Home / Chuyên đề tự học / Vmware Vsphere: Chứng thực tập trung Active Directory trên ESXi

Vmware Vsphere: Chứng thực tập trung Active Directory trên ESXi

Tuhocmang.com – Vmware Vsphere: Chứng thực tập trung Active Directory trên ESXi

Tình huống

Giả sử chưa có Vcenter. Có 3 ESXi

Mỗi con có 3 root độc lập.

Muốn quản lý thì móc riêng Vsphere Client. Chức thực = local user (của ESXi) Có thể lẫn lộn password root. Hoặc nếu dùng chung thì lộ password thì lộ hết.

Muốn thêm các user để khác thì tạo từng user ở các ESXi cho giống nhau -> mất thời gian

Giải pháp: chứng thực tập trung AD. Join domain 3 ESXi

Lấy user trên AD chứng thực. Sau đó bắt đầu phân quyền tại từng con.

Để bảo mật, ta không dùng user root local ESXi chứng thực mà tạo trên Active Directory user tên root.

Sau đó đăng nhập root local ESXi để cấp cho root Active Directory quyền quản lý, và phân quyền các user khác theo nhu cầu. Vậy khi change password thì change trên AD.

Vậy Cách cấu hình chứng thưc tập trung. (Join Domain các host ESXi)
B1: log on user root local ESXI trên các Host ESXi join domain.

B2: tạo user root trên AD và phân quyền cho nó.

Lưu ý: ESXi chỉ join domain, sử dụng user AD chứ không thể quản lý tài khoản trên AD => Muốn change pass , … thì làm trên DC, domain member (cài RSAT).

Lưu ý

Muốn change pass  root local ESXi thì vào giao diện direct control (DCUI)

Host ESXi hư thì cứ cài lại mới đè lên cái cũ (khuyến cáo của VMware)

Thay vì logon root local để phân quyền root AD => rất cực nếu số lượng ESXi nhiều. VMware làm dùm ta bước 2.

Trên AD ta tạo group: ESX Admins, ta đưa user vào group này (user nào cũng được). Khi Host ESXi join domain,  việc đầu tiên sau khi join domain  là ESX sẽ kiếm group ESX Admins  (cho nên phải đặt đúng tên) bỏ vào group admin local ESX. Nếu không tạo trước thì thôi, nó sẽ không làm tự động.

http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1025569

  • Ta sẽ không phải đi phân quyền vì group ESX Admins trên AD đã là admin local ESX.

Ngoại trừ ESX Admins và user root thì không có user nào trên AD có quyền trên Host ESX.

Lab

Lên DC tạo ESX Admins

Thông tin Domain Controller

Server 2012R2

IP: 192.168.1.100/24

Name: Server1

Domain: tuhocmang.local

 

Bước 1: Tạo ESX Admins trên DC.

Tạo 2 user: admin1, admin2 trong ESX Admins

Bước 2: Join Domain ESXi

Khảo sát Tab Permission:

Thấy danh sách user:

active-directory-tren-esxi-8

root

Vpxuser (là user được tạo bởi Vcenter. Là của vcenter tạo ra). THực thi các tác vụ trên ESXi host. Password sẽ tự thay đổi bởi hệ thống nếu hết hạn. Không được đụng chạm đến nó.

Dcui: là user để chạy giao diện đồ họa (DCUI), ví dụ: nó giúp ta disable, enale Lock down mode

 

Trên Vsphere Client -> Tab Configuration: DNS and Routing

+ Trỏ DNS về Domain Controller.

Vào Authentication Services (Trong tab Configuration).

Mặc định là chứng thực cho local (Authentication Local)

Ta chọn Properties:

Nhập các thông số thích hợp -> Join Domain: Nhập user của domain tuhocmang.local

active-directory-tren-esxi-9

Dùng user trong AD để join domain

active-directory-tren-esxi-10

Sau đó Reboot lại ESXi Host vừa join domain.

Sau khi khời động lại.

Vào tab Permission kiểm tra.

Thấy xuất hiện Group: Tuhocmang/ESX Admins.

active-directory-tren-esxi-11

 

active-directory-tren-esxi-12

Đăng nhập vào Vsphere bằng tài khoản admin1, admin2: Thành Công.

Lưu ý : Nhắc lại, chỉ những user trong group ESX Admins trên AD mới quyền quản lý trên Host ESXi.

Để biết ta đang đăng nhập lên ESXi bằng user nào: Nhìn góc phải, phía dưới cùng cửa sổ.

active-directory-tren-esxi-13

Đối với ESXi Stand Alone: đăng nhập không cần user@domain hay domain\user (có hoặc không đều được)

Khi có Vcenter: phải có @domain, domain\user.

Mở thêm 1 cửa số VSphere, đăng nhập ESXi bằng user domain không nằm trong group: ESX Admins (vd: administrator@tuhocmang.local)

Thì xuất hiện bảng thông báo:

active-directory-tren-esxi-14

=> Chứng thực được nhưng không có quyền vào.

Cách phân quyền:

Tab Permission -> Cột phải bất kì -> Add Permission -> Add

Có 3 bộ quyền có sẵn: No Access, Read-Only, Administrator. Phần Custom lại thì ta sẽ làm trên Vcenter.

active-directory-tren-esxi-15

Như vậy, đã join ESX vào môi trường domain :). Cảm ơn các bạn theo dõi

About Dai Pham

Check Also

Share bộ tài liệu PHP của trung tâm tin học Khoa Học Tự Nhiên

Tuhocmang – Share bộ tài liệu PHP của trung tâm tin học Khoa Học Tự Nhiên …

Vmware Vsphere: Network trong ảo hóa vmware phần 2

Tuhocmang.com – VMware Vsphere –  Network trong ảo hóa vmware phần 2 Ôn lại Network trong …

One comment

Leave a Reply

Your email address will not be published. Required fields are marked *