כיצד להגדיר תחום vSphere SSO ב־vCenter

מדריכים
VMware

A key part of vSphere infrastructure administration is being able to assign roles and permissions for vSphere resources. Managing logins and privileges in a VMware vSphere vCenter Server environment is critical for several reasons. You want to allow granular permissions and also provide an audit trail of the actions performed in the vCenter environment.

בואו נסתכל על נקודות מרכזיות, כולל הקצאת תפקידים או הרשאות בהתבסס על vCenter Single Sign-On ו-Active Directory להגדרת vCenter SSO.

מהו תחום vCenter SSO?

VMware vCenter Single Sign-On (SSO) הוא רכיב אימות של VMware vSphere לניהול זהות. SSO מאמת משתמש כדי לגשת לרכיבים שונים של vSphere באמצעות פרטי כניסה של חשבון יחיד. SSO מתבסס על מנגנון טוקן מאובטח כדי לאפשר לרכיבים שונים של vSphere לתקשר זה עם זה.

סדרת מוצרי VMware vSphere משתלבת עם vCenter דרך מנגנון האימות של SSO. זה מאפשר לך להשתמש ב-SSO כדי לשלוט או להעניק הרשאות למשאבים בסדרה. שימו לב ש-SSO אינו מחליף את מנהל הזהות של VMware Horizon. לקבלת מידע נוסף, ראו את הפוסט שלנו על VMware Horizon ו-VDI.

החל מ-vSphere 5.1, VMware הכניסה את SSO כדי לייעל את ניהול המארחים הרבים של ESXi ומשאבי vSphere אחרים ולשפר את אבטחת מנגנון האימות של vSphere עם אותן פרטי כניסה של המשתמש. SSO מאפשר לא רק אימות של Active Directory, אלא גם כל מקור אימות אחר המבוסס על שפת סימון של מאמץ אבטחה (SAML) 2.0.

הערה כי מקור זהות של vCenter SSO יכול להיות מקושר עם תחום, אך זה אינו מחליף ל-Active Directory. SSO יכול להתקשר עם Active Directory ולפדרציה אימות ושאילתות קשורות לבקר של תחום Active Directory. אין צורך להגדיר תחום של Active Directory כדי להשתמש ב- vCenter SSO אם אין לך בקר של תחום AD בסביבתך – SSO כולל חנות משתמשים פנימית לצורך אימות.

איך עובד vCenter SSO

  1. A user logs in to VMware vSphere Web Client.
  2. השרת SSO מקבל את שם המשתמש והסיסמה שהוזנו על ידי המשתמש.
  3. הבקשה מועברת על ידי שרת ה-SSO למנגנון האימות המתאים, כגון Active Directory או אימות מקומי.
  4. לאחר האימות המוצלח, SSO מעביר את האסימון ל-VMware vSphere Client.
  5. האסימון יכול לשמש לאימות ישיר עם שרת vCenter ורכיבי VMware vSphere אחרים.

השירותים המשמשים ל- vCenter Single Sign-On הם:

  • אימות משתמש
  • שירות אסימונים אבטחה
  • אימות דרך תעודות
  • SSL לתעבורה מאובטחת

אימות משתמש מבוצע דרך ספק זהות מובנה של vCenter או ספק זהות חיצוני (IdP). הספק המובנה תומך ב-Active Directory, OpenLDAP, חשבונות מקומיים, אימות משולב של Windows, כרטיס חכם, אימות ישיבת Windows, ו-RSA securID. שירות אסימונים אבטחה מנפיק אסימונים SAM שמייצגים את זהות המשתמש.

הגדרת vCenter SSO

חלק ה-SSO של התשתיות של vCenter נמצא באחריות של מנהל השירותים של הפלטפורמה כאשר vCenter מותקן. מנהל השירותים של הפלטפורמה מוגדר במהלך התקנת מכונת השרת של vCenter (VCSA), שסופקת כתבלת תצורה מראש כמעט הוכן לשימוש ומוטמעת ב-vSphere. VCSA פועלת על מערכת הפעלה Linux-based Photon OS. מנהל השירותים של הפלטפורמה מריץ גם שירותי אישור, שירותי רישיון, מסגרת אימות וניהול יישום.

בגרסאות של vCenter v.6.7 וגרסאות ישנות יותר, ניתן היה להגדיר את מנהל השירותים של הפלטפורמה כ-Embedded Platform Services Controller או כ-External Platform Services Controller. ב-vSphere v6.7, מנהל השירותים של הפלטפורמה החיצוני הוצהר כמוצג. ב-vSphere 7, תוכל להתקין את vCenter באמצעות מנהל השירותים המוטמע בלבד.

בצילום מסך למטה, תוכל לראות שלב 1 (היבואה) של שלב 1 בעת התקנת vCenter 7 והודעת אזהרה שאין ניתן יותר להשתמש במנהל השירותים החיצוני של הפלטפורמה.

תחום SSO עבור vSphere מוגדר במהלך התקנת מכונת השרת של vCenter. ניתן לראות פרטים נוספים להגדרת SSO של vCenter בשלב 3 של שלב 2 בעת התקנת vCenter (ראה את הצילום מסך למטה). המנהל של SSO, הסיסמה, שם התחום של SSO ושם האתר של SSO מוגדרים במהלך התקנה.

ניתן ליצור דומיין SSO חדש או להצטרף לדומיין SSO קיים. הדומיין SSO שתיצור במהלך ההתקנה הראשונית של vCenter הוא מקור הזהות ברירת המחדל בסביבת ה-vSphere הווירטואלית של VMware שלך.

הדומיין SSO הוא מקור הזהות ברירת המחדל בסביבת ה-vSphere כאשר לא צוין דומיין אימות אחר (כגון Active Directory). כפי שצוין כבר, SSO מספק מנגנון החלפת טוקנים (מבוסס על SAML) לאימות עם מקורות זהות כגון Active Directory, וכו'. עליך גם לזכור שבעיות עשויות להתעורר אם תגדיר את שם הדומיין SSO כדי לשקף את שם הדומיין של AD. רבים בוחרים בשם דומיין SSO עם סיומת ".local".

שם דומיין SSO של vCenter: מומלץ

המומלץ להשתמש בשם דומיין SSO vsphere.local בסביבות קטנות, אך זה יכול להיות בשימוש גם בסביבות גדולות. שם הדומיין SSO vsphere.local מתאים היטב לאינטרואפילביליות ב-VMware vSphere, כולל הרכיבים כגון vRealize Automation. אם אינך בטוח איזה שם דומיין SSO של vCenter להשתמש בו, השתמש ב-vsphere.local.

שם הדומיין SSO המשמש לאימות מקומי ב-vCenter לא יכול להיות זהה לשם הדומיין של Active Directory הקיים. השתמש באינטגרציה של Active Directory כדי להשתמש בדומיין AD ובשמו אם נדרש אחרי התקנת vCenter. הזן שם דומיין SSO של vCenter באותיות קטנות.

הגדרת SSO של vCenter לאחר התקנה

ניתן לערוך את ההגדרות של SSO של vCenter לאחר פריסת שרת VMware vCenter.

התחבר לממשק האינטרנט של VMware vSphere Client באמצעות החשבון המנהל הקיים שלך כדי לנהל את vCenter, לדוגמה, [email protected].

הערה: אם אתה משתמש בדפדפן כדי לנהל את vCenter ואתה נכנס ממחשב עם מערכת הפעלה Windows שהוא חבר של תחום Active Directory (אחרי התחברות ב-Windows כמשתמש של התחום), והתחום הזה מוגדר כתחום vCenter SSO, תוכל לבחור השתמש באימות של הסשן של Windows לנוחות נוספת. אם תיבת הסימון הזו מושחקת (לא פעילה), עליך להוריד את התוסף לאימות משופר. למטה אנו מסבירים את הגדרת SSO של vCenter באמצעות תחום Active Directory קיים.

הוספת תחום Active Directory

אנו יכולים להגדיר את האינטגרציה של אימות ה-vCenter עם Active Directory ולהשתמש בתחום Active Directory כתחום SSO של vCenter. אנו מניחים שכבר יש לך בקר של תחום Active Directory מוגדר ולא נכנסים לפרטי התקנת ה-AD ב-Windows Server. זכור שעליך ליצור גיבויים רגילים של Active Directory, במיוחד אם השירותים רבים משתמשים ב-AD לאימות.

בצע את הפעולות הבאות כדי לערוך את הגדרת ה-SSO של vCenter ולאינטגרציה עם Active Directory:לחץ על סמל התפריט בפינה השמאלית העליונה של ממשק האינטרנט. גלול לעבר הכניסה רקת בסרגל השמאלי ולחץ על הגדרות.

  1. לחץ על סמל התפריט בפינה השמאלית העליונה של ממשק האינטרנט. גלול לאזור Single Sign On בחלון השמאלי ולחץ על Configuration.
  2. בחר בלשונית Identity Provider ואז בחר Active Directory Domain.
  3. לחץ על Join AD כדי להצטרף לדומיין Active Directory לשימוש ב- vCenter Single Sign-On (כדומיין vCenter SSO).

  1. הזן שם דומיין, בחר ביחידת ארגון (אופציונלי), והזן אישורי מנהל דומיין AD (שם משתמש וסיסמה).
  2. לחץ על Join ואז הפעל מחדש את מופע ה- vCenter (VCSA) כדי ליישם את השינויים.

ספק תעודות זהות

ניתן להשתמש במקור תעודות זהות אלטרנטיבי עבור דומיין ה- vCenter Single Sign On שלך.

  1. עבור אל Administration > Single Sign On > Configuration ב- VMware vSphere Client ולחץ על Identity Sources בלשונית Identity Provider.
  2. בחר במקור הזהות הזמין או לחץ על Add כדי להוסיף אחד חדש.

ניתן לבחור בלשונית Local accounts ולהגדיר את זמן תפוגת הסיסמה ומדיניות סיסמה אחרות.

ניהול משתמשים וקבוצות

לאחר שהגדרת דומיין vCenter SSO, ניתן ליצור משתמשים ולהוסיף אותם לקבוצות כדי לספק הרשאות המתאימות.

  1. לחץ על Users and Groups בתחתית העמודה השמאלית של עמוד הניהול של vCenter.
  2. בחר את לשונית משתמשים.
  3. בחר דומיין שיכול להיות ברירת מחדל (מובנה) vsphere.local או דומיין של Active Directory שהוספת ידנית כדי לשמש כדומיין שיושם כדומיין של vCenter Single Sign-on.
  4. לחץ על הוסף כדי להוסיף משתמש חדש לדומיין שנבחר.
  5. מלא את השדות הנדרשים ושמור את ההגדרות.

היתרונות של ניהול קבוצה הם היכולת להקצות הרשאות נדרשות לקבוצה ולהוסיף מספר רב של משתמשים לקבוצה כדי להעניק להם את ההרשאות באופן אוטומטי.

  1. בחר בלשונית קבוצות בעמוד משתמשים וקבוצות.
  2. לחץ על הוסף חברים.

  1. מלא את השדות הנדרשים, כגון שם הקבוצה, ובחר מאיזה דומיין להוסיף חברים. זה יכול להיות דומיין vCenter SSO מובנה כמו vsphere.local או דומיין של Active Directory.
  2. הוסף את החברים (משתמשים או קבוצות) מהדומיינים שנבחרו ולחץ על שמור.

אל תמחק משתמשים וקבוצות מוגדרים מראש (אלו שקיימים לאחר התקנת vCenter).

סיכום

מומלץ לגבות את מכונת ה-VM של שרת vCenter שלך ואת המכונות הרצות של שרתי דומיין Active Directory. מכונות אלו משמשות לניהול מרכזי ואימות, וכל כשל עשוי לגרום לתוצאות חמורות ולזמן ריחוף.

Source:
https://www.nakivo.com/blog/vsphere-authentication-vcenter-single-sign-on/