Hoe vCenter te verbinden met een Active Directory-domein

Het integreren van een vCenter Server Appliance (VCSA) met Microsoft Active Directory als de identiteitsbron vereenvoudigt en verbetert de beveiliging van toegangsbeheer. Door vCenter aan een AD-domein toe te voegen, kunnen VMware vSphere-beheerders dezelfde identiteitsbron gebruiken die wordt gebruikt om toegang te verlenen tot bestandsservers en andere bronnen op het netwerk om toegang te verlenen tot vSphere-objecten. Lees verder om te leren hoe u vCenter aan het domein kunt toevoegen.

Hoe voegt u vCenter toe aan een Active Directory-domein?

Active Directory is een veelvoorkomende standaard voor de gecentraliseerde authenticatie van gebruikers in veel organisaties. Active Directory kan ook worden gebruikt om VMware ESXi- en VMware vCenter-gebruikers te authenticeren. Vervolgens kunnen we de benodigde vSphere-machtigingen toewijzen voor geauthenticeerde gebruikers van het Active Directory-domein.

Vereisten

Er zijn enkele vereisten voor het configureren van vCenter AD-integratie:

• Een Active Directory-domeincontroller moet zijn geconfigureerd. De domeincontroller moet beschrijfbaar zijn (en niet alleen in de alleen-lezen modus).
• De DNS-achtervoegsel dat wordt gebruikt voor een volledig gekwalificeerde domeinnaam (FQDN) van de vCenter Server moet correct zijn.
• De DNS-instellingen van VCSA om te communiceren met de domeincontroller moeten correct zijn.
• De vCenter Server Appliance (VCSA) moet de DNS-naam van de Active Directory-domeincontroller naar een IP-adres kunnen omzetten.

Opmerking: Het is ook mogelijk om een op zichzelf staande ESXi-host aan het AD-domein toe te voegen.

Hoe vCenter aan het domein toe te voegen

We moeten onze VCSA-appliance aanmelden bij Active Directory als een object om Active Directory (Geïntegreerde Windows Authenticatie) mogelijk te maken. Deze optie stelt ons in staat om de inloggegevens van de ingelogde gebruiker van Windows te gebruiken als authenticatie voor de vCenter Web Client. Let op dat we in deze handleiding vCenter Server Appliance 7.0 gebruiken met een ingebed platformservicecontroller.

Voltooi de volgende stappen om de AD-verbinding in te stellen:

1. Meld u aan als de SSO-beheerder bij vCenter door een webbrowser te gebruiken en naar de pagina van de VMware vSphere Client te gaan. De standaardbeheerdersnaam is [email protected] (behandeld in een eerdere post over vSphere SSO-domein), dit is de beheerdersgebruiker die is ingesteld tijdens de installatie van VCSA. Houd er ook rekening mee dat dit geen Windows Active Directory-domeingebruiker is. U kunt echter de optie Gebruik Windows-sessie-authenticatie gebruiken wanneer u vCenter integreert met Active Directory.
   
2. Zodra u bent aangemeld bij de Web Client als de SSO-beheerder, klikt u op het menupictogram in de linkerbovenhoek. Klik op Beheer in het menu dat wordt geopend.
   
3. Klik op Configuratie op de Beheer pagina in de Single Sign On sectie. Selecteer het tabblad Identiteitsprovider, klik op Active Directory-domein, en klik op AD TOEVOEGEN om vCenter aan het domein toe te voegen.

4. Dit brengt een dialoogvenster naar voren om het Domein, Organisatie-eenheid, Gebruikersnaam en Wachtwoord in te voeren.
5. Voer de domeinnaam van Active Directory in, bijvoorbeeld, domain1.net. Let op dat de naam van uw bestaande lokale SSO-domein (vsphere.local in ons geval) en het Active Directory-domein (domain1.net in ons geval) verschillend moeten zijn. Als u dezelfde AD-domeinnaam gebruikt, krijgt u een foutmelding en kunt u het domein niet toevoegen en vCenter niet integreren met Active Directory.
6. Het instellen van een organisatie-eenheid kan handig zijn voor degenen die bekend zijn met LDAP. Als het Organisatie-eenheid veld leeg wordt gelaten, wordt een computeraccount in AD aangemaakt op de standaardlocatie, wat een Computers container is. U kunt altijd een computerobject verplaatsen naar de benodigde organisatie-eenheid op uw Active Directory-domeincontroller. Een voorbeeld van hoe het veld Organisatie-eenheid in te vullen:

   OU=Unit1,DC=domain1,DC=net

Voer de gebruikersnaam van de Active Directory-domeinbeheerder in en het wachtwoord. Onze domeinbeheerder is [email protected]. U kunt echter een speciale gebruiker aanmaken (bijvoorbeeld vmwareadmin) op de domeincontroller en deze gebruiker toevoegen aan de juiste domeinbeheerdersgroep

5. Om de vCenter-server opnieuw op te starten vanuit de interface van VMware vSphere Client, ga naar Beheer> Systeemconfiguratie, selecteer je vCenter-knooppunt en klik op Knooppunt opnieuw opstarten.

   Als alternatief kun je inloggen op de VMware Host Client van de ESXi-host waarop de VCSA-VM wordt uitgevoerd en de VCSA-VM opnieuw opstarten. Een andere oplossing is om de Direct Console User Interface (DCUI) op de VCSA te gebruiken en daar de optie Opnieuw opstarten te selecteren.

   

6. Na het opnieuw opstarten van vCenter kunt u naar Beheer > Single Sign On > Configuratie > Identity Provider > Active Directory-domein (zoals eerder gedaan) gaan en controleren of de verbinding met de domeincontroller succesvol is en of uw vCenter nu een domeinlid is.

7. U kunt ook controleren of uw vCenter-machine zich heeft aangesloten bij het domein in Windows Server dat fungeert als domeincontroller. Open hiervoor Active Directory-gebruikers en computers, selecteer uw domein en klik op Computers. U kunt zien dat onze vcenter7 machine een lid is van ons Active Directory-domein in de onderstaande schermafbeelding.

Het toevoegen van de identiteitsbron

Na de vCenter Server Appliance (VCSA) aan het domein is toegevoegd en opnieuw is opgestart, zijn we nu klaar om onze Active Directory-identiteitsbron toe te voegen:

1. Ga terug naar Beheer en klik op Configuratie onder het menu Single Sign-On. Klik op Identiteitsbronnen in het tabblad Identiteitsprovider en klik vervolgens op de knop TOEVOEGEN om een identiteitsbron toe te voegen.

2. We selecteren de optie Active Directory (Geïntegreerde Windows-verificatie). Nu onze vCenter aan het domein is toegevoegd, wordt het veld Domeinnaam automatisch ingevuld met onze domeinnaam. We kunnen hier de optie Gebruik machine-account als standaardoptie laten staan. Voltooi tot slot de configuratie van de identiteitsbron en klik op Toevoegen.

3. Nu kunnen we onder de identiteitsbron ons domein zien. Je kunt op Instellen als standaard klikken om dit Active Directory-domein standaard te gebruiken.

Vervolgens kun je rollen aanmaken in vCenter en privileges toewijzen aan die rollen en vervolgens een rol koppelen aan een Active Directory-gebruiker.

Conclusie

Het hebben van een gecentraliseerd systeem voor gebruikersauthenticatie in jouw omgeving en het gebruik van Active Directory voor vSphere gebruikersauthenticatie is nuttig in veel situaties. Zorg ervoor dat je regelmatig een back-up maakt van jouw Active Directory-domeincontroller en vCenter Server-appliance om downtime en problemen te voorkomen die worden veroorzaakt door het onvermogen om gebruikers te authenticeren en de infrastructuur te beheren. NAKIVO Backup & Replication is een complete oplossing voor gegevensbescherming voor VMware vSphere-omgevingen. Gebruik de oplossing om jouw VM’s en applicaties zoals Microsoft Active Directory te back-uppen.