So konfigurieren Sie eine vSphere-SSO-Domäne in vCenter

A key part of vSphere infrastructure administration is being able to assign roles and permissions for vSphere resources. Managing logins and privileges in a VMware vSphere vCenter Server environment is critical for several reasons. You want to allow granular permissions and also provide an audit trail of the actions performed in the vCenter environment.

Lassen Sie uns die wichtigsten Punkte betrachten, einschließlich der Zuweisung von Rollen oder Berechtigungen basierend auf vCenter Single Sign-On und Active Directory für die Konfiguration von vCenter SSO.

Was ist das vCenter SSO-Domäne?

VMware vCenter Single Sign-On (SSO) ist eine Authentifizierungskomponente von VMware vSphere für das Identitätsmanagement. SSO authentifiziert einen Benutzer, um auf verschiedene vSphere-Komponenten mit den Anmeldeinformationen eines einzigen Kontos zuzugreifen. SSO basiert auf einem sicheren Token-Mechanismus, der es ermöglicht, dass mehrere vSphere-Komponenten miteinander kommunizieren können.

Die Suite der VMware vSphere-Produkte integriert sich über den SSO-Authentifizierungsmechanismus mit vCenter. Dadurch können Sie SSO verwenden, um Ressourcen in der Suite zu steuern oder Berechtigungen dafür zu gewähren. Beachten Sie, dass SSO den VMware Horizon Identity Manager nicht ersetzt. Weitere Informationen finden Sie in unserem Beitrag zu VMware Horizon und VDI.

Ab vSphere 5.1 führte VMware SSO ein, um das Management mehrerer ESXi-Hosts und anderer vSphere-Ressourcen zu optimieren und die Sicherheit des vSphere-Authentifizierungsmechanismus mit denselben Benutzeranmeldeinformationen zu verbessern. SSO ermöglicht nicht nur die Active Directory-Authentifizierung, sondern auch jede andere Authentifizierungsquelle basierend auf Security Assertion Markup Language (SAML) 2.0.

Hinweis: Eine vCenter SSO-Identitätsquelle kann mit einer Domäne verknüpft werden, ersetzt jedoch nicht Active Directory. SSO kann mit Active Directory interagieren und Authentifizierung sowie zugehörige Abfragen an einen Active Directory-Domänencontroller weiterleiten. Sie müssen keine Active Directory-Domäne konfigurieren, um vCenter SSO zu verwenden, wenn Sie keinen AD-Domänencontroller in Ihrer Umgebung haben – SSO verfügt über einen internen Benutzerspeicher für Authentifizierungszwecke.

Wie vCenter SSO funktioniert

1. A user logs in to VMware vSphere Web Client.
2. Der SSO-Server empfängt den vom Benutzer eingegebenen Benutzernamen und das Passwort.
3. Die Anfrage wird vom SSO-Server an den entsprechenden Authentifizierungsmechanismus weitergeleitet, z. B. Active Directory oder lokale Authentifizierung.
4. Nach erfolgreicher Authentifizierung gibt SSO das Token an den VMware vSphere Client weiter.
5. Das Token kann zur Authentifizierung direkt bei vCenter Server und anderen VMware vSphere-Komponenten verwendet werden.

Die für vCenter Single Sign-On verwendeten Dienste sind:

• Benutzerauthentifizierung
• Sicherheitstoken-Dienst
• Authentifizierung über Zertifikate
• SSL für sicheren Datenverkehr

Die Benutzerauthentifizierung erfolgt über einen integrierten Identitätsanbieter von vCenter oder einen externen Identitätsanbieter (IdP). Der integrierte Anbieter unterstützt Active Directory, OpenLDAP, lokale Konten, integrierte Windows-Authentifizierung, Smartcard, Windows-Sitzungsauthentifizierung und RSA SecurID. Ein Sicherheitstokendienst stellt SAM-Tokens aus, die die Identität des Benutzers repräsentieren.

vCenter SSO-Konfiguration

Das SSO-Stück der vCenter-Infrastruktur wird vom Platform Services Controller verwaltet, wenn vCenter installiert ist. Der Platform Services Controller wird während der Konfiguration der vCenter Server Appliance (VCSA) eingerichtet, die als nahezu vorab konfiguriertes VM-Template in vSphere bereitgestellt wird. Die VCSA läuft auf dem auf Linux basierenden Photon OS. Der Platform Services Controller führt auch Zertifikatsdienste, Lizenzdienste, Authentifizierungs-Framework und Appliance-Verwaltung aus.

In den vCenter-Versionen v.6.7 und älter konnte der PSC als der Embedded Platform Services Controller oder als Externer Platform Services Controller konfiguriert werden. In vSphere v6.7 wurde der externe Platform Services Controller verworfen. In vSphere 7 können Sie vCenter nur unter Verwendung des Embedded Platform Services Controllers installieren.

Im untenstehenden Screenshot sehen Sie den Schritt 1 (Einführung) von Phase 1 bei der Installation von vCenter 7 und eine Warnmeldung, dass Sie den externen Platform Services Controller nicht mehr verwenden können.

Eine SSO-Domäne für vSphere wird während der Bereitstellung der VCenter Server Appliance konfiguriert. Weitere Details zur Konfiguration von vCenter SSO finden Sie im Schritt 3 von Phase 2 bei der Bereitstellung von vCenter (siehe den untenstehenden Screenshot). Der SSO-Administrator, das SSO-Kennwort, der SSO-Domänenname und der SSO-Site-Name werden während der Installation konfiguriert.

Sie können eine neue SSO-Domäne erstellen oder einer vorhandenen SSO-Domäne beitreten. Die vCenter SSO-Domäne, die Sie während der ersten Installation von vCenter erstellen, ist die Standard-Identitätsquelle in Ihrer VMware vSphere-Umgebung.

Die SSO-Domäne ist die Standard-Identitätsquelle der vSphere-Umgebung, wenn keine andere Authentifizierungsdomäne (wie z. B. Active Directory) angegeben ist. Wie bereits erwähnt, bietet SSO einen Token-Austauschmechanismus (basierend auf SAML) zur Authentifizierung bei Identitätsquellen wie Active Directory usw. Sie sollten auch beachten, dass Probleme auftreten können, wenn Sie die SSO-Domäne so einstellen, dass sie den AD-Domänennamen widerspiegelt. Viele wählen einen SSO-Domänennamen mit der Endung „.local“.

vCenter SSO-Domänenname: bewährte Verfahren

Die bewährten Verfahren für den vCenter SSO-Domänennamen umfassen die Verwendung des Domänennamens „vsphere.local“ in kleinen Umgebungen, aber er kann auch in großen Umgebungen verwendet werden. Der Domänenname „vsphere.local“ passt gut zur Interoperabilität in VMware vSphere, einschließlich der Komponenten wie vRealize Automation. Wenn Sie nicht sicher sind, welchen vCenter SSO-Domänennamen Sie verwenden sollen, verwenden Sie „vsphere.local“.

Der für die lokale Authentifizierung in vCenter verwendete SSO-Domänenname darf nicht mit dem Namen der vorhandenen Active Directory-Domäne übereinstimmen. Verwenden Sie nach der Installation von vCenter eine Active Directory-Integration, um die AD-Domäne und deren Namen bei Bedarf zu verwenden. Geben Sie einen vCenter SSO-Domänennamen mit Kleinbuchstaben ein.

Nach der Installation kann die Konfiguration der vCenter SSO bearbeitet werden.

Melden Sie sich mit Ihrem vorhandenen Administrator-Konto an der Web-Benutzeroberfläche des VMware vSphere Client an, um vCenter zu verwalten, z.B. [email protected].

Hinweis: Wenn Sie zum Verwalten von vCenter einen Browser verwenden, um VMware vSphere Client von einem Windows-Computer aus aufzurufen, der Mitglied einer Active Directory-Domäne ist (nachdem Sie in Windows als Domänenbenutzer angemeldet sind), und diese Domäne als vCenter SSO-Domäne konfiguriert ist, können Sie Die Windows-Sitzungsauthentifizierung verwenden für mehr Komfort auswählen. Wenn dieses Kontrollkästchen grau hinterlegt ist (inaktiv), müssen Sie das Enhanced Authentication Plugin herunterladen. Im Folgenden erläutern wir die Konfiguration von vCenter SSO unter Verwendung einer vorhandenen Active Directory-Domäne.

Hinzufügen einer Active Directory-Domäne

Wir können die Integration der vCenter-Authentifizierung mit Active Directory konfigurieren und die Active Directory-Domäne als vCenter SSO-Domäne verwenden. Wir nehmen an, dass Sie bereits einen Active Directory-Domänencontroller konfiguriert haben und nicht auf die Einzelheiten des AD-Konfigurationsprozesses in Windows Server eingehen werden. Denken Sie daran, dass Sie regelmäßige Active Directory-Backups erstellen sollten, insbesondere wenn viele Dienste AD zur Authentifizierung verwenden.

Führen Sie die folgenden Aktionen aus, um die vCenter SSO-Konfiguration zu bearbeiten und mit Active Directory zu integrieren:Klicken Sie auf das Menüsymbol oben links in der Web-Benutzeroberfläche. Scrollen Sie im linken Bereich zur Single Sign On-Sektion und klicken Sie auf Konfiguration.

1. Klicken Sie auf das Menüsymbol in der oberen linken Ecke der Webschnittstelle. Scrollen Sie zum Single Sign On Abschnitt im linken Bereich und klicken Sie auf Konfiguration.
2. Wählen Sie den Identity Provider Tab und wählen Sie dann Active Directory-Domäne.
3. Klicken Sie auf AD beitreten, um die Active Directory-Domäne für vCenter Single Sign-On (als vCenter SSO-Domäne) zu verbinden.

4. Geben Sie einen Domänennamen ein, wählen Sie eine Organisations-Einheit (optional) und geben Sie die Anmeldeinformationen für den AD-Domänenadministrator ein (Benutzername und Passwort).
5. Klicken Sie auf Beitreten und starten Sie die vCenter-Instanz (VCSA) neu, um die Änderungen anzuwenden.

Identitätsanbieter

Sie können eine alternative Identitätsquelle für Ihre vCenter Single Sign On-Domäne verwenden.

1. Gehen Sie zu Verwaltung> Single Sign On> Konfiguration im VMware vSphere Client und klicken Sie auf Identitätsquellen im Identity Provider Tab.
2. Wählen Sie die verfügbare Identitätsquelle aus oder klicken Sie auf Hinzufügen, um eine neue hinzuzufügen.

Sie können den Lokale Konten Tab auswählen und die Ablaufzeit des Kennworts sowie andere Kennwortrichtlinien konfigurieren.

Benutzer und Gruppen verwalten

Nachdem Sie eine vCenter SSO-Domäne konfiguriert haben, können Sie Benutzer erstellen und die Benutzer Gruppen hinzufügen, um die entsprechenden Berechtigungen zu erteilen.

1. Klicken Sie auf Benutzer und Gruppen im Single Sign On Abschnitt im linken Bereich der vCenter-Verwaltungsseite.
2. Wählen Sie den Benutzer-Tab.
3. Wählen Sie eine Domäne, die eine Standard- (integrierte) vsphere.local-Domäne oder eine manuell hinzugefügte Active Directory-Domäne sein kann, die als vCenter Single Sign-On-Domäne verwendet werden soll.
4. Klicken Sie auf Hinzufügen, um einen neuen Benutzer für die ausgewählte Domäne hinzuzufügen.
5. Füllen Sie die erforderlichen Felder aus und speichern Sie die Einstellungen.

Die Vorteile des Gruppenmanagements bestehen darin, dass Berechtigungen einer Gruppe zugewiesen und mehrere Benutzer automatisch mit den entsprechenden Berechtigungen zur Gruppe hinzugefügt werden können.

1. Wählen Sie den Gruppen-Tab auf der Seite Benutzer und Gruppen aus.
2. Klicken Sie auf Mitglieder hinzufügen.

3. Füllen Sie die erforderlichen Felder aus, wie z. B. Gruppenname, und wählen Sie aus, aus welcher Domäne Mitglieder hinzugefügt werden sollen. Es kann sich um eine integrierte vCenter SSO-Domäne wie vsphere.local oder um eine Active Directory-Domäne handeln.
4. Fügen Sie die Mitglieder (Benutzer oder Gruppen) aus den ausgewählten Domänen hinzu und klicken Sie auf Speichern.

Löschen Sie keine vordefinierten Benutzer und Gruppen (diejenigen, die nach der sauberen Installation von vCenter existieren).

Zusammenfassung

Es wird empfohlen, Ihre vCenter Server Appliance-VMs und Maschinen, auf denen Active Directory-Domänencontroller ausgeführt werden, zu sichern. Diese Maschinen werden für die zentrale Verwaltung und Authentifizierung verwendet, und ein Ausfall kann schwerwiegende Folgen und Ausfallzeiten haben.