Подключаем vCenter 7 к домену и даём возможность аутентификации под доменными учётками.
Подключение vCenter 7 к AD
Заходим в vCenter 7 под учётной записью administrator@vsphere.local. Переходим в раздел Administration > Single Sign ON > Configuration > Active Directory Domain. Нажимаем кнопку JOIN AD.
Вводим учётные данные администратора домена, JOIN. Просят перезагрузить vCenter.
У меня при этом выскочила ошибка:
Error trying to join AD, error code [40315]
Но учётная запись сервера vCenter создалась. После перезагрузки в vCenter отображается, что он присоединён к домену. Возможно, это из-за того, что vCenter пытается себя прописать в DNS и не может, поскольку его домен обслуживается в отдельном от AD сервере DNS, не разбирался.
Переходим в раздел Administration > Single Sign ON > Configuration > Identity Sources.
Нажимаем кнопку ADD.
Можно использовать Active Directory (Integrated Windows Authentication, однако, данная опция скоро не будет поддерживаться, вместо неё рекомендуют использовать AD over LDAP:
https://kb.vmware.com/s/article/78506
Указываю в Identity Source Type опцию Active Directory over LDAP.
Заполняю поля:
- Identity source name — любое название
- Base distinguished name for users — путь DN к пользователям AD
- Base distinguished name for groups — путь DN к группам AD
- Domain name — FQDN домена
- Domain alias — NETBIOS имя домена
- Username — сервисный пользователь для просмотре LDAP
- Password — пароль сервисного пользователя
- Connect to — куда стучаться, я указываю конкретный URL для корпоративного LDAPS
- Primary server URL — URL LDAP(S)
- Secondary server URL — альтернативны2й URL LDAP(S), я не указываю
- Certificates — загружаю цепочку из корпоративного центра сертификации P7B, сконвертированную в PEM
ADD.
В Identity Sources появляется домен. Выделяем, нажимаем кнопку SET AS DEFAULT. Это нужно для того, чтобы вводить логин как v.pupkin, иначе придётся писать v.pupkin@mydomainname.local.
OK.
Настройка доступа к vCenter 7 из AD
Создаём в AD группу, например, vcenter-admins. В UI vCenter 7 выделяем слева vCenter, Permissions.
Нажимаем кнопку +.
- Domain — выбираем в выпадающем списке домен
- User/Group — в поиске ищем название группы vcenter-admins
- Role — Administrator
- Propagate to children — галка для наследования
OK.
Готово. Осталось через AD добавить в группу пользователей, которым разрешено администрировать vCenter.
Источник:
https://internet-lab.ru/vcenter_7_active_directory
Если вам понравилась статья, то ставьте 👍🏻 каналу.
Пишите комментарии, задавайте вопросы, подписывайтесь.
