Configurar fontes de identidade do vCenter para usar o Active Directory
Sobre as fontes de identidade do vCenter do VMware
O vCenter do VMware dá suporte a diferentes fontes de identidade para autenticação de usuários que acessam o vCenter. Seu vCenter de Nuvem Privada do CloudSimple pode ser configurado para autenticar com o Active Directory para seus administradores do VMware acessarem o vCenter. Quando a instalação for concluída, o usuário cloudowner poderá adicionar usuários da origem de identidade ao vCenter.
Você pode configurar o domínio e os controladores de domínio do Active Directory de qualquer uma das seguintes maneiras:
- Domínio e controladores de domínio do Active Directory em execução no local
- Domínio e controladores de domínio do Active Directory em execução no Azure como máquinas virtuais em sua assinatura do Azure
- Novo domínio e controladores de domínio do Active Directory em execução na sua nuvem privada
- Serviço do Azure Active Directory
Este guia explica as tarefas para configurar o domínio e os controladores de domínio do Active Directory em execução no local ou como máquinas virtuais em suas assinaturas. Se você quiser usar o Azure AD como a origem da identidade, consulte Usar o Azure AD como um provedor de identidade para o vCenter na Nuvem Privada do CloudSimple para obter instruções detalhadas sobre como configurar a origem da identidade.
Antes de adicionar uma fonte de identidade, escale os privilégios do vCenter temporariamente.
Cuidado
Novos usuários devem ser adicionados somente a Cloud-Owner-Group, Cloud-Global-Cluster-Admin-Group, Cloud-Global-Storage-Admin-Group, Cloud-Global-Network-Admin-Group ou Cloud-Global-VM-Admin-Group. Usuários adicionados ao grupo Administradores serão removidos automaticamente. Somente as contas de serviço devem ser adicionadas ao grupo de Administradores e as contas de serviço não devem ser usadas para entrar na interface do usuário da Web do amvSphere.
Opções de origem de identidade
- Adicionar o Active Directory local como uma fonte de identidade de logon único
- Configurar novos Active Directory em uma Nuvem Privada
- Configurar Active Directory no Azure
Importante
Não há suporte para Active Directory (autenticação integrada do Windows). Há suporte apenas para a opção Active Directory sobre LDAP como uma origem de identidade.
Adicionar Active Directory local como uma fonte de identidade de Logon Único
Para configurar seu Active Directory local como uma fonte de identidade de Logon Único, é necessário:
- Conexão VPN site a site do seu datacenter local para sua Nuvem Privada.
- IP do servidor DNS local adicionado ao vCenter e ao Platform Services Controller (PSC).
Use as informações na tabela a seguir ao configurar seu domínio do Active Directory.
| Opção | Descrição |
|---|---|
| Nome | O nome da fonte de identidade. |
| DN de base para usuários | Nome diferenciado de base para os usuários. |
| Nome de domínio | FQDN do domínio, por exemplo, exemplo.com. Não forneça um endereço de IP nesta caixa de texto. |
| Alias do domínio | O nome NetBIOS do domínio. Adicione o nome NetBIOS do domínio do Active Directory como um alias da fonte de identidade se estiver usando autenticações SSPI. |
| DN de base para grupos | O nome diferenciado de base para os grupos. |
| URL do Servidor Primário | Servidor LDAP do controlador de domínio primário para o domínio. Use o formato ldap://hostname:port ou ldaps://hostname:port. A porta normalmente é 389 para conexões LDAP e 636 para conexões LDAPs. Para implantações de controlador de vários domínios do Active Directory, a porta normalmente é 3268 para LDAP e 3269 para LDAPs.Um certificado que estabelece confiança para o ponto de extremidade LDAPS do servidor do Active Directory é necessário quando você usa ldaps:// na URL de LDAP primária ou secundária. |
| URL do servidor secundário | Endereço de um servidor LDAP do controlador de domínio secundário que é usado para failover. |
| Escolher certificado | Se você quiser usar o LDAPS com o servidor LDAP do Active Directory ou a fonte de identidade do Servidor OpenLDAP, um botão Escolher certificado será exibido após você digitar ldaps:// na caixa de texto de URL. Não é necessário uma URL secundária. |
| Nome de usuário | ID de um usuário no domínio que tem, no mínimo, acesso somente leitura ao DN de base para usuários e grupos. |
| Senha | Senha do usuário especificado pelo Nome de usuário. |
Quando tiver as informações na tabela anterior, você poderá adicionar seu Active Directory local como uma fonte de identidade de Logon Único no vCenter.
Dica
Você encontrará mais informações sobre fontes de identidade de Logon Único na página de documentação do VMware.
Configurar novo Active Directory em uma nuvem privada
Você pode configurar um novo domínio do Active Directory na sua nuvem privada e usá-lo como uma fonte de identidade para logon único. O domínio Active Directory pode fazer parte de uma floresta Active Directory existente ou pode ser configurado como uma floresta independente.
Nova floresta e domínio do Active Directory
Para configurar uma nova floresta e domínio do Active Directory, é necessário:
- Uma ou mais máquinas virtuais que executem o Microsoft Windows Server para usar como controladores de domínio para a nova floresta e domínio do Active Directory.
- Uma ou mais máquinas virtuais executando o serviço DNS para resolução de nomes.
Consulte Instalar uma nova floresta do Active Directory no Windows Server 2012 para as etapas detalhadas.
Dica
Para alta disponibilidade de serviços, é recomendável configurar vários controladores de domínio e servidores DNS.
Depois de configurar floresta e domínio do Active Directory, você pode adicionar uma fonte de identidade no vCenter para o novo Active Directory.
Novo domínio do Active Directory em uma floresta existente do Active Directory
Para configurar um novo domínio do Active Directory em uma floresta existente do Active Directory, é necessário:
- Conexão VPN site a site para o local da floresta do Active Directory.
- Servidor DNS para resolver o nome da floresta existente do Active Directory.
Consulte Instalar um novo domínio árvore ou filho do Active Directory do Windows Server 2012 para etapas detalhadas.
Depois de configurar o domínio do Active Directory, você pode adicionar uma fonte de identidade no vCenter para o novo Active Directory.
Configurar Active Directory no Azure
O Active Directory em execução no Azure é semelhante a Active Directory em execução no local. Para configurar o Active Directory em execução no Azure como uma fonte de identidade de Logon Único no vCenter, o servidor vCenter e o PSC devem ter conectividade de rede com a rede virtual do Azure em que os serviços Active Directory estão em execução. Você pode estabelecer essa conectividade usando a conexão de rede virtual do Azure usando o ExpressRoute da rede virtual do Azure onde os serviços Active Directory estão sendo executados para a Nuvem Privada do CloudSimple.
Depois que a conexão de rede for estabelecida, siga as etapas em Adicionar Active Directory local como uma fonte de identidade de Logon Único para adicioná-la como uma fonte de identidade.
Adicionar uma fonte de identidade no vCenter
Escalone privilégios em sua Nuvem Privada.
Entre no vCenter para sua Nuvem Privada.
Selecione Home > Administração.
Selecione Logon único > Configuration.
Abra a guia Fontes de Identidade e clique em + para adicionar uma nova fonte de identidade.
Selecione Active Directory como um servidor LDAP e clique em Avançar.
Especifique os parâmetros de origem de identidade para seu ambiente e clique em Avançar.
Revise as configurações e clique em Concluir.