Cómo unir vCenter a un dominio de Active Directory

Tutoriales
VMware

Integrar un Appliance de Servidor vCenter (VCSA) con Microsoft Active Directory como fuente de identidad simplifica y mejora la seguridad de la gestión de accesos. Al unir vCenter a un dominio AD, los administradores de VMware vSphere pueden usar la misma fuente de identidad utilizada para conceder acceso a servidores de archivos y otros recursos en la red para conceder acceso a objetos de vSphere. Siga leyendo para aprender los pasos sobre cómo unir vCenter al dominio.

Cómo Agregar vCenter a un Dominio de Active Directory

Active Directory es un estándar común para la autenticación centralizada de usuarios en muchas organizaciones. Active Directory también se puede utilizar para autenticar usuarios de VMware ESXi y VMware vCenter. Luego podemos asignar los permisos de vSphere necesarios para los usuarios autenticados del dominio Active Directory.

Requisitos

Hay algunos requisitos para configurar la integración de AD de vCenter:

  • Se debe configurar un controlador de dominio de Active Directory. El controlador de dominio debe ser escribible (y no solo en modo de solo lectura).
  • El sufijo DNS utilizado para un nombre de dominio completamente cualificado (FQDN) del Servidor vCenter debe ser correcto.
  • La configuración DNS de VCSA para comunicarse con el controlador de dominio debe ser correcta.
  • El Appliance de Servidor vCenter (VCSA) debe resolver el nombre DNS del controlador de dominio de Active Directory a una dirección IP.

Nota: También es posible unir un host ESXi independiente al dominio AD.

Cómo unirse a vCenter al dominio

Necesitamos unir nuestro aparato VCSA al Active Directory como un objeto para habilitar la Autenticación Integrada de Windows de Active Directory. Esta opción nos permite pasar las credenciales de usuario de Windows conectado como autenticación al Cliente Web de vCenter. Tenga en cuenta que en este tutorial, estamos utilizando Appliance del Servidor vCenter 7.0 con un controlador de servicios de plataforma integrado.

Complete los siguientes pasos para configurar la conexión AD:

  1. Inicie sesión como el administrador SSO en vCenter utilizando un navegador web y diríjase a la página del Cliente VMware vSphere. El nombre de administrador predeterminado es [email protected] (cubierto en una publicación anterior sobre el dominio SSO de vSphere), que es el usuario administrador configurado durante la instalación de VCSA. Además, tenga en cuenta que este no es un usuario de dominio de Active Directory de Windows. Sin embargo, puede usar la opción Usar autenticación de sesión de Windows al integrar vCenter con Active Directory.
  2. Una vez que haya iniciado sesión en el Cliente Web como administrador SSO, haga clic en el icono de menú en la esquina superior izquierda. Haga clic en Administración en el menú que se abre.
  3. Haz clic en Configuración en la página de Administración en la sección de Inicio de Sesión Único. Selecciona la pestaña de Proveedor de Identidad, haz clic en Dominio de Active Directory, y haz clic en UNIRSE A AD para unir vCenter al dominio.
  1. Esto abrirá un cuadro de diálogo para escribir el Dominio, Unidad organizativa, Nombre de usuario y Contraseña.
    • Introduce el nombre del dominio de Active Directory, por ejemplo, dominio1.net. Ten en cuenta que el nombre de tu dominio SSO local existente (vsphere.local en nuestro caso) y el nombre del dominio de Active Directory (dominio1.net en nuestro caso) deben ser diferentes. Si usas el mismo nombre de dominio AD, obtendrás un error y no podrás unirte al dominio ni integrar vCenter con Active Directory.
    • Establecer una unidad organizativa puede ser útil para aquellos que están familiarizados con LDAP. Si el campo Unidad organizativa se deja vacío, se crea una cuenta de equipo en AD en la ubicación predeterminada, que es un contenedor de Equipos. Siempre puedes mover un objeto de equipo a la unidad organizativa necesaria en tu controlador de dominio de Active Directory. Un ejemplo de cómo completar el campo Unidad Organizativa:

      OU=Unidad1,DC=dominio1,DC=net

    • Introduce el nombre de usuario del administrador de dominio de Active Directory y la contraseña. Nuestro administrador de dominio es [email protected]. Sin embargo, puedes crear un usuario dedicado (por ejemplo, vmwareadmin) en el controlador de dominio y añadir este usuario al grupo de administradores de dominio correspondiente.

      Después de completar el cuadro de diálogo, haz clic en Unirse y se te pedirá reiniciar tu dispositivo vCenter.

    Nota: Si ves un error como:
     
    Excepción del cliente Idm: Error al intentar unirse a AD, código de error [11], usuario [dominio1/administrador], dominio [dominio1.net], orgUnit[]
     
    intenta ejecutar el siguiente comando en la consola shell de VCSA (línea de comandos) como root con el nombre de tu dominio y el nombre del administrador de dominio:
     
    /opt/likewise/bin/domainjoin-cli join dominio1.net administrador

  1. Para reiniciar el servidor vCenter desde la interfaz de VMware vSphere Client, ve a Administración > Configuración del sistema, selecciona tu nodo vCenter, y haz clic en Reiniciar nodo.

    Alternativamente, puedes iniciar sesión en el Cliente de Host de VMware del host ESXi en el que se está ejecutando la máquina virtual del Appliance del Servidor vCenter y reiniciar la VM de VCSA. Otra solución es utilizar la interfaz de usuario de la Consola Directa (DCUI) en el VCSA y usar la opción de Reiniciar allí.

  1. Después del reinicio del vCenter, puedes ir a Administración > Inicio de Sesión Único > Configuración > Proveedor de Identidad > Domino de Active Directory (como hiciste anteriormente) y asegurarte de que la conexión al controlador de dominio sea exitosa y que tu vCenter sea ahora un miembro del dominio.
  1. También puedes asegurarte de que tu máquina vCenter se haya unido al dominio en el Servidor Windows que actúa como controlador de dominio. Para este propósito, abre Usuarios y Equipos de Active Directory, selecciona tu dominio y haz clic en Equipos. Puedes ver que nuestra máquina vcenter7 es un miembro de nuestro dominio de Active Directory en la captura de pantalla a continuación.

Agregando la fuente de identidad;

Después de que el Servidor de vCenter Appliance (VCSA) se haya unido al dominio y reiniciado, ahora estamos listos para agregar nuestra fuente de identidad de Active Directory:

  1. Vuelva a Administración y haga clic en Configuración bajo el menú Inicio de sesión único. Haga clic en Fuentes de identidad en la pestaña Proveedor de identidad y luego haga clic en el botón AGREGAR para agregar una fuente de identidad.
  1. Seleccionamos la opción Active Directory (Autenticación Integrada de Windows). Ahora que hemos unido nuestro vCenter al dominio, el campo Nombre del dominio se rellena automáticamente con nuestro nombre de dominio. Podemos dejar la opción Usar cuenta de máquina como la opción predeterminada aquí. Finalmente, complete la configuración de la fuente de identidad y haga clic en Agregar.
  1. Ahora, bajo la fuente de identidad, podemos ver nuestro dominio. Puedes hacer clic en Establecer como predeterminado para utilizar este dominio de Active Directory por defecto.

Luego puedes crear roles en vCenter y asignar privilegios a esos roles y luego adjuntar un rol a un usuario de Active Directory.

Conclusión

Tener un sistema centralizado para la autenticación de usuarios en tu entorno y utilizar Active Directory para la autenticación de usuarios de vSphere es útil en muchas situaciones. Asegúrate de respaldar regularmente tu controlador de dominio de Active Directory y el servidor de vCenter para evitar tiempos de inactividad y problemas causados por la imposibilidad de autenticar usuarios y administrar la infraestructura. NAKIVO Backup & Replication es una solución completa de protección de datos para entornos de VMware vSphere. Utiliza la solución para hacer copias de seguridad de tus MV y aplicaciones como Microsoft Active Directory.

Source:
https://www.nakivo.com/blog/vmware-vsphere-active-directory-integration/