quinta-feira, 16 de janeiro de 2014

Configurando o vCenter Server 5.5 para autenticar no AD

                 

Desde o lançamento do VMware vSphere 5.1 um novo componente foi adicionado ao VMware Virtual Center, esse componente é o vCenter Single Sign On. O vCenter Single Sign On é um serviço de autenticação desenvolvido para tornar toda a plataforma mais segura, permitindo que as diferentes soluções VMware se comuniquem umas com as outras através de um mecanismo de troca segura de tokens, dessa forma não é necessário que o usuário se autentique separadamente em cada uma das soluções.

Na versão vSphere 5.1, quando o vCenter Single Sign On era instalado em uma máquina Windows, e esta fosse membro de um domínio, e uma conta do domínio fosse utilizada durante a instalação, o vCenter Single Sign On automaticamente configurava o domínio o qual a máquina faz parte como uma “fonte de autenticação”para o VMware vCenter.

Como o vCenter Single Sign On foi completamente rescrito na versão vSphere 5.5, esse comportamento foi alterado, e a inclusão de um domínio como fonte de autenticação deve ser feita de forma manual, após a instalação.

Por padrão, após a instalação do vCenter Single Sign On, apenas o usuário "administrator@vsphere.local" possui as permissões necessárias para configurar o Single Sign On.

Caso você tenha realizado a instalação da versão Windows do VMware vCenter Server, a senha do usuário "administrator@vsphere.local" foi definida por você durante a instalação.

Se você optou por utilizar a versão linux do VMware vCenter (VCSA), a senha padrão para o usuário ‘’administrator@vsphere.local’’ é ‘’vmware’’.

Abaixo segue um passo a passo de como configurar a autenticação do vSphere 5.5 no AD e como definir as permissões para os usuários do domínio no seu vCenter Server.

1 - Acesse o vSphere Web Client (https://ip-do-vcenter:9443/vsphere-client)
2 - Logue com o usuário "administrator@vsphere.local"



3 - Clique em Administration



4 - Expanda a opção Single Sign On, e clique em Configuration.

5 - Com a aba Identity Sources selecionada, clique no + para adicionar uma nova fonte de autenticação.



5.1 - Para o vCenter Server versão Windows, selecione a opção Active Directory (Integrated Windows Authentication).


5.2 - Para o vCenter Server Appliance (VCSA), selecione a opção Active Directory as a LDAP Server e preencha os dados de acordo com o seu domínio.


6 - Após adicionar o domínio como uma fonte de autenticação, selecione-o na lista e clique no ícone exibido conforme abaixo. Nesse momento você estará definindo o seu domínio como a sua fonte de autenticação padrão.



Pronto!! A partir desse momento você já será capaz de definir as permissões que os usuários e grupos do seu domínio terão no Virtual Center.

Se você quiser definir outro usuário como administrador do Single Sign On, você deve adicioná-lo ao grupo de administradores do Single Sign On.

Clique em Users and Groups, selecione o grupo Administrators, e clique no ícone conforme na imagem abaixo: 



Em seguida selecione o seu domínio e escolha qual o usuário que você deseja adicionar como administrador do vCenter Single Sign On.



O próximo passo será definir as permissões que os seus usuários ou grupos do domínio terão no seu Virtual Center ou nos objetos específicos do seu inventário.

Selecione o objeto no qual o seu usuário terá permissão, clique em Manage >> Permissions e em seguida clique no ícone +, conforme mostrado abaixo.



Clique em Add… para adicionar o usuário que deseja. No nosso caso estamos definindo uma permissão de Administrator para o usuário do domínio ‘tiago.martinez' no Virtual Center e todos os objetos abaixo dele.





2 comentários:

  1. Olá, ao realizar estas configurações notei que qualquer usuario do AD consegue ter acesso a console web, apesar de não ter permissão a nada caso não tenha sido atribuido. Tem como proibir os usuarios não elegiveis a nem passar da tela de autenticação?

    abs,

    Gerson

    ResponderExcluir
  2. Acho que para isso deverá criar um grupo e adicionar apenas quem vai ter o acesso.
    Os usuários que não fazem parte desse grupo não terá acesso para se autenticar.

    ResponderExcluir