Como Unir o vCenter a um Domínio do Active Directory

Tutoriais
VMware

Integrar um Appliance de Servidor vCenter (VCSA) com o Microsoft Active Directory como fonte de identidade simplifica e melhora a segurança da gestão de acesso. Ao integrar o vCenter a um domínio AD, os administradores do VMware vSphere podem usar a mesma fonte de identidade usada para conceder acesso a servidores de arquivos e outros recursos na rede para conceder acesso a objetos do vSphere. Continue lendo para aprender os passos sobre como integrar o vCenter ao domínio.

Como Adicionar o vCenter a um Domínio do Active Directory

O Active Directory é um padrão comum para a autenticação centralizada de usuários em muitas organizações. O Active Directory também pode ser usado para autenticar usuários do VMware ESXi e do VMware vCenter. Então, podemos atribuir as permissões do vSphere necessárias para usuários autenticados do domínio Active Directory.

Requisitos

Há alguns requisitos para configurar a integração AD do vCenter:

  • Um controlador de domínio do Active Directory deve estar configurado. O controlador de domínio deve ser gravável (e não apenas em modo somente leitura).
  • O sufixo DNS usado para um nome de domínio totalmente qualificado (FQDN) do Servidor vCenter deve estar correto.
  • As configurações DNS do VCSA para comunicar com o controlador de domínio devem estar corretas.
  • O Appliance do Servidor vCenter (VCSA) deve resolver o nome DNS do controlador de domínio do Active Directory para um endereço IP.

Nota: Também é possível integrar um host ESXi independente ao domínio AD.

Como integrar o vCenter ao domínio

Precisamos unir nosso appliance VCSA ao Active Directory como um objeto para habilitar a Autenticação Integrada do Windows (Active Directory). Essa opção nos permite passar as credenciais do usuário logado no Windows como autenticação para o cliente da Web do vCenter. Observe que neste tutorial estamos usando o Appliance do Servidor vCenter 7.0 com um controlador de serviço de plataforma incorporado.

Complete as seguintes etapas para configurar a conexão AD:

  1. Faça login como o administrador do SSO no vCenter usando um navegador da Web e acessando a página do Cliente VMware vSphere. O nome do administrador padrão é [email protected] (abordado em um post anterior sobre o domínio SSO do vSphere), que é o usuário administrador configurado durante a instalação do VCSA. Além disso, lembre-se de que este não é um usuário de domínio do Active Directory do Windows. No entanto, você pode usar a opção Usar autenticação de sessão do Windows ao integrar o vCenter com o Active Directory.
  2. Depois de fazer login no Cliente da Web como administrador do SSO, clique no ícone do menu no canto superior esquerdo. Clique em Administração no menu que se abre.
  3. Clique em Configuração na página de Administração na seção de Entrada Única. Selecione a guia de Fornecedor de Identidade, clique em Domínio do Active Directory e clique em ENTRAR NO AD para ingressar o vCenter no domínio.
  1. Isso vai abrir uma caixa de diálogo para digitar o Domínio, Unidade organizacional, Nome de usuário e Senha.
    • Informe o nome do domínio do Active Directory, por exemplo, domain1.net. Observe que o nome do seu domínio SSO local existente (vsphere.local no nosso caso) e o domínio do Active Directory (domain1.net no nosso caso) devem ser diferentes. Se você usar o mesmo nome de domínio AD, ocorrerá um erro e você não conseguirá ingressar no domínio nem integrar o vCenter ao Active Directory.
    • Definir uma unidade organizacional pode ser útil para aqueles familiarizados com o LDAP. Se o campo Unidade organizacional for deixado em branco, uma conta de computador no AD será criada na localização padrão, que é um contêiner Computadores. Você sempre pode mover um objeto de computador para a unidade organizacional necessária no seu controlador de domínio do Active Directory. Um exemplo de como preencher o campo Unidade Organizacional:

      OU=Unidade1,DC=domain1,DC=net

    • Informe o nome de usuário do administrador do domínio do Active Directory e a senha. Nosso administrador de domínio é [email protected]. No entanto, você pode criar um usuário dedicado (por exemplo, vmwareadmin) no controlador de domínio e adicionar esse usuário ao grupo de administradores de domínio apropriado.

      Após concluir a caixa de diálogo, clique em Ingressar e você será solicitado a reiniciar o seu appliance vCenter.

    Observação: Se você encontrar um erro como:
     
    Exceção do cliente Idm: Erro ao tentar ingressar no AD, código de erro [11], usuário [domain1/administrator], domínio [domain1.net], orgUnit[]
     
    tente executar o seguinte comando no shell (linha de comando) do VCSA como root, com o nome do seu domínio e do administrador do domínio:
     
    /opt/likewise/bin/domainjoin-cli join domain1.net administrator

  1. Para reiniciar o servidor vCenter a partir da interface do Cliente VMware vSphere, vá para Administração > Configuração do Sistema, selecione seu nó do vCenter e clique em Reiniciar nó.

    Alternativamente, você pode fazer login no Cliente do Host VMware do host ESXi no qual o VM do Appliance do Servidor vCenter está sendo executado e reiniciar o VM do VCSA. Outra solução é usar a interface de usuário do Console Direto (DCUI) no VCSA e usar a opção Reiniciar lá.

  1. Após o reinício do vCenter, você pode ir para Administração > Single Sign On > Configuração > Identity Provider > Active Directory Domain (como você fez anteriormente) e garantir que a conexão com o controlador de domínio seja bem-sucedida e que seu vCenter agora seja um membro do domínio.
  1. Você também pode garantir que sua máquina vCenter tenha se juntado ao domínio no Windows Server atuando como controlador de domínio. Para esse fim, abra Active Directory Users and Computers, selecione seu domínio e clique em Computers. Você pode ver que nossa vcenter7 máquina é membro de nosso domínio do Active Directory na captura de tela abaixo.

Adicionando a fonte de identidade

Depois que o Appliance do Servidor vCenter (VCSA) foi integrado ao domínio e reiniciado, agora estamos prontos para adicionar nossa origem de identidade do Active Directory:

  1. Volte para Administração e clique em Configuração no menu Logon Único. Clique em Fontes de Identidade na aba Fornecedor de Identidade e então clique no botão ADICIONAR para adicionar uma fonte de identidade.
  1. Selecionamos a opção Active Directory (Autenticação Integrada do Windows). Agora que integramos nosso vCenter ao domínio, o campo Nome do Domínio é preenchido automaticamente com o nome do nosso domínio. Podemos deixar a opção Usar conta da máquina como a opção padrão aqui. Finalmente, complete a configuração da fonte de identidade e clique em Adicionar.
  1. Agora, sob a fonte de identidade, podemos ver nosso domínio. Você pode clicar em Definir como padrão para usar este domínio do Active Directory por padrão.

Então você pode criar Funções no vCenter e atribuir privilégios a essas funções e depois associar uma função a um usuário do Active Directory.

Conclusão

Ter um sistema centralizado para autenticação de usuários em seu ambiente e usar o Active Directory para autenticação de usuários do vSphere é útil em muitas situações. Certifique-se de fazer backup do seu controlador de domínio Active Directory e do appliance do Servidor vCenter regularmente para evitar tempo de inatividade e problemas causados pela incapacidade de autenticar usuários e gerenciar a infraestrutura. O NAKIVO Backup & Replicação é uma solução completa de proteção de dados para ambientes VMware vSphere. Use a solução para fazer backup de suas VMs e aplicativos como o Microsoft Active Directory.

Source:
https://www.nakivo.com/blog/vmware-vsphere-active-directory-integration/