Cách cấu hình đăng nhập 1 lần SSO giữa AD Server với vCenter 6.0 (Platform Service Controller– PSC)


 

Platform Service Controller– PSC là một thành phần dịch vụ mới trên vCenter 6.0 PSC có chứa tất cả các dịch vụ mà vCenter cần cho các chức năng của nó bao gồm Single Sign-On (SSO). Tôi xin mô tả làm thế nào để cấu hình xác thực AD trong vCenter Server 6.0.

Một số yêu cầu trước khi cấu hình SSO:

1. Chỉ dùng Web Sphere client để cấu hình SSO cho vCenter Server Appliance

2. Phải cấu hình NTP time để đồng bộ giữa ESXi Host 6 với NTP server local hoặc NTP Global thông qua internet.

3. Phải cấu hình các bản ghi A (host), PTR IP cho máy chủ vCenter 6.0 trên máy chủ AD – DNS Server trước khi cài vCenter Server Appliance 6 và tất nhiên là trước khi cấu hình SSO trên Web sphere client.

4. Lưu ý: vCenter Server Appliance 6.0 bắt buộc phải được cài và cấu hình trên ESXi host x64bit hoặc ESXi Host Nested x64 bit.

5. (Tùy chọn) cấu hình Join domain giữa ESXi Host 6 với AD Server thông qua Windows Authenticate (mục đích chính: kiểm tra khả năng cấu hình chính xác về mạng ảo lớp Management Nework layer).

 

Tham khảo link:

Phần 4: Triển khai đăng nhập 1 lần SSO giữa AD và VMware vCenter Appliance 5.5
Phần 5: Triển khai đăng nhập 1 lần SSO giữa AD-DS và VMware vCenter Appliance 5.5

Một số lưu ý tránh nhầm lẫn:

1. Hệ thống vCenter 5.x hoặc 6.x đều có 3 nhóm Domain quản lý các users với quyền và chức năng khác nhau:

1.1. Nhóm 1: localos (đây là nhóm users dùng quản lý HĐH của VMware, ngầm định có user: root)

– có chức năng chính dùng làm triển khai các tính năng cơ bản của ESXi hoặc vCenter, console, management network, bật /tắt ESXi Shell, SSH hoặc SSH Bash

không có quyền cấu hình SSO vcenter.

1.2.Nhóm 2: vCenter Single Sign-On users(đây là nhóm được tạo ra trong quá trình cài vCenter)

– có chức năng Administrators, quản trị tất cả nguồn tài nguyên và cấu hình vCenter SSO.

– vCenter 5.x nhóm 2 có domain name luôn là vsphere.local.

– vCenter 6.x nhóm 2 có domain name gợi ý là vsphere.local, các bạn có thể thay nó thành các tên miền của Doanh nghiệp, tổ chức, phòng ban, homelab (lưu ý: nó sẽ dùng làm từ ghép trong account để đăng nhập Web sphere client, ví dụ:  administrator@sso.vcenter)

– vCenter 6.x có thêm site name: bạn có thể nhập tên đơn vị hoặc vị trí địa lý đang hosting/vận hành hệ thống vcenter để phân biệt khi Doanh nghiệp của bạn có nhiều hệ thống vcenter khác nhau.

1.3.Nhóm 3: Users Authentication (đây là nhóm được tạo ra khi cấu hình join domain giữa vCenter với AD hoặc cấu hình kết nối LDAP/OpenLDAP với vCenter)

– có 3 phương pháp kết nối:

1.3.1.  Active Directory (Integrated Windows Authentication):

– Phương án này áp dụng từ AD server phiên bản Windows 2003 trở lên (chỉ áp dụng với hệ thống quản lý người dùng bằng WIndows Server có AD, DC).

1.3.2. Active Directory as an LDAP Server:

– Phương án này áp dụng cho AD server có mở dịch vụ, cổng LDAP TCP/IP 389 trên firewall.

1.3.3. OpenLDAP:

– Phương án này áp dụng cho các hệ thống có mở dịch vụ kết nối người dùng dạng open source, google, facebook…

 image

Các bước cấu hình SSO:

Bước 1. Mở Web Sphere client https://ip-vcenter :

Đăng nhập bằng Account: administrator@vsphere.local

image

Bước 2. Chọn menu Administration:

image

Chọn mục Configuration:

image

Bước 3. Mở tab Identity Sources:

image

Bấm vào dấu cộng màu xanh để khai báo kết nối hệ thống quản lý người dùng (LDAP)

Bước 4. chọn nguồn xác thực kiểu tích hợp Windows Authentication

Trường hợp đã join domain giữa máy chủ vCenter và AD chúng ta có thể nhận được tên domain name của AD server.

image

Trường hợp chưa join domain giữa máy chủ vCenter và AD chúng ta sẽ nhận cảnh báo lỗi:

image

Hãy bấm “Go to Active Directory Management”

image

Sau khi join domain thành công, bạn sẽ cần phải khởi động lại node > vCenter

image

Chọn System Configuration

image

Chọn Nodes> bấm chuột trái chọn tiếp tên máy chủ vCenter

image

Bấm mũi tên trỏ xuống ở mục Actions > Chọn menu bar” Reboot…

Chúng ta sẽ đợi trong vòng 5 – 10 phút cho tới khi vCenter khởi động trở lại. Ta tiếp tục quay lại bước 4 để cấu hình kết nối xác thực giữa vCenter và AD.

Bước 5. Quay lại phần Identity Sources bạn sẽ cần tạo thông tin liên quan tới cách kết nối giữa vCenter với AD để lấy được các users và groups từ active directory. Khi bạn kết nối kiểu Integrated Windows Authentication, thì các trusted domains phải có giá trị hoạt động. 

Bước 6. Chọn Active Directory và bấm vào “world with arrow” để chuyển trạng thái đăng nhập ngầm định là các tài khoản từ AD domain.

image

Bạn sẽ nhận được một cảnh báo cho bạn biết rằng “Điều này sẽ làm thay đổi tên miền mặc định hiện tại của bạn. Bạn có muốn tiếp tục? “. Điều này là không sao, vì bạn chỉ có thể có một tên miền mặc định.

 

Bước 7.Thêm user và phân quyền:

Để thay đổi cấu hình vCenter Server SSO với người dùng khác ngoài administrator@vsphere.local, bạn phải thêm chúng vào Nhóm LocalOS hoặc vSphere.local hoặc Nhóm thuộc Domain do bạn vừa cấu hình

image

Bước 8. Thêm các tài khoản lấy từ AD sang để phân quyền theo users/ group:

image

 

Cơ chế phân quyền:

Bước 1. Tạo User/ Group làm thành viên trong Nhóm 2: vCenter Single Sign-On users(đây là nhóm được tạo ra trong quá trình cài vCenter)

Bước 2. Tạo/sửa/clone quyền “Roles”

Bước 3. Điều chỉnh các hành động “privileges” trong quyền “Roles”

Bước 4. Xác định các Objects sẽ được gán quyền.

 image

 

Chúc các bạn thành công !

About thangletoan

Hallo Aloha

Posted on 24/01/2016, in Active Directory, Active Directory AD, AD, AD developer, AD Sync, ADDS, DNS, ESXi, Join Domain, SSO, vCenter, vCenter Server Appliance and tagged , , , , . Bookmark the permalink. Để lại bình luận.

Gửi phản hồi

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s

%d bloggers like this: