Integrando vCenter Server Appliance 6.5 y sus hosts ESXi en Directorio Activo

En este post podremos ver cómo configurar en la plataforma virtual de VMware vSphere la autenticación contra nuestro Directorio Activo. Lo habilitaremos en el vCenter Server Appliance y en los host ESXi, con objeto de poder asignar permisos de acceso a usuarios o grupos del Active Directory. Y así en vez de usar los credenciales predeterminados (como hacemos erróneamente); cada empleado usará su cuenta del DA, con los privilegios que deba tener, nos valdrá también para ver ‘quien hace qué’.

 

Integrar vCenter Server 6.5 en Directorio Activo

Si disponemos de un sólo appliance en nuestra infraestructura virtual con vCenter Server + PSC no tendremos duda, pero si tenemos una arquitectura de vCenter Server con PSC externo, se debe configurar en este appliance la autenticación!

 

Nos logueamos en el vSphere Web Client (https://FQDN-VCENTER-SERVER/vsphere-client) como administrator@vsphere.local (o un admin de SSO), vamos a la vista de “Administración”.

Luego a “Implementación” o Deployment > “Configuración del sistema”.

 

Pulsamos en “Nodos” > Seleccionamos nuestro virtual appliance > pestaña “Administrar” > “Configuración” > Menu “Avanzado” > “Active Directory” y pulsamos en “Unir”.

 

Indicamos el nombre del dominio, OU opcional para dejar la cuenta del equipo, usuario y contraseña con privilegios & Aceptar!

Y reiniciamos el vCSA, podemos opcionalmente ver en el AD que la cuenta del equipo la ha creado perfectamente.

 

Ahora ya sólo nos quedaría asignar permisos, entrando para ello en vSphere Web Client y sobre el objeto que nos interese, bien un Datacenter, una máquina virtual, podremos ir a la pestaña de «Permisos» y agregar el grupo de usuarios o usuarios del Directorio Activo que tenemos en el combo y le asignaremos el Rol de acceso que queramos, bien administrador, etc… Eso quizás lo pongo en un futuro post…

 

Integrar un Host ESXi 6.5 en Directorio Activo

En esta parte podremos ver cómo hacer que nos validemos con nuestras cuentas de usuario directamente sobre los hosts ESXi,  bien para conectarnos con SSH con un Putty, o con el Host Client…

Como todo, será fundamental tener bien configurados los parámetros de red de los hosts, entre ellos el Servidor DNS, Servidor NTP…

 

Lo primero, será crear un grupo en el Directorio Activo y asignarle los miembros que serán administradores de los hosts,

 

Si vamos sobre un host, en la pestaña “Configurar” > “Sistema” > “Servicios de autenticación” podremos meterle en dominio pulsano en “Unirse al dominio…”

 

Nos preguntará por el nombre del dominio e introducimos los credenciales de un usuario con privilegios de unirnos, “Aceptar”,

 

Tras unos segundos podremos ver cómo perfectamente ya somos miembros del dominio y si vamos a nuestro AD veremos la cuenta del equipo!

 

Para indicar qué grupo de usuarios puede loguearse sobre cada host, iremos a la pestaña “Configurar” > “Sistema” > “Configuración avanzada del sistema” > “Editar”,

 

Filtramos y buscamos Config.HostAgent.plugins.hostsvc.esxAdminsGroup, lo editamos e introducimos el nombre del grupo tal y como lo tenemos en el AD.

 

Dejamos unos minutos pasar… y vuala! Si nos logueamos con un Putty veremos qué comodo y así quedará todo bien registrado, quien hace que…

 

VMware Enhanced Authentication Plugin

Podremos instalar el complemento de autenticación mejorada si queremos entre otras cosas poder validarnos con nuestras cuentas del equipo actual (ya que damos por hecho que el Windows con el que trabajas está unido a dominio) y hacer un passtrought de nuestros credenciales al vCenter.

 

Si nos fijamos abajo a la izquierda, antes de validarnos, podremos descargarlo e instalarlo en cualquier equipo con Windows, pulsamos en “Descargar el complemento de autenticación mejorada”.

 

Tras descargarnos el binario, podremos hacer la instalación, no tiene ningún misterio y tardaremos a penas un par de minutos!

 

Tras instalarlo, veremos cómo ya podemos marcar el check de “Usar autenticación de sesión de Windows”, con ello, pasaremos nuestros credenciales al vCenter Server y nos validamos de forma automática!

Tener en cuenta lo dicho, que nuestra cuenta de Directorio Activo tiene que tener permisos de acceso, así que antes de loguearnos, un administrador de vSphere nos debe de asignar permisos en el objeto que interese sea un Datacenter como dijimos antes, un clúster, una carpeta de maquinas virtuales… y asignar un Rol de permisos sobre dicho objeto y listo! probaríamos a entrar y veremos únicamente los objetos a los que tendremos permisos!

 

Héctor Herrero