如何将vCenter加入到Active Directory域

教程
VMware

将vCenter Server Appliance(VCSA)与Microsoft Active Directory集成作为身份源简化并改进了访问管理的安全性。通过将vCenter加入AD域,VMware vSphere管理员可以使用与网络上文件服务器和其他资源授予访问权限相同的身份源来授予对vSphere对象的访问权限。继续阅读以了解如何将vCenter加入域。

如何将vCenter添加到Active Directory域

Active Directory是许多组织中用户集中身份验证的常见标准。Active Directory也可以用于验证VMware ESXi和VMware vCenter用户。然后,我们可以为经过身份验证的Active Directory域用户分配所需的vSphere权限。

要求

配置vCenter AD集成有一些要求:

  • 必须配置Active Directory域控制器。域控制器必须可写(而不仅仅是只读模式)。
  • 用于vCenter Server的完全限定域名(FQDN)的DNS后缀必须正确。
  • VCSA与域控制器通信的DNS设置必须正确。
  • VCSA必须解析Active Directory域控制器的DNS名称为IP地址。

注意:也可以将独立ESXi主机加入AD域。

如何加入vCenter到域

我们需要将我们的VCSA设备作为一个对象加入到Active Directory中,以启用Active Directory(集成Windows身份验证)。这个选项允许我们将已登录用户的Windows凭据作为身份验证传递给vCenter Web客户端。请注意,在本教程中,我们正在使用带有嵌入式平台服务控制器的vCenter Server Appliance 7.0。

完成以下步骤来设置AD连接:

  1. 使用Web浏览器以SSO管理员身份登录到vCenter,并转到VMware vSphere客户端页面。默认管理员名称为[email protected](在之前关于vSphere SSO域的帖子中介绍过),这是在VCSA安装过程中设置的管理员用户。请注意,这不是Windows Active Directory域用户。但是,在将vCenter与Active Directory集成时,您可以使用使用Windows会话身份验证选项。
  2. 一旦您以SSO管理员身份登录到Web客户端,请单击左上角的菜单图标。在打开的菜单中,单击管理
  3. 点击配置页面上的管理部分中的单一登录部分。选择身份提供者选项卡,点击活动目录域,然后点击加入 AD以将 vCenter 加入域。
  1. 这将弹出一个对话框,让您输入组织单元用户名密码
    • 输入Active Directory域名,例如,domain1.net。请注意,您现有的本地SSO域名(在我们的情况下为vsphere.local)和Active Directory域名(在我们的情况下为domain1.net)必须不同。如果使用相同的AD域名,您将收到错误并且无法加入域并将vCenter集成到Active Directory。
    • 设置组织单元对于熟悉LDAP的人可能很有用。如果组织单元字段为空,则在默认位置(即计算机容器中)创建AD中的计算机帐户。您始终可以将计算机对象移动到Active Directory域控制器上所需的组织单元。填写组织单元字段的示例:

      OU=Unit1,DC=domain1,DC=net

    • 输入Active Directory域管理员的用户名和密码。我们的域管理员是[email protected]。但是,您可以在域控制器上创建一个专用用户(例如,vmwareadmin),并将此用户添加到适当的域管理员组。

      完成对话框后,单击加入,您将被提示重新启动vCenter设备。

    注意:如果出现如下错误:
     
    Idm客户端异常:尝试加入AD时出错,错误代码[11],用户[domain1/administrator],域[domain1.net],orgUnit[]
     
    请尝试在VCSA控制台shell(命令行)中以root身份运行以下命令,使用您的域名和域管理员名称:
     
    /opt/likewise/bin/domainjoin-cli join domain1.net administrator

  1. 要从VMware vSphere Client界面重新启动vCenter服务器,请转到管理 > 系统配置,选择您的vCenter节点,然后单击重新启动节点

    或者,您可以登录运行vCenter服务器虚拟机的ESXi主机的VMware Host Client,并重新启动VCSA虚拟机。另一个解决方案是使用VCSA上的直接控制台用户界面(DCUI)并在那里使用重新启动选项。

  1. 另一个解决方案是在VCSA上使用直接控制台用户界面(DCUI)并在那里使用重新启动选项。管理 > 单一登录 > 配置 > 身份提供者 > 活动目录域(就像之前做的那样)确保连接到域控制器成功,并且您的vCenter现在是域成员。
  1. 您还可以确保您的vCenter机器已加入充当域控制器的Windows服务器域。为此,打开活动目录用户和计算机,选择您的域,然后单击计算机。您可以从下面的截图中看到,我们的vcenter7机器是我们活动目录域的成员。

添加身份源

将vCenter服务器虚拟设备(VCSA)加入域并重新启动后,我们现在可以添加我们的Active Directory身份源:

  1. 返回管理,点击配置单一登录菜单下。在身份提供者选项卡中点击身份源,然后点击添加按钮以添加身份源。
  1. 我们选择Active Directory(集成Windows身份验证)选项。现在我们已将我们的vCenter加入到域中,域名字段会自动填充为我们的域名。我们可以将使用机器帐户保留为默认选项。最后,完成身份源的配置,然后点击添加
  1. 现在,在身份源下,我们可以看到我们的域。您可以单击设置为默认以默认使用此活动目录域。

然后,您可以在 vCenter 中创建角色并为这些角色分配权限,然后将角色附加到 Active Directory 用户。

结论

在您的环境中具有用户身份验证的集中式系统,并且在许多情况下使用 Active Directory 进行 vSphere 用户身份验证是有用的。确保定期备份您的 Active Directory域控制器和 vCenter Server 应用程序,以避免由于无法对用户进行身份验证和管理基础架构而导致的停机和问题。NAKIVO Backup & Replication 是用于 VMware vSphere 环境的完整数据保护解决方案。使用该解决方案备份您的虚拟机和应用程序,如 Microsoft Active Directory。

Source:
https://www.nakivo.com/blog/vmware-vsphere-active-directory-integration/