Доступ пользователей из доверительных доменов к VMware vSphere ESXi.

Доступ пользователей из доверительных доменов к VMware vSphere ESXi.

В VMware vSphere 5.5 был полностью переписан движок сервисов аутентификации Single-Sign-On (SSO), так как раньше VMware использовала стороннее решение. Теперь же нет старой базы RSA, а контроллеры доменов Active Directory не нужно указывать напрямую. Механизм аутентификации стал проще, но при этом эффективнее.

Итак, например, у вас такая задача — есть домен, в который вы заводите серверы VMware ESXi и vCenter, и администраторы которого будут рулить виртуальной инфраструктурой. Но у вас есть и второй трастовый домен, пользователей которого вы бы также хотели наделять полномочиями по управлению своей частью инфраструктуры. Тут надо отметить, что полноценная поддержка односторонних и двусторонних AD-трастов появилась только в vSphere 5.5, поэтому в более ранних версиях платформы сделать этого по-нормальному не получится.

Завести серверы VMware ESXi в домен AD можно в разделе Configuration-> Authentication Servicesvmware esxi domain

Можно добавить основной домен, но в строчке Trusted Domain Controllers мы увидим пустоту, так как настраивать это нужно не через «толстый» vSphere Client, который скоро перестанет поддерживаться, а через «тонкий» vSphere Web Client, в котором возможности добавления источников аутентификации для сервера SSO весьма обширны.

Открываем Sphere Web Client по ссылке https://<адрес сервера vCenter>:9443/vsphere-client

Заходим обязательно как administrator@vsphere.local. Именно под этим пользователем — обычный админ не прокатит — раздел SSO будет скрыт.

Идем в раздел Administration > Single Sign-On > ConfigurationSingle Sign-On > Configuration

Если этого раздела в vSphere Web Client вы не видите, значит вы зашли не под administrator@vsphere.local.

Далее идем в раздел Identity Sources и там нажимаем «+»:Identity Sources

Добавляем новый источник:Добавляем новый источник:

Добавляем источник именно как «Active Directory as a LDAP Server», так как основной источник Active Directory (первый вариант) может быть добавлен только один.

Вот пример заполнения данных по домену:Active Directory as a LDAP Serve

Тут не заполнены только обязательные поля «Base DN for users» и «Base DN for groups». Если вы хотите искать пользователей во всем каталоге домена, то укажите в обоих этих полях просто подобное значение (из примера):

DC=virten,DC=local

Далее нужно протестировать соединение (Test Connection).

После того, как новый домен будет добавлен как Identity Source, его можно будет увидеть при добавлении любого разрешения на вкладке Permissions:Base DN for users

Добавляете пользователя и даете ему права на различные объекты виртуальной инфраструктуры VMware vSphere



2015-06-19T17:57:18
Виртуализация