<vCenter Server Appliance (VCSA)를 Microsoft Active Directory와 통합하면 액세스 관리의 보안을 단순화하고 향상시킬 수 있습니다. vCenter를 AD 도메인에 연결함으로써 VMware vSphere 관리자는 네트워크의 파일 서버 및 기타 리소스에 액세스를 부여하는 데 사용되는 동일한 ID 소스를 사용하여 vSphere 개체에 액세스할 수 있습니다. 도메인에 vCenter를 연결하는 방법을 알아보세요.
vCenter를 Active Directory 도메인에 추가하는 방법
Active Directory는 많은 조직에서 사용자의 중앙 집중식 인증을 위한 표준입니다. Active Directory는 VMware ESXi 및 VMware vCenter 사용자의 인증에도 사용될 수 있습니다. 그런 다음 인증된 Active Directory 도메인 사용자에게 필요한 vSphere 권한을 할당할 수 있습니다.
요구 사항
vCenter AD 통합 구성에는 몇 가지 요구 사항이 있습니다:
- Active Directory 도메인 컨트롤러를 구성해야 합니다. 도메인 컨트롤러는 쓰기 가능해야 합니다(읽기 전용 모드가 아닌).
- vCenter Server의 완전한 도메인 이름(FQDN)에 사용되는 DNS 접미사가 정확해야 합니다.
- vCenter Server Appliance(VCSA)의 DNS 설정이 도메인 컨트롤러와 통신할 수 있도록 정확해야 합니다.
- vCenter Server Appliance(VCSA)가 Active Directory 도메인 컨트롤러의 DNS 이름을 IP 주소로 해석해야 합니다.
참고: 스탠드얼론 ESXi 호스트도 AD 도메인에 연결할 수 있습니다.
vCenter를 도메인에 연결하는 방법
VCSA 애플라이언스를 Active Directory에 개체로 추가하여 Active Directory(통합 Windows 인증)을 활성화해야 합니다. 이 옵션을 사용하면 로그온한 사용자의 Windows 자격 증명을 vCenter 웹 클라이언트의 인증으로 전달할 수 있습니다. 이 튜토리얼에서는 내장 플랫폼 서비스 컨트롤러가 있는 vCenter Server Appliance 7.0을 사용합니다.
AD 연결 설정을 위해 다음 단계를 완료하세요:
- vCenter에 SSO 관리자로 로그인하여 웹 브라우저를 사용하여 VMware vSphere 클라이언트 페이지로 이동합니다. 기본 관리자 이름은 [email protected]입니다(이전 게시물인 vSphere SSO 도메인에서 다룸). 이는 VCSA 설치 중에 설정한 관리자 사용자입니다. 또한, 이는 Windows Active Directory 도메인 사용자가 아닙니다. 그러나 vCenter를 Active Directory와 통합할 때 Windows 세션 인증 사용 옵션을 사용할 수 있습니다.
- SSO 관리자로 웹 클라이언트에 로그인한 후, 왼쪽 상단 모서리에 있는 메뉴 아이콘을 클릭합니다. 열린 메뉴에서 관리를 클릭합니다.
- 구성을 클릭하여 관리 페이지에서 단일 로그인 섹션으로 이동하십시오. 아이덴티티 제공자 탭을 선택하고, Active Directory 도메인을 클릭한 후, vCenter를 도메인에 가입하려면 AD 가입을 클릭하십시오.
- 이것은 도메인, 조직 단위, 사용자 이름, 그리고 비밀번호을 입력할 대화 상자를 표시합니다.
- 예를 들어 Active Directory 도메인 이름을 입력하십시오. 예를 들어 domain1.net입니다. 기존의 로컬 SSO 도메인 이름(vsphere.local)과 Active Directory 도메인 이름(domain1.net)이 서로 다른지 확인하십시오. 동일한 AD 도메인 이름을 사용하면 오류가 발생하여 도메인에 가입하고 vCenter를 Active Directory와 통합할 수 없습니다.
- 조직 단위를 설정하면 LDAP에 익숙한 사용자에게 유용합니다. 조직 단위 필드를 비워두면 AD의 컴퓨터 계정이 기본 위치인 컴퓨터 컨테이너에 생성됩니다. 필요한 조직 단위로 컴퓨터 개체를 항상 이동할 수 있습니다. Active Directory 도메인 컨트롤러에서 조직 단위 필드를 채우는 방법의 예는 다음과 같습니다:
OU=Unit1,DC=domain1,DC=net
-
Active Directory 도메인 관리자의 사용자 이름과 비밀번호를 입력하십시오. 우리의 도메인 관리자는 [email protected]입니다. 그러나 도메인 컨트롤러에 전용 사용자(예: vmwareadmin)를 생성하고 이 사용자를 적절한 도메인 관리자 그룹에 추가할 수도 있습니다.
대화 상자 작성을 완료한 후에 가입을 클릭하면 vCenter 어플라이언스를 재부팅하라는 메시지가 표시됩니다.
참고: 다음과 같은 오류가 발생하는 경우:
Idm 클라이언트 예외: AD 가입 중 오류 발생, 오류 코드 [11], 사용자 [domain1/administrator], 도메인 [domain1.net], orgUnit[]
루트로 VCSA 콘솔 셸(명령줄)에서 다음 명령을 실행하십시오. 도메인 이름과 도메인 관리자 이름을 함께 입력하십시오:
/opt/likewise/bin/domainjoin-cli join domain1.net administrator
-
vSphere 클라이언트의 인터페이스에서 vCenter 서버를 다시 부팅하려면 관리 > 시스템 구성으로 이동하여 vCenter 노드를 선택하고 노드 다시 부팅을 클릭하십시오.
또 다른 솔루션으로는 vCenter Server Appliance VM이 실행 중인 ESXi 호스트의 VMware Host Client에 로그인하여 VCSA VM을 다시 부팅하는 것입니다. 또 다른 해결책은 VCSA의 직접 콘솔 사용자 인터페이스(DCUI)를 사용하여 해당 옵션을 선택하는 것입니다.
- VCenter 재부팅 후 관리> 단일 로그인> 구성> 아이덴티티 제공자> Active Directory 도메인 (이전과 같이)으로 이동하여 도메인 컨트롤러에 연결이 성공했는지 확인하고 vCenter가 현재 도메인 멤버인지 확인할 수 있습니다.
- vCenter 머신이 도메인에 가입되었는지도 확인할 수 있습니다. 이를 위해 Active Directory 사용자 및 컴퓨터를 열고 도메인을 선택한 다음 컴퓨터를 클릭하십시오. 아래 스크린샷에서 우리의 vcenter7 머신이 Active Directory 도메인의 구성원임을 확인할 수 있습니다.
아이덴티티 소스 추가
- 관리로 돌아가서 구성을 클릭하십시오. 단일 로그온 메뉴 아래에서. 신원 원본을 신원 제공자 탭에서 선택한 다음 추가 버튼을 클릭하여 신원 원본을 추가하십시오.
- Active Directory (통합 Windows 인증) 옵션을 선택합니다. 이제 vCenter를 도메인에 가입했으므로 도메인 이름 필드가 자동으로 도메인 이름으로 채워집니다. 여기서 기계 계정 사용을 기본 옵션으로 남길 수 있습니다. 마지막으로 신원 원본의 구성을 완료하고 추가를 클릭하십시오.
- 이제 신원 소스 아래에서 도메인을 볼 수 있습니다. 이 Active Directory 도메인을 기본값으로 설정하려면 기본값으로 설정을 클릭할 수 있습니다.
그런 다음 vCenter에서 역할을 생성하고 해당 역할에 권한을 할당한 다음 Active Directory 사용자에게 역할을 부여할 수 있습니다.
결론
환경에서 사용자 인증을 위한 중앙 집중식 시스템을 보유하고 vSphere 사용자 인증에 Active Directory를 사용하는 것은 많은 상황에서 유용합니다. 사용자를 인증하고 인프라를 관리할 수 없어 발생하는 다운타임과 문제를 피하기 위해 정기적으로 Active Directory 도메인 컨트롤러 및 vCenter Server Appliance를 백업하십시오. NAKIVO Backup & Replication은 VMware vSphere 환경에 대한 완벽한 데이터 보호 솔루션입니다. 이 솔루션을 사용하여 VM 및 Microsoft Active Directory와 같은 애플리케이션을 백업하십시오.
Source:
https://www.nakivo.com/blog/vmware-vsphere-active-directory-integration/