Come unire vCenter a un dominio Active Directory

Tutorial
VMware

Per integrare un server vCenter Appliance (VCSA) con Microsoft Active Directory come origine di identità semplifica e migliora la sicurezza della gestione degli accessi. Unendo vCenter a un dominio AD, gli amministratori di VMware vSphere possono utilizzare la stessa origine di identità utilizzata per concedere l’accesso ai server di file e ad altre risorse sulla rete per concedere l’accesso agli oggetti vSphere. Continua a leggere per imparare i passaggi su come unire vCenter al dominio.

Come Aggiungere vCenter a un Dominio Active Directory

Active Directory è uno standard comune per l’autenticazione centralizzata degli utenti in molte organizzazioni. Active Directory può essere utilizzato anche per autenticare gli utenti di VMware ESXi e VMware vCenter. Quindi possiamo assegnare le autorizzazioni vSphere necessarie per gli utenti autenticati del dominio Active Directory.

Requisiti

Ci sono alcuni requisiti per configurare l’integrazione AD di vCenter:

  • Deve essere configurato un controller di dominio Active Directory. Il controller di dominio deve essere scrivibile (e non solo in modalità di sola lettura).
  • Il suffisso DNS utilizzato per un nome di dominio completo (FQDN) del server vCenter deve essere corretto.
  • Le impostazioni DNS di VCSA per comunicare con il controller di dominio devono essere corrette.
  • Il Server vCenter Appliance (VCSA) deve risolvere il nome DNS del controller di dominio Active Directory in un indirizzo IP.

Nota: È anche possibile unire un host ESXi autonomo al dominio AD.

Come unire vCenter al dominio

Dobbiamo unire il nostro apparecchio VCSA all’Active Directory come un oggetto per abilitare l’Autenticazione Integrata di Windows di Active Directory. Questa opzione ci permette di passare le credenziali di Windows dell’utente connesso come autenticazione al Cliente Web vCenter. Si noti che in questo tutorial stiamo utilizzando vCenter Server Appliance 7.0 con un controllore di servizio di piattaforma integrato.

Completare i seguenti passaggi per configurare la connessione AD:

  1. Accedere come amministratore SSO a vCenter utilizzando un browser web e andando alla pagina del Cliente VMware vSphere. Il nome dell’amministratore predefinito è [email protected] (trattato in un post precedente sul dominio SSO di vSphere), che è l’utente admin configurato durante l’installazione di VCSA. Tenere presente che non si tratta di un utente di dominio Active Directory di Windows. Tuttavia, è possibile utilizzare l’opzione Utilizza l’autenticazione della sessione Windows quando si integra vCenter con Active Directory.
  2. Una volta effettuato l’accesso al Cliente Web come amministratore SSO, fare clic sull’icona del menu nell’angolo in alto a sinistra. Fare clic su Amministrazione nel menu che si apre.
  3. Clicca su Configurazione nella pagina Amministrazione nella sezione Single Sign On. Seleziona la scheda Fornitore di identità, clicca su Active Directory Domain, e poi su UNISCITI AD per unire vCenter al dominio.
  1. Questo porterà alla comparsa di una finestra di dialogo per inserire il dominio, l’unità organizzativa, il nome utente e la password.
    • Inserire il nome del dominio Active Directory, ad esempio, domain1.net. Notare che il nome del vostro dominio SSO locale esistente (vsphere.local nel nostro caso) e il dominio Active Directory (domain1.net nel nostro caso) devono essere diversi. Se si utilizza lo stesso nome di dominio AD, si otterrà un errore e non sarà possibile unire il dominio e integrare vCenter con Active Directory.
    • Impostare un’unità organizzativa può essere utile per coloro che sono familiari con LDAP. Se il campo Unità organizzativa viene lasciato vuoto, verrà creato un account computer in AD nella posizione predefinita, che è un contenitore Computer. È sempre possibile spostare un oggetto computer nell’unità organizzativa necessaria sul controller di dominio Active Directory. Ecco un esempio di come compilare il campo Unità organizzativa:

      OU=Unit1,DC=domain1,DC=net

    • Inserire il nome utente dell’amministratore del dominio Active Directory e la password. Il nostro amministratore di dominio è [email protected]. Tuttavia, è possibile creare un utente dedicato (ad esempio, vmwareadmin) sul controller di dominio e aggiungere questo utente al gruppo di amministratori di dominio appropriato.

      Dopo aver completato la finestra di dialogo, fare clic su Unisci e verrà richiesto di riavviare l’appliance vCenter.

    Nota: Se si verifica un errore del tipo:
     
    Eccezione del client Idm: Errore nel tentativo di unirsi ad AD, codice errore [11], utente [domain1/administrator], dominio [domain1.net], orgUnit[]
     
    provare ad eseguire il seguente comando nella shell della console VCSA (riga di comando) come root con il nome del dominio e il nome dell’amministratore del dominio:
     
    /opt/likewise/bin/domainjoin-cli join domain1.net administrator

  1. Per riavviare il server vCenter dall’interfaccia di VMware vSphere Client, vai su Amministrazione > Configurazione del sistema, seleziona il nodo del tuo vCenter e fai clic su Riavvia nodo.

    In alternativa, puoi accedere al VMware Host Client dell’host ESXi su cui viene eseguita la VM dell’appliance del server vCenter e riavviare la VM VCSA. Un’altra soluzione è utilizzare l’interfaccia utente della console diretta (DCUI) sulla VCSA e utilizzare l’opzione di riavvio lì.

  1. Dopo il riavvio di vCenter, è possibile andare a Amministrazione > Single Sign On > Configurazione > Identity Provider > Active Directory Domain (come fatto in precedenza) e assicurarsi che la connessione al controller di dominio sia riuscita e che il vCenter sia ora un membro del dominio.
  1. È inoltre possibile verificare che la macchina vCenter si sia associata al dominio in Windows Server agendo come controller di dominio. A questo scopo, aprire Active Directory Users and Computers, selezionare il proprio dominio e fare clic su Computer. È possibile vedere che la nostra macchina vcenter7 è un membro del nostro dominio Active Directory nello screenshot sottostante.

Aggiungendo la fonte di identità

Dopo che la vCenter Server Appliance (VCSA) è stata unita al dominio e riavviata, siamo ora pronti per aggiungere la nostra origine di identità Active Directory:

  1. Torna a Amministrazione e clicca su Configurazione nel menu Single Sign-On. Clicca su Origini dell’identità nella scheda Provider di identità e poi clicca il pulsante AGGIUNGI per aggiungere un’origine di identità.
  1. Selezioniamo l’opzione Active Directory (Autenticazione integrata di Windows). Ora che abbiamo unito il nostro vCenter al dominio, il campo Nome del dominio è automaticamente popolato con il nome del nostro dominio. Possiamo lasciare l’opzione Utilizza account macchina come opzione predefinita qui. Infine, completa la configurazione dell’origine di identità e clicca su Aggiungi.
  1. Ora, sotto l’identità sorgente, possiamo vedere il nostro dominio. Puoi fare clic su Imposta come predefinito per utilizzare questo dominio Active Directory per impostazione predefinita.

Quindi puoi creare Ruoli in vCenter e assegnare privilegi a quei ruoli e poi collegare un ruolo a un utente Active Directory.

Conclusione

Avere un sistema centralizzato per l’autenticazione degli utenti nel proprio ambiente e utilizzare Active Directory per l’autenticazione degli utenti vSphere è utile in molte situazioni. Assicurati di eseguire regolarmente il backup del tuo controller di dominio Active Directory e dell’appliance del server vCenter per evitare tempi di inattività e problemi causati dall’incapacità di autenticare gli utenti e gestire l’infrastruttura. NAKIVO Backup & Replication è una soluzione completa per la protezione dei dati negli ambienti VMware vSphere. Utilizza la soluzione per eseguire il backup delle tue VM e delle applicazioni come Microsoft Active Directory.

Source:
https://www.nakivo.com/blog/vmware-vsphere-active-directory-integration/