Share via

Использование Azure AD в качестве поставщика удостоверений для vCenter в частном облаке CloudSimple

  • Статья

Сервер vCenter частного облака CloudSimple можно настроить для проверки подлинности с помощью Azure Active Directory (Azure AD), чтобы администраторы VMware могли получить доступ к vCenter. После настройки источника удостоверений для единого входа пользователь cloudowner может добавлять пользователей из источника удостоверений в vCenter.

Домен и контроллеры домена Active Directory можно настроить одним из следующих способов:

  • домен и контроллеры домена Active Directory, работающие в локальной среде;
  • домен и контроллеры домена Active Directory, работающие в Azure в качестве виртуальных машин в подписке Azure;
  • новый домен и контроллеры домена Active Directory, работающие в частном облаке CloudSimple;
  • служба Azure Active Directory.

В этом руководстве объясняются задачи, необходимые для настройки Azure AD в качестве источника удостоверений. Сведения об использовании локальной службы Active Directory и службы Active Directory, запущенной в Azure, см. в статье Настройка источников удостоверений vCenter для использования Active Directory для получения подробных инструкций по настройке источника удостоверений.

Общие сведения об Azure AD

Azure AD — это мультитенантный облачный каталог и служба управления удостоверениями от корпорации Майкрософт. Azure AD предоставляет масштабируемый, согласованный и надежный механизм проверки подлинности пользователей, чтобы обеспечить проверку подлинности и доступ к различным службам в Azure, а также службы защищенного протокола LDAP, чтобы любые сторонние службы могли использовать Azure AD в качестве источника проверки подлинности и удостоверений. Azure AD объединяет основные службы каталогов, расширенное управление удостоверениями и управление доступом к приложениям, которые можно использовать для предоставления доступа к частному облаку пользователям, которые администрируют частное облако.

Чтобы использовать Azure AD в качестве источника удостоверений для vCenter, необходимо настроить Azure AD и доменные службы Azure AD. Следуйте указаниям, приведенным ниже:

  1. Настройка Azure AD и доменных служб Azure AD
  2. Как настроить источник удостоверений в vCenter частного облака

Настройка Azure AD и доменных служб Azure AD

Чтобы приступить к работе, вам потребуется доступ к подписке Azure с правами глобального администратора. Следующие шаги представляют собой общие рекомендации. Подробные сведения содержатся в документации по Azure.

Azure AD

Примечание

Если у вас уже есть служба Azure AD, можете пропустить этот раздел.

  1. Настройте Azure AD в подписке, как описано в документации по Azure AD.
  2. Включите Azure Active Directory Premium в подписке, как описано в статье Регистрация для работы с Azure Active Directory Premium.
  3. Настройте имя личного домена и проверьте его, как описано в разделе Добавление имени личного домена в Azure Active Directory.
    1. Настройте запись DNS у регистратора домена, используя сведения, предоставленные в Azure.
    2. Укажите личный домен в качестве основного.

При необходимости можно настроить другие функции Azure AD. Они не требуются для того, чтобы использовать Azure AD для проверки подлинности в vCenter.

Доменные службы Azure AD

Примечание

Это важный шаг для использования Azure AD в качестве источника удостоверений для vCenter. Чтобы избежать проблем, убедитесь, что все шаги выполняются правильно.

  1. Включите доменные службы Azure AD, как описано в статье Включение доменных служб Azure Active Directory с помощью портала Azure.

  2. Настройте сеть, которая будет использоваться доменными службами Azure AD, как описано в статье Включение доменных служб Azure Active Directory с помощью портала Azure.

  3. Настройте группу администраторов для управления доменными службами Azure AD, как описано в статье Включение доменных служб Azure Active Directory с помощью портала Azure.

  4. Обновите параметры DNS для доменных служб Azure AD, как описано в статье Включение доменных служб Azure Active Directory с помощью портала Azure. Если вы хотите подключаться к AD через Интернет, настройте запись DNS для общедоступного IP-адреса доменных служб Azure AD, указав имя домена.

  5. Включите синхронизацию хэша паролей для пользователей. Следующий шаг — включить синхронизацию хэшей паролей, необходимых для проверки подлинности NTLM и Kerberos в доменных службах Azure AD. Когда синхронизация хэшей паролей настроена, пользователи могут входить в управляемый домен с помощью учетных данных организации. См. статью Включение синхронизации хэшей паролей с доменными службами Azure Active Directory.

    1. Если имеются полностью облачные пользователи, они должны изменить свой пароль с помощью панели доступа Azure AD, чтобы сохранить хэши паролей в формате, требуемом для NTLM или Kerberos. Следуйте инструкциям в статье Включение синхронизации хэшей паролей учетных записей полностью облачных пользователей с управляемым доменом. Этот шаг необходимо выполнить для отдельных пользователей и всех новых пользователей, созданных в каталоге Azure AD с помощью портала Azure или командлетов Azure AD PowerShell. Пользователям, которым требуется доступ к доменным службам Azure AD, необходимо использовать панель доступа Azure AD, чтобы открыть свой профиль и сменить пароль.

      Примечание

      Если у вашей организации есть только учетные записи пользователей в облаке, все пользователи, которые хотят воспользоваться доменными службами Azure Active Directory, должны изменить свои пароли. Облачная учетная запись пользователей — это учетная запись, созданная в каталоге Azure AD с помощью портала Azure или командлетов Azure AD PowerShell. Такие учетные записи пользователей не синхронизированы из локального каталога.

    2. Если вы синхронизируете пароли из локальной службы Active Directory, выполните действия, описанные в документации по Active Directory.

  6. Настройте защищенный протокол LDAP для доменных служб Azure Active Directory, как описано в статье Настройка защищенного протокола LDAP (LDAPS) для управляемого домена доменных служб Azure AD.

    1. Отправьте сертификат, который будет использоваться защищенным протоколом LDAP, как описано в разделе Получение сертификата для защищенного протокола LDAP. CloudSimple рекомендует использовать подписанный сертификат, выданный центром сертификации, чтобы сервер vCenter мог доверять этому сертификату.
    2. Включите защищенный протокол LDAP, как описано в статье Настройка защищенного протокола LDAP (LDAPS) для управляемого домена доменных служб Azure AD.
    3. Сохраните открытую часть сертификата (без закрытого ключа) в формате CER для использования в vCenter при настройке источника удостоверений.
    4. Если требуется обеспечить доступ к доменным службам Azure AD через Интернет, включите параметр "Разрешить безопасный доступ к LDAP через Интернет".
    5. Добавьте правило безопасности для входящего трафика в NSG доменных служб Azure AD для TCP-порта 636.

Настройка источника удостоверений в vCenter частного облака

  1. Эскалируйте привилегии для vCenter частного облака.

  2. Соберите параметры конфигурации, необходимые для настройки источника удостоверений.

    Параметр Описание
    Имя Имя источника удостоверений.
    Базовое различающееся имя для пользователей Базовое различающееся имя для пользователей. Для Azure AD используйте примерOU=AADDC Users,DC=<domain>,DC=<domain suffix>: OU=AADDC Users,DC=cloudsimplecustomer,DC=com.
    Имя домена Полное доменное имя. Пример: example.com. В этом текстовом поле не следует указывать IP-адрес.
    Псевдоним домена (Необязательно.) NetBIOS-имя домена. Если используются проверки подлинности SSPI, добавьте NetBIOS-имя домена Active Directory в качестве псевдонима источника удостоверений.
    Базовое различающееся имя для групп Базовое различающееся имя для групп. Для Azure AD используйте пример: OU=AADDC Users,DC=<domain>,DC=<domain suffix>OU=AADDC Users,DC=cloudsimplecustomer,DC=com
    URL-адрес главного сервера Сервер LDAP главного контроллера домена для домена.

    Используйте следующий формат: ldaps://hostname:port. Обычно для подключений LDAPS используется порт 636.

    Сертификат, устанавливающий отношение доверия для конечной точки LDAPS сервера Active Directory, необходим при использовании префикса ldaps:// в основном или дополнительном URL-адресе LDAP.
    URL-адрес дополнительного сервера Адрес LDAP-сервера дополнительного контроллера домена, который используется для отработки отказа.
    Выберите сертификат Если вы хотите использовать протокол LDAPS с сервером Active Directory LDAP или источником удостоверений сервера OpenLDAP, после ввода префикса ldaps:// в текстовом поле URL-адреса появится кнопка "Выбрать сертификат". Дополнительный URL-адрес не требуется.
    Имя пользователя Идентификатор пользователя в домене, у которого есть минимальный доступ только для чтения к базовому различающемуся имени для пользователей и групп.
    Пароль Пароль пользователя, указанного в параметре "Имя пользователя".

  3. Войдите в vCenter частного облака после эскалации привилегий.

  4. Следуйте инструкциям в разделе Добавление источника удостоверений для vCenter, используя значения из предыдущего шага, чтобы настроить Azure Active Directory в качестве источника удостоверений.

  5. Добавьте пользователей и группы из Azure AD в группы vCenter, как описано в статье Добавление участников в группу единого входа vCenter.

Внимание!

Новых пользователей можно добавлять только в группы Cloud-Owner-Group, Cloud-Global-Cluster-Admin-Group, Cloud-Global-Storage-Admin-Group, Cloud-Global-Network-Admin-Group или Cloud-Global-VM-Admin-Group. Пользователи, добавленные в группу Администраторы, будут удалены автоматически. В группу Администраторы должны быть добавлены только учетные записи служб.

Дальнейшие действия