In diesem Beitrag werden wir sehen, wie man in der virtuellen Plattform von VMware vSphere die Authentifizierung gegen unser Active Directory konfiguriert. Wir werden es in der vCenter Server Appliance und auf den ESXi-Hosts aktivieren, um Zugriffsrechte für Benutzer oder Gruppen aus dem Active Directory zuzuweisen. Und so anstelle der standardmäßigen Anmeldeinformationen zu verwenden (wie wir fälschlicherweise tun); wird jeder Mitarbeiter sein AD-Konto verwenden, mit den Privilegien, die er haben sollte, es wird uns auch helfen zu sehen, 'wer was macht'.

Integrar vCenter Server 6.5 en Directorio Activo

Si disponemos de un sólo appliance en nuestra infraestructura virtual con vCenter Server + PSC no tendremos duda, pero si tenemos una arquitectura de vCenter Server con PSC externo, se debe configurar en este appliance la autenticación!

Nos logueamos en el vSphere Web Client (https://FQDN-VCENTER-SERVER/vsphere-client) wie Inserat***********@*****re.local (o un admin de SSO), vamos a la vista de “Administración”.

Luego a “Implementación” o Deployment > “Configuración del sistema”.

Pulsamos en “Nodos” > Seleccionamos nuestro virtual appliance > pestaña “Administrar” > “Configuración” > Menu “Avanzado” > “Active Directory” y pulsamos en “Unir”.

Indicamos el nombre del dominio, OU opcional para dejar la cuenta del equipo, usuario y contraseña con privilegios & Annehmen!

Y reiniciamos el vCSA, podemos opcionalmente ver en el AD que la cuenta del equipo la ha creado perfectamente.

Ahora ya sólo nos quedaría asignar permisos, entrando para ello en vSphere Web Client y sobre el objeto que nos interese, bien un Datacenter, una máquina virtual, podremos ir a la pestaña de “Erlaubnisse” y agregar el grupo de usuarios o usuarios del Directorio Activo que tenemos en el combo y le asignaremos el Rol de acceso que queramos, bien administrador, etc… Eso quizás lo pongo en un futuro post…

Integrar un Host ESXi 6.5 en Directorio Activo

En esta parte podremos ver cómo hacer que nos validemos con nuestras cuentas de usuario directamente sobre los hosts ESXi, bien para conectarnos con SSH con un Putty, o con el Host Client…

Wie alles andere, será fundamental tener bien configurados los parámetros de red de los hosts, entre ellos el Servidor DNS, Servidor NTP…

Das Wichtigste, será crear un grupo en el Directorio Activo y asignarle los miembros que serán administradores de los hosts,

Si vamos sobre un host, en la pestaña “Configurar” > "System" > “Servicios de autenticación” podremos meterle en dominio pulsano en “Unirse al dominio…”

Nos preguntará por el nombre del dominio e introducimos los credenciales de un usuario con privilegios de unirnos, "Akzeptieren",

Tras unos segundos podremos ver cómo perfectamente ya somos miembros del dominio y si vamos a nuestro AD veremos la cuenta del equipo!

Para indicar qué grupo de usuarios puede loguearse sobre cada host, iremos a la pestaña “Configurar” > "System" > “Configuración avanzada del sistema” > “Editar”,

Filtramos y buscamos Config.HostAgent.plugins.hostsvc.esxAdminsGroup, lo editamos e introducimos el nombre del grupo tal y como lo tenemos en el AD.

Dejamos unos minutos pasar… y vuala! Si nos logueamos con un Putty veremos qué comodo y así quedará todo bien registrado, quien hace que…

VMware Enhanced Authentication Plugin

Podremos instalar el complemento de autenticación mejorada si queremos entre otras cosas poder validarnos con nuestras cuentas del equipo actual (ya que damos por hecho que el Windows con el que trabajas está unido a dominio) y hacer un passtrought de nuestros credenciales al vCenter.

Si nos fijamos abajo a la izquierda, antes de validarnos, wir können es herunterladen und auf jedem Windows-Computer installieren, wir klicken auf 'Erweiterte Authentifizierungserweiterung herunterladen'.

Nachdem wir die Binärdatei heruntergeladen haben, können wir die Installation durchführen, es ist kein Geheimnis und dauert nur ein paar Minuten!

Nach der Installation, wir sehen, dass wir jetzt das Häkchen bei 'Windows-Sitzungsauthentifizierung verwenden' setzen können, hiermit, wir übermitteln unsere Anmeldedaten an den vCenter Server und melden uns automatisch an!

Beachten Sie das Gesagte, dass unser Active Directory-Konto Zugriffsrechte haben muss, also bevor wir uns anmelden, muss ein vSphere-Administrator uns Berechtigungen für das gewünschte Objekt zuweisen, sei es ein Datencenter, wie wir zuvor gesagt haben, ein Cluster, ein Ordner mit virtuellen Maschinen… und eine Rollenberechtigung für dieses Objekt zuweisen, und fertig! wir würden versuchen einzutreten und nur die Objekte sehen, für die wir Berechtigungen haben!