En aquest post podremos veure cómo configurar en la plataforma virtual de VMware vSphere la autenticación contra el nostre Directorio Activo. Lo habilitaremos en el vCenter Server Appliance y en los host ESXi, con objeto de poder assignar permisos d'accés a usuaris o grups del Active Directory. I així en una vegada de usar els credenciales predeterminats (com hacemos erróneamente); cada empleado usará su compte del DA, con los privilegios que deba tener, ens valdrà també per veure 'quien hace qué'.

Integrar vCenter Server 6.5 en Directorio Activo

Si disponem de un solo appliance en la nostra infraestructura virtual con vCenter Server + PSC no tendremos duda, pero si tenemos una arquitectura de vCenter Server con PSC externo, se debe configurar en este appliance la autenticación!

Nos logueamos en el vSphere Web Client (https://FQDN-VCENTER-SERVER/vsphere-client) com a ad***********@*****re.local (o un admin de SSO), vamos a la vista de “Administración”.

Luego a “Implementación” o Deployment > “Configuración del sistema”.

Pulsamos en “Nodos” > Seleccionamos nuestro virtual appliance > pestaña “Administrar” > “Configuración” > Menu “Avanzado” > “Active Directory” y pulsamos en “Unir”.

Indicamos el nombre del dominio, OU opcional para dejar la cuenta del equipo, usuario y contraseña con privilegios & Acceptar!

Y reiniciamos el vCSA, podem opcionalment veure en el AD que la compte del equipo la ha creat perfectamente.

Ahora ya sólo nos quedaría asignar permisos, entrando para ello en vSphere Web Client y sobre el objeto que nos interessa, bien un Datacenter, una máquina virtual, podremos ir a la pestaña de “Permisos” i agregar el grup d'usuaris o usuaris del Directorio Activo que tenemos en el combo i le assignaremos el Rol de acceso que volemos, bien administrador, etc.… Això quizás lo pongo en un futur post…

Integrar un Host ESXi 6.5 en Directorio Activo

En aquesta part podrem veure com fer que ens validem amb les nostres comptes d'usuari directament sobre els hosts ESXi, bé para connectar-nos amb SSH amb un Putty, o amb el Host Client...

Com tot, serà fonamental tenir ben configurats els paràmetres de red de los hosts, entre ellos el Servidor DNS, Servidor NTP…

El primer, será crear un grupo en el Directorio Activo y asignarle los miembros que serán administradores de los hosts,

Si vamos sobre un host, en la pestaña “Configurar” > “Sistema” > “Servicios de autenticación” podremos meterle en dominio pulsano en “Unirse al dominio…”

Nos preguntará por el nombre del dominio e introducimos los credenciales de un usuario con privilegios de unirnos, “Aceptar”,

Tras unos segundos podremos ver cómo perfectamente ya somos miembros del dominio y si vamos a nuestro AD veremos la cuenta del equipo!

Para indicar qué grupo de usuarios puede loguearse sobre cada host, iremos a la pestaña “Configurar” > “Sistema” > “Configuración avanzada del sistema” > “Editar”,

Filtramos y buscamos Config.HostAgent.plugins.hostsvc.esxAdminsGroup, ho editamos i introduïm el nombre del grup tal i com tenim a l'AD.

Deixamos uns minuts passat... y vuala! Si nos logueamos con un Putty veremos qué comodo y así quedará todo bien registrado, quien hace que...

VMware Enhanced Authentication Plugin

Podremos instal·lar el complemento de autenticación mejorada si volem entre altres coses poder validarnos amb les nostres comptes del equipo actual (ya que damos por facto que el Windows con el que trabajas està unit a domini) i fer un passtrought de les nostres credenciales al vCenter.

Si ens fijamos abajo a la izquierda, antes de validarnos, podremos desbaratar-lo i instal·lar-lo en qualsevol equip amb Windows, pulsamos en “Descargar el complemento de autenticación mejorada”.

Tras descargarnos el binario, podremos hacer la instalación, no tiene ningún misterio y tardaremos a penas un par de minutos!

Tras instalarlo, veremos cómo ya podemos marcar el check de “Usar autenticación de sesión de Windows”, con ello, pasaremos nuestros credenciales al vCenter Server y nos validamos de forma automática!

Tener en cuenta lo dicho, que nuestra cuenta de Directorio Activo tiene que tener permisos de acceso, así que antes de loguearnos, un administrador de vSphere nos debe de asignar permisos en el objeto que interese sea un Datacenter como dijimos antes, un clúster, una carpeta de maquinas virtuales… y assignar un Rol de permisos sobre dicho objeto y listo! probaríamos a entrar y veremos únicamente los objetos a los que tendremos permisos!