quinta-feira, 16 de janeiro de 2014
Configurando o vCenter Server 5.5 para autenticar no AD
Desde o lançamento do VMware vSphere 5.1 um novo componente foi
adicionado ao VMware
Virtual Center, esse componente é o vCenter Single Sign On. O vCenter Single Sign
On é um serviço de autenticação desenvolvido para tornar
toda a plataforma mais segura, permitindo que as diferentes soluções VMware se comuniquem umas
com as outras através de um mecanismo de troca segura de tokens, dessa forma não
é necessário
que o usuário se autentique separadamente em cada uma das soluções.
Na versão vSphere 5.1, quando o vCenter Single Sign On era instalado em
uma máquina Windows, e esta fosse membro de um domínio, e uma conta do domínio fosse
utilizada durante a instalação, o vCenter Single Sign On automaticamente
configurava o domínio o qual a máquina faz parte como uma “fonte de autenticação”para
o VMware vCenter.
Como o vCenter Single Sign On foi completamente rescrito na
versão vSphere 5.5, esse comportamento foi alterado, e a inclusão de um domínio
como fonte de autenticação deve ser feita de forma manual, após a instalação.
Por padrão,
após a instalação do vCenter Single Sign On, apenas o usuário "administrator@vsphere.local" possui as permissões necessárias para
configurar o Single Sign On.
Caso você
tenha realizado a instalação da versão Windows do VMware vCenter Server, a
senha do usuário "administrator@vsphere.local" foi definida por
você durante a instalação.
Se você optou por utilizar a versão linux do VMware vCenter (VCSA), a senha padrão para o usuário ‘’administrator@vsphere.local’’ é ‘’vmware’’.
Abaixo segue um passo a passo de
como configurar a autenticação do vSphere 5.5 no AD e como definir as
permissões para os usuários do domínio no seu vCenter Server.
1 - Acesse o vSphere Web Client (https://ip-do-vcenter:9443/vsphere-client)
2 - Logue com o usuário "administrator@vsphere.local"
3 - Clique em Administration
4 - Expanda a opção Single Sign On,
e clique em Configuration.
5 - Com a aba Identity Sources
selecionada, clique no + para adicionar uma nova fonte de
autenticação.
5.1 - Para o vCenter Server versão Windows, selecione a opção Active Directory
(Integrated Windows Authentication).
5.2 - Para o vCenter Server Appliance (VCSA), selecione a opção Active Directory as a LDAP Server e preencha os dados de acordo com o seu domínio.
6 - Após adicionar o domínio como
uma fonte de autenticação, selecione-o na lista e clique no ícone exibido
conforme abaixo. Nesse momento você estará definindo o seu domínio como a sua
fonte de autenticação padrão.
Pronto!! A partir desse momento você
já será capaz de definir as permissões que os usuários e grupos do seu domínio
terão no Virtual Center.
Se você quiser definir outro usuário
como administrador do Single Sign On, você deve adicioná-lo ao grupo de administradores
do Single Sign On.
Clique em Users and Groups,
selecione o grupo Administrators, e clique no ícone conforme na imagem abaixo:
Em seguida selecione o seu domínio e
escolha qual o usuário que você deseja adicionar como administrador do vCenter Single
Sign On.
O próximo passo será definir
as permissões que os seus usuários ou grupos do domínio terão no seu Virtual
Center ou nos objetos específicos do seu inventário.
Selecione o objeto no qual o seu
usuário terá permissão, clique em Manage >> Permissions e em seguida
clique no ícone +, conforme mostrado abaixo.
Clique em Add… para adicionar o usuário que deseja. No nosso caso estamos definindo uma permissão de Administrator para o usuário do domínio ‘tiago.martinez' no Virtual Center e todos os objetos abaixo dele.
Assinar:
Postar comentários (Atom)
Olá, ao realizar estas configurações notei que qualquer usuario do AD consegue ter acesso a console web, apesar de não ter permissão a nada caso não tenha sido atribuido. Tem como proibir os usuarios não elegiveis a nem passar da tela de autenticação?
ResponderExcluirabs,
Gerson
Acho que para isso deverá criar um grupo e adicionar apenas quem vai ter o acesso.
ResponderExcluirOs usuários que não fazem parte desse grupo não terá acesso para se autenticar.
Muito bom! Obrigado
ResponderExcluir