وانقر أجهزة. يمكنك أن ترى أن جهاز الكمبيوتر vcenter7 هو عضو في مجموعة ديناميكية Active Directory المجال في المقطع التالي.

إضافة مصدر الهوية

بعد أن تم الانضمام إلى نظام vCenter Server Appliance (VCSA) إلى النطاق وإعادة التشغيل، نحن الآن جاهزون لإضافة مصدر الهوية الخاص بنا في Active Directory:

1. ارجع إلى الإدارة وانقر فوق التكوين تحت قائمة التوقيع الفردي. انقر فوق مصادر الهوية في علامة التبويب موفر الهوية ثم انقر فوق زر إضافة لإضافة مصدر هوية.

2. نختار الخيار Active Directory (المصادقة المتكاملة لنظام التشغيل ويندوز). الآن بعد أن تم الانضمام إلى vCenter لدينا إلى النطاق، يتم ملء حقل اسم النطاق تلقائيًا باسم النطاق الخاص بنا. يمكننا ترك الخيار استخدام حساب الجهاز كالافتراضي هنا. وأخيرًا، أكمل تكوين مصدر الهوية وانقر فوق إضافة.

3. تعيين كافة لاستخدام مجال

يمكنك إنشاء الأدوار في vCenter وتعيين الامتيازات لتلك الأدوار ثم ربط دور بمستخدم في Active Directory.

الاستنتاج

يُعد وجود نظام مركزي لمصادقة المستخدمين في بيئتك واستخدام Active Directory لمصادقة مستخدمي vSphere مفيدًا في العديد من الحالات. تأكد من نسخ احتياطي لخادم تحكم مجال Active Directory وجهاز خادم vCenter بانتظام لتجنب التوقف والمشاكل الناجمة عن عدم القدرة على مصادقة المستخدمين وإدارة البنية التحتية. NAKIVO Backup & Replication هو حلاً شاملاً لحماية البيانات لبيئات VMware vSphere. استخدم الحل لعمل نسخ احتياطية لآلات الافتراضية الخاصة بك وتطبيقات مثل Microsoft Active Directory.