Comment joindre vCenter à un domaine Active Directory

Intégrer un vCenter Server Appliance (VCSA) à Microsoft Active Directory en tant que source d’identité simplifie et améliore la sécurité de la gestion des accès. En rejoignant vCenter à un domaine AD, les administrateurs de VMware vSphere peuvent utiliser la même source d’identité utilisée pour accorder l’accès aux serveurs de fichiers et autres ressources du réseau pour accorder l’accès aux objets vSphere. Continuez à lire pour apprendre les étapes pour rejoindre un vCenter à un domaine.

Comment ajouter un vCenter à un domaine Active Directory

Active Directory est une norme courante pour l’authentification centralisée des utilisateurs dans de nombreuses organisations. Active Directory peut également être utilisé pour authentifier les utilisateurs de VMware ESXi et VMware vCenter. Ensuite, nous pouvons attribuer les autorisations vSphere nécessaires aux utilisateurs du domaine Active Directory authentifiés.

Exigences

Il existe certaines exigences pour configurer l’intégration AD de vCenter:

• Un contrôleur de domaine Active Directory doit être configuré. Le contrôleur de domaine doit être accessible en écriture (et pas seulement en mode lecture seule).
• Le suffixe DNS utilisé pour un nom de domaine pleinement qualifié (FQDN) du serveur vCenter doit être correct.
• Les paramètres DNS de VCSA pour communiquer avec le contrôleur de domaine doivent être corrects.
• Le vCenter Server Appliance (VCSA) doit résoudre le nom DNS du contrôleur de domaine Active Directory en une adresse IP.

Remarque: Il est également possible de rejoindre un hôte ESXi autonome au domaine AD.

Comment rejoindre un vCenter au domaine

Nous devons joindre notre appliance VCSA à Active Directory en tant qu’objet afin d’activer l’authentification Windows intégrée (Active Directory). Cette option nous permet de transmettre les informations d’identification de l’utilisateur Windows connecté en tant qu’authentification au client Web vCenter. Notez que dans ce tutoriel, nous utilisons vCenter Server Appliance 7.0 avec un contrôleur de service de plateforme intégré.

Suivez les étapes suivantes pour configurer la connexion AD :

1. Connectez-vous en tant qu’administrateur SSO à vCenter en utilisant un navigateur Web et en accédant à la page du client VMware vSphere. Le nom d’administrateur par défaut est [email protected] (expliqué dans un article précédent sur le domaine vSphere SSO), qui est l’utilisateur admin configuré lors de l’installation de VCSA. Gardez également à l’esprit qu’il ne s’agit pas d’un utilisateur de domaine Windows Active Directory. Cependant, vous pouvez utiliser l’option Utiliser l’authentification de session Windows lorsque vous intégrez vCenter à Active Directory.
   
2. Une fois connecté au client Web en tant qu’administrateur SSO, cliquez sur l’icône de menu dans le coin supérieur gauche. Cliquez sur Administration dans le menu qui s’ouvre.
   
3. Cliquez sur Configuration sur la page Administration dans la section Single Sign On. Sélectionnez l’onglet Fournisseur d’identité, cliquez sur Domaine Active Directory, et cliquez sur JOINDRE AD pour rejoindre vCenter au domaine.

4. Cela fera apparaître une boîte de dialogue pour saisir le Domaine, Unité organisationnelle, Nom d’utilisateur et Mot de passe.
   • Entrez le nom de domaine Active Directory, par exemple, domain1.net. Notez que le nom de votre domaine SSO local existant (vsphere.local dans notre cas) et le nom du domaine Active Directory (domain1.net dans notre cas) doivent être différents. Si vous utilisez le même nom de domaine AD, vous obtiendrez une erreur et ne pourrez pas rejoindre le domaine ni intégrer vCenter avec Active Directory.
   • Le paramétrage d’une unité organisationnelle peut être utile pour ceux qui sont familiers avec LDAP. Si le champ Unité organisationnelle est laissé vide, alors un compte d’ordinateur dans AD est créé à l’emplacement par défaut, qui est un conteneur Ordinateurs. Vous pouvez toujours déplacer un objet d’ordinateur vers l’unité organisationnelle nécessaire sur votre contrôleur de domaine Active Directory. Un exemple de remplissage du champ Unité Organisationnelle :

     OU=Unit1,DC=domain1,DC=net

   • Entrez le nom d’utilisateur de l’administrateur de domaine Active Directory et le mot de passe. Notre administrateur de domaine est [email protected]. Cependant, vous pouvez créer un utilisateur dédié (par exemple, vmwareadmin) sur le contrôleur de domaine et ajouter cet utilisateur au groupe d’administrateurs de domaine approprié.

     Après avoir rempli la boîte de dialogue, cliquez sur Rejoindre et vous serez invité à redémarrer votre appliance vCenter.

   

   Note: Si vous rencontrez une erreur comme suit :
    
   Exception du client Idm : Erreur lors de la tentative de rejoindre AD, code d’erreur [11], utilisateur [domain1/administrator], domaine [domain1.net], orgUnit[]
    
   essayez d’exécuter la commande suivante dans le shell de console VCSA (ligne de commande) en tant que root avec votre nom de domaine et nom d’administrateur de domaine :
    
   /opt/likewise/bin/domainjoin-cli join domain1.net administrator

5. Pour redémarrer le serveur vCenter depuis l’interface du client VMware vSphere, accédez à Administration > Configuration du système, sélectionnez votre nœud vCenter, et cliquez sur Redémarrer le nœud.

   Alternativement, vous pouvez vous connecter au client VMware Host de l’hôte ESXi sur lequel s’exécute la machine virtuelle de l’appliance du serveur vCenter et redémarrer la machine virtuelle VCSA. Une autre solution consiste à utiliser l’interface utilisateur de la console directe (DCUI) sur la VCSA et à utiliser l’option Redémarrer là-bas.

   

6. Après le redémarrage du vCenter, vous pouvez aller à Administration > Authentification unique > Configuration > Fournisseur d’identité > Domaine Active Directory (comme vous l’avez fait plus tôt) et veiller à ce que la connexion au contrôleur de domaine soit réussie et que votre vCenter soit désormais membre du domaine.

7. Vous pouvez également vous assurer que votre machine vCenter a rejoint le domaine dans Windows Server agissant en tant que contrôleur de domaine. À cet effet, ouvrez Utilisateurs et ordinateurs Active Directory, sélectionnez votre domaine, et cliquez sur Ordinateurs. Vous pouvez voir que notre machine vcenter7 est membre de notre domaine Active Directory dans la capture d’écran ci-dessous.

Ajout de la source d’identité

Après que le serveur vCenter Appliance (VCSA) a été joint au domaine et redémarré, nous sommes maintenant prêts à ajouter notre source d’identité Active Directory :

1. Retournez à Administration et cliquez sur Configuration sous le menu Single Sign-On. Cliquez sur Sources d’identité dans l’onglet Fournisseur d’identité, puis cliquez sur le bouton AJOUTER pour ajouter une source d’identité.

2. Nous sélectionnons l’option Active Directory (Authentification Windows Intégrée). Maintenant que notre vCenter est joint au domaine, le champ Nom de domaine est automatiquement renseigné avec notre nom de domaine. Nous pouvons laisser l’option Utiliser le compte machine par défaut ici. Enfin, terminez la configuration de la source d’identité et cliquez sur Ajouter.

3. Maintenant, sous la source d’identité, nous pouvons voir notre domaine. Vous pouvez cliquer sur Définir comme par défaut pour utiliser ce domaine Active Directory par défaut.

Ensuite, vous pouvez créer des rôles dans vCenter et attribuer des privilèges à ces rôles, puis attacher un rôle à un utilisateur Active Directory.

Conclusion

Avoir un système centralisé pour l’authentification des utilisateurs dans votre environnement et utiliser Active Directory pour l’authentification des utilisateurs vSphere est utile dans de nombreuses situations. Assurez-vous de sauvegarder régulièrement votre contrôleur de domaine Active Directory et votre appliance de serveur vCenter pour éviter les temps d’arrêt et les problèmes causés par l’incapacité à authentifier les utilisateurs et à gérer l’infrastructure. NAKIVO Backup & Replication est une solution complète de protection des données pour les environnements VMware vSphere. Utilisez la solution pour sauvegarder vos machines virtuelles et vos applications comme Microsoft Active Directory.