Dans cet article, nous allons voir comment configurer l’authentification par rapport à notre Active Directory dans la plate-forme virtuelle VMware vSphere. Nous allons l’activer sur vCenter Server Appliance et les hôtes ESXi, afin que vous puissiez attribuer des autorisations d’accès à des utilisateurs ou à des groupes Active Directory. Et donc au lieu d’utiliser les informations d’identification par défaut (Comme nous le faisons à tort); chaque employé utilisera son compte DA, avec les privilèges qu’il devrait avoir, Il sera également utile de voir « Qui fait quoi ».

Integrar vCenter Server 6.5 en Directorio Activo

Si disponemos de un sólo appliance en nuestra infraestructura virtual con vCenter Server + PSC no tendremos duda, pero si tenemos una arquitectura de vCenter Server con PSC externo, se debe configurar en este appliance la autenticación!

Nos logueamos en el vSphere Web Client (https://FQDN-VCENTER-SERVER/vsphere-client) comment Annonce***********@vs*****.locà l (o un admin de SSO), vamos a la vista de “Administración”.

Luego a “Implementación” o Deployment > “Configuración del sistema”.

Pulsamos en “Nodos” > Seleccionamos nuestro virtual appliance > pestaña “Administrar” > “Configuración” > Menu “Avanzado” > “Active Directory” y pulsamos en “Unir”.

Indicamos el nombre del dominio, OU opcional para dejar la cuenta del equipo, usuario y contraseña con privilegios & Accepter!

Y reiniciamos el vCSA, podemos opcionalmente ver en el AD que la cuenta del equipo la ha creado perfectamente.

Ahora ya sólo nos quedaría asignar permisos, entrando para ello en vSphere Web Client y sobre el objeto que nos interese, bien un Datacenter, una máquina virtual, podremos ir a la pestaña de “Autorisations” y agregar el grupo de usuarios o usuarios del Directorio Activo que tenemos en el combo y le asignaremos el Rol de acceso que queramos, bien administrador, etc… Eso quizás lo pongo en un futuro post…

Integrar un Host ESXi 6.5 en Directorio Activo

En esta parte podremos ver cómo hacer que nos validemos con nuestras cuentas de usuario directamente sobre los hosts ESXi, bien para conectarnos con SSH con un Putty, o con el Host Client…

Comme tout, será fundamental tener bien configurados los parámetros de red de los hosts, entre ellos el Servidor DNS, Servidor NTP…

Premières choses, será crear un grupo en el Directorio Activo y asignarle los miembros que serán administradores de los hosts,

Si vamos sobre un host, en la pestaña “Configurar” > « Système » > “Servicios de autenticación” podremos meterle en dominio pulsano en “Unirse al dominio…”

Nos preguntará por el nombre del dominio e introducimos los credenciales de un usuario con privilegios de unirnos, « Accepter »,

Tras unos segundos podremos ver cómo perfectamente ya somos miembros del dominio y si vamos a nuestro AD veremos la cuenta del equipo!

Para indicar qué grupo de usuarios puede loguearse sobre cada host, iremos a la pestaña “Configurar” > « Système » > “Configuración avanzada del sistema” > “Editar”,

Filtramos y buscamos Config.HostAgent.plugins.hostsvc.esxAdminsGroup, lo editamos e introducimos el nombre del grupo tal y como lo tenemos en el AD.

Dejamos unos minutos pasar… y vuala! Si nos logueamos con un Putty veremos qué comodo y así quedará todo bien registrado, quien hace que…

VMware Enhanced Authentication Plugin

Podremos instalar el complemento de autenticación mejorada si queremos entre otras cosas poder validarnos con nuestras cuentas del equipo actual (ya que damos por hecho que el Windows con el que trabajas está unido a dominio) y hacer un passtrought de nuestros credenciales al vCenter.

Si nos fijamos abajo a la izquierda, antes de validarnos, podremos descargarlo e instalarlo en cualquier equipo con Windows, pulsamos en “Descargar el complemento de autenticación mejorada”.

Tras descargarnos el binario, podremos hacer la instalación, no tiene ningún misterio y tardaremos a penas un par de minutos!

Après l’avoir installé, veremos cómo ya podemos marcar el check de “Usar autenticación de sesión de Windows”, avec ce, pasaremos nuestros credenciales al vCenter Server y nos validamos de forma automática!

Tener en cuenta lo dicho, que nuestra cuenta de Directorio Activo tiene que tener permisos de acceso, así que antes de loguearnos, un administrador de vSphere nos debe de asignar permisos en el objeto que interese sea un Datacenter como dijimos antes, un clúster, una carpeta de maquinas virtuales… y asignar un Rol de permisos sobre dicho objeto y listo! probaríamos a entrar y veremos únicamente los objetos a los que tendremos permisos!