Хост сървърите на VMware изискват усъвършенстван софтуер, за да ги управляват масово. Администраторите могат да ограничат достъпа с помощта на AD услуги за удостоверяване и управление на защитата на потребителския акаунт.
Изображение: metamorworks, Getty Images/iStockphoto
Както е случаят с голяма част от ИТ тези дни, времената сочат да се прави повече с по-малко. По-малко, но по-мощни сървъри, които могат да консолидират голямата сървърна ферма в по-лек, по-ефективен център за данни, е един пример за тази философия, която се превърна в част от основната ДНК на ИТ. Просто няма основателна причина да не използвате съществуващата инфраструктура, за да направите друга част от нея да работи по-гладко. Единственото предупреждение обикновено е по-висока цена.
Такъв е случаят с хипервайзора VMware ESXI (безплатен) и пакета за управление vSphere (не е безплатен). Но има неща, които ИТ отделите могат да направят, за да осигурят по-централизирано управление и присъединяването на вашите ESXI хостове към съществуваща Microsoft AD среда е страхотно начало. Използването на домейн услугите на Active Directory (AD DS) позволява на ИТ отделите с ограничен бюджет да укрепят сигурността и контрола на достъпа чрез централно управление на потребителски акаунти и удостоверяване.
ВИЖТЕ: Изтегляне на шаблон за политика за информационна сигурност (Tech Pro Research)
За щастие процесът е интуитивен и ESXI първоначално поддържа AD интеграция. Въпреки това има няколко изисквания, които трябва да имате предвид, преди да започнете:
Сървър, работещ под Windows Server 2008 (или по-нов) с инсталирани следните роли: Active Directory Domain Services DHCP DNS Active Directory, попълнен с потребителски акаунти и компютърни обекти Bare-Metal сървър, работещ с ESXi Hypervisor v5.5 (или по-нов) Switched Network Broadband ISP (по избор) ; Препоръчва се) Административни идентификационни данни за ESXi и права на администратор на домейн на Windows Server (или делегиран достъп) до Active DirectoryВлезте в ESXi хост сървъра, за да потвърдите името на хоста. Това трябва да бъде наименувано според това как ще се нарича компютърният обект в AD (Фигура A).
Фигура A
Щракнете върху Управление под Хост в навигатора, след което щракнете върху Сигурност и & потребители | Сертификати за проверка на името на хоста, което съответства на името в първата стъпка. Те трябва да съвпадат или процесът на присъединяване ще се провали (Фигура B).
Фигура Б
С потвърдените имена на хостове щракнете върху Удостоверяване | Присъединете се към домейн. Ще бъдете подканени да въведете името на домейна и идентификационните данни на администратора на домейна, използвани за свързването му с AD. Процесът може да отнеме няколко минути, но след като приключи успешно, той ще покаже името на присъединения домейн и всички доверени домейни, свързани с него, също (Фигура C).
Фигура C
Докато не е задължително, като проверите свойствата на компютърния обект в AD Потребители и компютри, щракнете върху раздела Операционна система. Обичайно е „неизвестно“ да се показва както за име, така и за версия. Трябва обаче да се посочи „По същия начин отворен 6.2.0“ за сервизен пакет. Това потвърждава, че хостът се е свързал успешно с AD компютърния обект (Фигура D).
Фигура D
Преди ESXi хостът да обработи удостоверяване от AD, първо трябва да направим някои промени в настройките за защита по подразбиране.
Влезте в ESXi хоста с локалния администраторски акаунт, щракнете върху Управление, след това върху раздела Система | Разширени настройки. Превъртете надолу през списъка с конфигурируеми настройки, докато намерите този, озаглавен Config.HostAgent.plugins.hostsvc.esxAdminsGroup. По подразбиране всички групи на Active Directory, добавени към групата ESX Admins, автоматично ще получат достъп до ESXi като администратор. AD обаче не съдържа такава група, така че можем да предоставим наша собствена и да конфигурираме тази настройка, като маркирате настройката и щракнете върху бутона за опция Редактиране (Фигура E).
Фигура E
В прозореца, който е отворен, изтрийте групата по подразбиране и въведете името на група за сигурност, съдържаща се в AD, която има конфигурирани акаунти на членове, които ще управляват ESXi хоста. Като пример, ако групата на администраторите на домейн ще се нуждае от достъп до ESXi хоста, въведете името на тази група в полето. Могат да бъдат въведени няколко имена на групи, разделени със запетая. Натиснете бутона Save, за да запазите (Фигура F).
Фигура F
След това ще проверим дали настройката, озаглавена Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd, е зададена на true. Това е настройката по подразбиране за по-новите версии и гарантира, че акаунтите, които са членове на групата, въведена във втората стъпка по-горе, ще бъдат администратори на хоста ESXi (Фигура G).
Фигура Ж
Накрая излезте като локален потребител и опитайте да се удостоверите с помощта на идентификационните данни на вашия домейн. Потребителите обикновено могат да влизат само с потребителското име и паролата, но ако се покаже грешка, опитайте да въведете потребителското име във формат "потребителско име"@"домейн"."TLD" (Фигура H) (Фигура I).
Фигура H
Фигура I
Вече трябва да можете да се удостоверявате към ESXi хоста чрез AD акаунти, а акаунтът, тестван по-горе, също трябва да бъде администратор. Достъпът може да бъде ограничен детайлно, ако е необходимо, чрез създаване на множество групи за сигурност в AD и съответно повторно конфигуриране на настройките в стъпки от едно до три.
Укрепете защитата на ИТ сигурността на вашата организация, като сте в крак с най-новите новини, решения и най-добри практики за киберсигурност. Доставя се във вторник и четвъртък
Запишете се днесPREV: Как да настроите Let’s Encrypt за множество виртуални хостове Apache ...