Dela via

Ange en extern identitetskälla för vCenter Server

  • Artikel

I Azure VMware Solution har VMware vCenter Server ett inbyggt lokalt användarkonto med namnet CloudAdmin som har tilldelats rollen CloudAdmin. Du kan konfigurera användare och grupper i Windows Server Active Directory med rollen CloudAdmin för ditt privata moln. I allmänhet skapar och hanterar CloudAdmin-rollen arbetsbelastningar i ditt privata moln. Men i Azure VMware Solution har CloudAdmin-rollen vCenter Server-privilegier som skiljer sig från andra VMware-molnlösningar och lokala distributioner.

Viktigt!

Det lokala CloudAdmin-användarkontot ska användas som ett konto för nödåtkomst för "break glass"-scenarier i ditt privata moln. Det är inte avsett att användas för dagliga administrativa aktiviteter eller för integrering med andra tjänster.

  • I en lokal distribution av vCenter Server och ESXi har administratören åtkomst till vCenter Server-kontot administrator@vsphere.local och ESXi-rotkontot. Administratören kan också tilldelas till fler Windows Server Active Directory-användare och -grupper.

  • I en Azure VMware Solution-distribution har administratören inte åtkomst till administratörsanvändarkontot eller ESXi-rotkontot. Administratören kan dock tilldela Windows Server Active Directory-användare och gruppera rollen CloudAdmin i vCenter Server. CloudAdmin-rollen har inte behörighet att lägga till en identitetskälla som en lokal LDAP-server (Lightweight Directory Access Protocol) eller en LDAPS-server (Secure LDAP) till vCenter Server. Du kan dock använda Kör-kommandon för att lägga till en identitetskälla och tilldela Rollen CloudAdmin till användare och grupper.

Ett användarkonto i ett privat moln kan inte komma åt eller hantera specifika hanteringskomponenter som Microsoft stöder och hanterar. Exempel är kluster, värdar, datalager och distribuerade virtuella växlar.

Kommentar

I Azure VMware Solution tillhandahålls domänen vsphere.local enkel inloggning (SSO) som en hanterad resurs för plattformsåtgärder. Du kan inte använda den för att skapa eller hantera lokala grupper och användare förutom de som tillhandahålls som standard med ditt privata moln.

Du kan konfigurera vCenter Server för att använda en extern LDAP-katalogtjänst (Lightweight Directory Access Protocol) för att autentisera användare. En användare kan logga in med sina autentiseringsuppgifter eller autentiseringsuppgifter för Windows Server Active Directory-kontot från en LDAP-server från tredje part. Sedan kan kontot tilldelas en vCenter Server-roll, till exempel i en lokal miljö, för att ge rollbaserad åtkomst för vCenter Server-användare.

Skärmbild som visar vCenter Server-anslutningen till LDAP Windows Server Active Directory-servern.

I den här artikeln kan du se hur du:

  • Exportera ett certifikat för LDAPS-autentisering. (Valfritt)
  • Ladda upp LDAPS-certifikatet till bloblagringen och generera en SAS-URL (signatur för delad åtkomst). (Valfritt)
  • Konfigurera NSX DNS för matchning till din Windows Server Active Directory-domän.
  • Lägg till Windows Server Active Directory med hjälp av LDAPS (säker) eller LDAP (oskyddad).
  • Lägg till en befintlig Windows Server Active Directory-grupp i gruppen CloudAdmin.
  • Visa en lista över alla befintliga externa identitetskällor som är integrerade med vCenter Server SSO.
  • Tilldela ytterligare vCenter Server-roller till Windows Server Active Directory-identiteter.
  • Ta bort en Windows Server Active Directory-grupp från rollen CloudAdmin.
  • Ta bort alla befintliga externa identitetskällor.

Kommentar

Förutsättningar

Kommentar

Mer information om LDAPS och certifikatutfärdning finns i säkerhetsteamet eller ditt identitetshanteringsteam.

Exportera certifikatet för LDAPS-autentisering (valfritt)

Kontrollera först att certifikatet som används för LDAPS är giltigt. Om du inte har något certifikat slutför du stegen för att skapa ett certifikat för LDAPS innan du fortsätter.

Så här kontrollerar du att certifikatet är giltigt:

  1. Logga in på en domänkontrollant där LDAPS är aktivt med hjälp av administratörsbehörigheter.

  2. Öppna verktyget Kör, ange mmc och välj sedan OK.

  3. Välj Lägg till/ta bort snapin-modul för fil>.

  4. I listan över snapin-moduler väljer du Certifikat och sedan Lägg till.

  5. I snapin-modulen Certifikat väljer du Datorkonto och sedan Nästa.

  6. Behåll Lokal dator markerad, välj Slutför och välj sedan OK.

  7. I hanteringskonsolen Certifikat (lokal dator) expanderar du mappen Personlig och väljer mappen Certifikat för att visa de installerade certifikaten.

    Skärmbild som visar listan över certifikat i hanteringskonsolen.

  8. Dubbelklicka på certifikatet för LDAPS. Kontrollera att certifikatdatumet Giltigt från och Giltigt till är aktuellt och att certifikatet har en privat nyckel som motsvarar certifikatet.

    Skärmbild som visar egenskaperna för LDAPS-certifikatet.

  9. I samma dialogruta väljer du fliken Certifieringssökväg och kontrollerar att värdet för Certifieringssökväg är giltigt. Den bör innehålla certifikatkedjan för rotcertifikatutfärdare och valfria mellanliggande certifikat. Kontrollera att certifikatstatusen är OK.

    Skärmbild som visar certifikatkedjan på fliken Certifieringssökväg.

  10. Välj OK.

Så här exporterar du certifikatet:

  1. Högerklicka på LDAPS-certifikatet i certifikatkonsolen och välj Exportera alla uppgifter>. Guiden Exportera certifikat öppnas. Välj Nästa.
  2. I avsnittet Exportera privat nyckel väljer du Nej, exporterar inte den privata nyckeln och väljer sedan Nästa.
  3. I avsnittet Exportera filformat väljer du Base-64-kodad X.509(. CER) och välj sedan Nästa.
  4. I avsnittet Fil att exportera väljer du Bläddra. Välj en mappplats för att exportera certifikatet och ange ett namn. Välj sedan Spara.

Kommentar

Om mer än en domänkontrollant är inställd på att använda LDAPS upprepar du exportproceduren för varje ytterligare domänkontrollant för att exportera motsvarande certifikat. Observera att du bara kan referera till två LDAPS-servrar i New-LDAPSIdentitySource verktyget Kör. Om certifikatet är ett jokerteckencertifikat, till exempel .avsdemo.net, exporterar du certifikatet från endast en av domänkontrollanterna.

Ladda upp LDAPS-certifikatet till bloblagringen och generera en SAS-URL (valfritt)

Ladda sedan upp certifikatfilen (i .cer format) som du exporterade till ett Azure Storage-konto som bloblagring. Bevilja sedan åtkomst till Azure Storage-resurser med hjälp av en SAS.

Om du behöver flera certifikat laddar du upp var och en individuellt och genererar en SAS-URL för varje certifikat.

Viktigt!

Kom ihåg att kopiera alla SAS-URL-strängar. Strängarna är inte tillgängliga när du har lämnat sidan.

Dricks

En alternativ metod för att konsolidera certifikat är att lagra alla certifikatkedjor i en fil, enligt beskrivningen i en VMware-baza znanja artikel. Generera sedan en enda SAS-URL för filen som innehåller alla certifikat.

Konfigurera NSX-T DNS för Windows Server Active Directory-domänmatchning

Skapa en DNS-zon och lägg till den i DNS-tjänsten. Slutför stegen i Konfigurera en DNS-vidarebefordrare i Azure-portalen.

När du har slutfört de här stegen kontrollerar du att DNS-tjänsten innehåller dns-zonen.

Skärmbild som visar DNS-tjänsten med den DNS-zon som krävs.

Ditt privata Azure VMware Solution-moln bör nu matcha ditt lokala Windows Server Active Directory-domännamn korrekt.

Lägga till Windows Server Active Directory med hjälp av LDAP via SSL

Om du vill lägga till Windows Server Active Directory över LDAP med SSL som en extern identitetskälla som ska användas med SSO till vCenter Server kör du cmdleten New-LDAPSIdentitySource.

  1. Gå till ditt privata Azure VMware Solution-moln och välj Kör kommandopaket>>New-LDAPSIdentitySource.

  2. Ange de värden som krävs eller ändra standardvärdena och välj sedan Kör.

    Name beskrivning
    GroupName Gruppen i den externa identitetskällan som ger CloudAdmin åtkomst. Till exempel avs-admins.
    SSLCertificatesSasUrl Sökvägen till SAS-strängar som innehåller certifikaten för autentisering till Windows Server Active Directory-källan. Avgränsa flera certifikat med kommatecken. Till exempel pathtocert1,pathtocert2.
    Referens Domänens användarnamn och lösenord för autentisering med Windows Server Active Directory-källan (inte CloudAdmin). <username@avslab.local> Använd formatet.
    BaseDNGroups Platsen där du kan söka efter grupper. Till exempel CN=group1, DC=avsldap,DC=local. Bas-DN krävs för LDAP-autentisering.
    BaseDNUsers Platsen för att söka efter giltiga användare. Till exempel CN=users,DC=avsldap,DC=local. Bas-DN krävs för LDAP-autentisering.
    PrimaryUrl Den externa identitetskällans primära URL. Exempel: ldaps://yourserver.avslab.local:636
    SecondaryURL Den sekundära återställnings-URL:en om den primära misslyckas. Exempel: ldaps://yourbackupldapserver.avslab.local:636
    DomainAlias För Windows Server Active Directory-identitetskällor är domänens NetBIOS-namn. Lägg till NetBIOS-namnet på Windows Server Active Directory-domänen som ett alias för identitetskällan, vanligtvis i avsldap\- format.
    DomainName Domänens fullständigt kvalificerade domännamn (FQDN). Till exempel avslab.local.
    Namn Ett namn på den externa identitetskällan. Till exempel avslab.local.
    Behåll upp till Kvarhållningsperioden för cmdlet-utdata. Standardvärdet är 60 dagar.
    Ange namn för körning Ett alfanumeriskt namn. Till exempel addexternalIdentity.
    Tidsgräns Den period efter vilken en cmdlet avslutas om den inte är klar.

  3. Om du vill övervaka förloppet och bekräfta slutförandet kontrollerar du Meddelanden eller fönstret Körningsstatus för körning.

Lägga till Windows Server Active Directory med hjälp av LDAP

Kommentar

Vi rekommenderar att du använder metoden för att lägga till Windows Server Active Directory över LDAP med hjälp av SSL.

Om du vill lägga till Windows Server Active Directory över LDAP som en extern identitetskälla som ska användas med SSO till vCenter Server kör du cmdleten New-LDAPIdentitySource.

  1. Välj Kör kommandopaket>>New-LDAPIdentitySource.

  2. Ange de värden som krävs eller ändra standardvärdena och välj sedan Kör.

    Name Beskrivning
    Namn Ett namn på den externa identitetskällan. Till exempel avslab.local. Det här namnet visas i vCenter Server.
    DomainName Domänens fullständiga domännamn. Till exempel avslab.local.
    DomainAlias För Windows Server Active Directory-identitetskällor är domänens NetBIOS-namn. Lägg till Windows Server Active Directory-domänens NetBIOS-namn som ett alias för identitetskällan, vanligtvis i formatet *avsldap* .
    PrimaryUrl Den externa identitetskällans primära URL. Exempel: ldap://yourserver.avslab.local:389
    SecondaryURL Den sekundära återställnings-URL:en om det uppstår ett primärt fel.
    BaseDNUsers Platsen för att söka efter giltiga användare. Till exempel CN=users,DC=avslab,DC=local. Bas-DN krävs för LDAP-autentisering.
    BaseDNGroups Platsen där du kan söka efter grupper. Till exempel CN=group1, DC=avslab,DC=local. Bas-DN krävs för LDAP-autentisering.
    Referens Domänens användarnamn och lösenord för autentisering med Windows Server Active Directory-källan (inte CloudAdmin). Användaren måste ha formatet <username@avslab.local> .
    GroupName Gruppen i din externa identitetskälla som ger CloudAdmin åtkomst. Till exempel avs-admins.
    Behåll upp till Kvarhållningsperioden för cmdlet-utdata. Standardvärdet är 60 dagar.
    Ange namn för körning Ett alfanumeriskt namn. Till exempel addexternalIdentity.
    Tidsgräns Den period efter vilken en cmdlet avslutas om den inte är klar.

  3. Om du vill övervaka förloppet kontrollerar du Meddelanden eller fönstret Körningsstatus för körning.

Lägga till en befintlig Windows Server Active Directory-grupp i en CloudAdmin-grupp

Viktigt!

Kapslade grupper stöds inte. Om du använder en kapslad grupp kan åtkomsten gå förlorad.

Användare i en CloudAdmin-grupp har användarrättigheter som är lika med rollen CloudAdmin (<cloudadmin@vsphere.local>) som definieras i vCenter Server SSO. Om du vill lägga till en befintlig Windows Server Active Directory-grupp i en CloudAdmin-grupp kör du cmdleten Add-GroupToCloudAdmins.

  1. Välj Kör kommandopaket>>Add-GroupToCloudAdmins.

  2. Ange eller välj de värden som krävs och välj sedan Kör.

    Name beskrivning
    GroupName Namnet på den grupp som ska läggas till. Till exempel VcAdminGroup.
    Behåll upp till Kvarhållningsperioden för cmdlet-utdata. Standardvärdet är 60 dagar.
    Ange namn för körning Ett alfanumeriskt namn. Till exempel addADgroup.
    Tidsgräns Den period efter vilken en cmdlet avslutas om den inte är klar.

  3. Kontrollera meddelanden eller fönstret Körningsstatus för körning för att se förloppet.

Lista externa identitetskällor

Om du vill visa en lista över alla externa identitetskällor som redan är integrerade med vCenter Server SSO kör du cmdleten Get-ExternalIdentitySources.

  1. Logga in på Azure-portalen.

    Kommentar

    Om du behöver åtkomst till Azure for US Government-portalen går du till <https://portal.azure.us/>.

  2. Välj Kör kommandopaket>>Get-ExternalIdentitySources.

    Skärmbild som visar kommandomenyn Kör med tillgängliga paket i Azure-portalen.

  3. Ange eller välj de värden som krävs och välj sedan Kör.

    Skärmbild som visar cmdleten Get-ExternalIdentitySources på kommandomenyn Kör.

    Name beskrivning
    Behåll upp till Kvarhållningsperioden för cmdlet-utdata. Standardvärdet är 60 dagar.
    Ange namn för körning Ett alfanumeriskt namn. Till exempel getExternalIdentity.
    Tidsgräns Den period efter vilken en cmdlet avslutas om den inte är klar.

  4. Om du vill se förloppet kontrollerar du Meddelanden eller fönstret Körningsstatus för körning.

    Skärmbild som visar fönstret Körningsstatus för körning i Azure-portalen.

Tilldela fler vCenter Server-roller till Windows Server Active Directory-identiteter

När du har lagt till en extern identitet via LDAP eller LDAPS kan du tilldela vCenter Server-roller till Windows Server Active Directory-säkerhetsgrupper baserat på organisationens säkerhetskontroller.

  1. Logga in på vCenter Server som CloudAdmin, välj ett objekt i lagret, välj menyn Åtgärder och välj sedan Lägg till behörighet.

    Skärmbild som visar menyn Åtgärder i vCenter Server med alternativet Lägg till behörighet.

  2. I dialogrutan Lägg till behörighet:

    1. Domän: Välj den tidigare tillagda instansen av Windows Server Active Directory.
    2. Användare/grupp: Ange användarens eller gruppens namn, sök efter det och välj det.
    3. Roll: Välj den roll som ska tilldelas.
    4. Sprid till underordnade: Om du vill kan du markera kryssrutan för att sprida behörigheter till underordnade resurser.

    Skärmbild som visar dialogrutan Lägg till behörighet i vCenter Server.

  3. Välj fliken Behörigheter och kontrollera att behörighetstilldelningen har lagts till.

    Skärmbild som visar fliken Behörigheter i vCenter Server när du har lagt till en behörighetstilldelning.

Användare kan nu logga in på vCenter Server med sina autentiseringsuppgifter för Windows Server Active Directory.

Ta bort en Windows Server Active Directory-grupp från CloudAdmin-rollen

Om du vill ta bort en specifik Windows Server Active Directory-grupp från CloudAdmin-rollen kör du cmdleten Remove-GroupFromCloudAdmins.

  1. Välj Kör kommandopaket>>Remove-GroupFromCloudAdmins.

  2. Ange eller välj de värden som krävs och välj sedan Kör.

    Name beskrivning
    GroupName Namnet på den grupp som ska tas bort. Till exempel VcAdminGroup.
    Behåll upp till Kvarhållningsperioden för cmdlet-utdata. Standardvärdet är 60 dagar.
    Ange namn för körning Ett alfanumeriskt namn. Till exempel removeADgroup.
    Tidsgräns Den period efter vilken en cmdlet avslutas om den inte är klar.

  3. Om du vill se förloppet kontrollerar du Meddelanden eller fönstret Körningsstatus för körning.

Ta bort alla befintliga externa identitetskällor

Om du vill ta bort alla befintliga externa identitetskällor samtidigt kör du cmdleten Remove-ExternalIdentitySources.

  1. Välj Kör kommandopaket>>Remove-ExternalIdentitySources.

  2. Ange eller välj de nödvändiga värdena och välj sedan Kör:

    Name beskrivning
    Behåll upp till Kvarhållningsperioden för cmdlet-utdata. Standardvärdet är 60 dagar.
    Ange namn för körning Ett alfanumeriskt namn. Till exempel remove_externalIdentity.
    Tidsgräns Den period efter vilken en cmdlet avslutas om den inte är klar.

  3. Om du vill se förloppet kontrollerar du Meddelanden eller fönstret Körningsstatus för körning.

Rotera ett befintligt externt identitetskällakontos användarnamn eller lösenord

  1. Rotera lösenordet för det konto som används för autentisering med Windows Server Active Directory-källan i domänkontrollanten.

  2. Välj Kör kommandopaket>>Update-IdentitySourceCredential.

  3. Ange eller välj de värden som krävs och välj sedan Kör.

    Name beskrivning
    Referens Domänens användarnamn och lösenord som används för autentisering med Windows Server Active Directory-källan (inte CloudAdmin). Användaren måste ha formatet <username@avslab.local> .
    DomainName Domänens fullständiga domännamn. Till exempel avslab.local.

  4. Om du vill se förloppet kontrollerar du Meddelanden eller fönstret Körningsstatus för körning.

Varning

Om du inte anger något värde för DomainName tas alla externa identitetskällor bort. Kör cmdleten Update-IdentitySourceCredential först när lösenordet har roterats i domänkontrollanten.

Förnya befintliga certifikat för LDAPS-identitetskälla

  1. Förnya de befintliga certifikaten i dina domänkontrollanter.

  2. Valfritt: Om certifikaten lagras i standarddomänkontrollanter är det här steget valfritt. Lämna parametern SSLCertificatesSasUrl tom och de nya certifikaten laddas ned från standarddomänkontrollanterna och uppdateras automatiskt i vCenter. Om du väljer att inte använda standardsättet exporterar du certifikatet för LDAPS-autentisering och laddar upp LDAPS-certifikatet till bloblagring och genererar en SAS-URL. Spara SAS-URL:en för nästa steg.

  3. Välj Kör kommandopaket>>Update-IdentitySourceCertificates.

  4. Ange nödvändiga värden och den nya SAS-URL:en (valfritt) och välj sedan Kör.

    Fält Värde
    DomainName* Domänens fullständiga domännamn, till exempel avslab.local.
    SSLCertificatesSasUrl (valfritt) En kommaavgränsad lista över SAS-sökvägs-URI till certifikat för autentisering. Se till att läsbehörigheter ingår. För att generera placerar du certifikaten i valfri lagringskontoblob och högerklickar sedan på certifikatet och genererar SAS. Om värdet för det här fältet inte tillhandahålls av en användare laddas certifikaten ned från standarddomänkontrollanterna.

  5. Kontrollera meddelanden eller fönstret Körningsstatus för körning för att se förloppet.

Relaterat innehåll