• Дигитални аксесоари
  • сървър
  • Дигитален живот
  • Политика за поверителност
  • Свържете се с нас
  1. Home
  2. сървър
  3. Как да присъедините ESXi към AD за подобрено управление и сигурност

Как да присъедините ESXi към AD за подобрено управление и сигурност

Rsdaa 19/12/2021 1919

ESXi внедрява рамката PAM или Pluggable Authentication Module, която поддържа няколко метода за удостоверяване, един от които е Active Directory (AD). Това означава, че можете да включите AD като механизъм за удостоверяване във вашите vSphere среди. Предимствата са много, но това, което се откроява най-много, е възможността за удостоверяване с помощта на потребителски акаунт на AD и използването на същия, включително групи за сигурност на AD, за предоставяне на разрешения за vSphere обекти. Това премахва необходимостта от поддържане и копиране на локални ESXi потребители и групи в множество копия на ESXi. Единичното влизане с идентификационни данни на Windows също е страхотна функция.

Управлението на потребителите също е лесно, след като AD удостоверяването е активирано. Помислете за случая на vSphere администратор, който тръгва на зелено. С AD е просто да деактивирате неговия или нейния потребителски акаунт и сте готови. Ако от друга страна администраторите споделят и използват локални root или подобни привилегировани акаунти, тази несигурна практика би изисквала цялостна промяна на паролата, ако приемем, че сигурността е нещо, което цените.

И така, в днешната публикация ще разгледам процеса на присъединяване на ESXi 6.5 към Active Directory. Моята тестова настройка се състои от единичен неуправляван ESXi 6.5 хост и Windows 2012 Domain Controller (DC), работещ с DNS, настройка на една гора/домейн и хостване на всички FSMO роли.

Изисквания

Синхронизиране на времето: Времето на ESXi хоста и DC трябва да са синхронизирани. За да направите това, конфигурирайте и двете да използват един и същ NTP източник или просто конфигурирайте NTP услугата на ESXi да използва DC като източник на време. По подразбиране DC, притежаващ ролята на PDC Emulator, също отговаря за поддържането на времето за цялата гора.

Разрешаване на DNS: ESXi хостът трябва да може да разрешава DNS имената на домейна и домейн контролера(ите). Най-лесното решение за това е да добавите IP адреса на DC, който е конфигуриран като DNS сървър за този домейн.

Root достъп: Създайте група, наречена ESX Admins в Active Directory. Акаунтите на AD потребители, присвоени на него, автоматично получават root достъп до ESXi.

Достъп до защитна стена: Уверете се, че няма защитна стена, блокираща следните портове както UDP, така и TCP:

88 – Kerberos удостоверяване123 – NTP135 – RPC137 – NetBIOS Name Service139 – NetBIOS Session Service (SMB)389 – LDAP445 – Microsoft-DS Active Directory, Windows споделяния (SMB през TCP)464 – Kerberos – промяна/промяна на паролата3268- Търсене в глобален каталог

Конфигуриране на Active Directory

Тук има малко работа. Просто добавете A и PTR записи за хоста ESXi към DNS зоната на домейна, както е показано на фигура 1.

Фигура 1 – Създаване на DNS записи за ESXi на DNS сървър на Microsoft

Използвайки ADUC MMC конзолата, създайте група за сигурност, наречена ESX Admins, и добавете AD потребителите, на които искате да бъдат присвоени ESXi root привилегии.

Фигура 2 – Създаване на групи за сигурност на ESX Admins в AD

В действителност можете да посочите всяка AD група по ваш вкус, при условие че промените разширената настройка Config.HostAgent.plugins.hostsvc.esxAdminsGroup, както е показано на Фиг. 3.

Фигура 3 – Указване на алтернативна AD ESXi основна потребителска група от вградения ESXi хост клиент

Конфигуриране на ESXi

Можете да конфигурирате ESXi 6.5 по няколко начина. Те включват DCUI, командния ред на ESXi, PowerCLI или чрез вградения ESXi хост или дебел клиент.

Активирайте правилото за защитна стена на Active Directory

Докато писах тази публикация, научих, че правилото на защитната стена на Active Directory All на ESXi е деактивирано по подразбиране. Това, разбира се, създава хаос в процеса на интегриране на AD, тъй като ESXi няма да може да достигне до DC. Като използвате хост клиента, активирайте правилото на защитната стена, както е показано на фигура 4. Маркирайте правилото, щракнете с десния бутон върху него и изберете Активиране.

Фигура 4 – Активиране на правилото за защитна стена на Active Directory All на ESXi

Настройки на DNS

Лесният начин за конфигуриране на DNS настройки на ESXi е чрез DCUI или дебел клиент. Това е показано съответно на Фигури 5 и 6. От DCUI влезте като root, натиснете F2 и отидете до опцията на менюто DNS Configuration и натиснете Enter.

В прозореца за конфигурация на DNS добавете IP адреса на DC, изпълняващ DNS услугата, като основен или алтернативен DNS сървър. Стойността на името на хоста трябва да съответства на DNS A записа, създаден за ESXi хоста в DNS зоната на домейна.

Фигура 5 – Конфигуриране на DNS настройките на ESXi с помощта на DCUI

Фигура 6 – Конфигуриране на DNS настройките на ESXi чрез дебел клиент

NTP конфигурация

Съгласно изискванията, ESXi трябва да бъде времево синхронизиран с домейна. Един от начините за постигане на това е да добавите IP адреса на DC, притежаващ ролята на PDC, към списъка с NTP сървъри на ESXi. Фигура 7 очертава как да направите това с помощта на дебел (C#) клиент. Уверете се, че опцията NTP Client Enabled е включена.

Фигура 7 – Управление на NTP услугата на ESXi чрез дебел клиент

Алтернативно, SSH към ESXi, влезте като root и редактирайте /etc/ntp.conf с помощта на vi. Добавете линейния сървър x.x.x.x, както е показано на фиг.8, където x.x.x.x съответства на IP адреса на NTP сървъра, който искате да използвате, което в моя случай е самият DC. Когато сте готови, рестартирайте услугата ntp, като изпълните /etc/init.d/ntpd restart, както е показано на фиг. 8.

Фигура 8 – Добавяне на NTP източник на време чрез командния ред и рестартиране на NTP демона

След като свържете SSH към ESXi, извършете тест nslookup, за да видите дали името на домейна на AD може да бъде разрешено. Според моя пример името на домейна на AD е gojira.local, което се разрешава правилно, както е показано на фиг. 9.

Фигура 9 – Изпълнение на nslookup за проверка дали името на домейна на AD се разрешава правилно

Присъединяване към Active Directory

Сега, когато всичко е готово, остава само да присъедините ESXi към домейна. За да направя това, използвах вградения хост клиент, за да направя нещата малко интересни. Ако желаете обаче, можете да направите същото чрез командния ред на ESXi или дебелия клиент.

Използване на вградения хост клиент

Съгласно Фигура 10, влезте като root и изберете Управление от Navigator. Изберете Удостоверяване (3) от Security & Раздел „Потребители“ (2). След това щракнете върху бутона „Присъединяване към домейн“ (4) и въведете името на домейна на AD (5) и идентификационните данни (6) с необходимите права за присъединяване на компютри към домейн. Уверете се, че спазвате форматирането, показано на екранната снимка. Щракнете върху Присъединяване към домейн (7) от прозореца Присъединяване към домейн. ESXi се добавя към Active Directory според маркираните полета в зелено.

Фигура 10 – Използвайте хост клиента, за да присъедините ESXi към Active Directory

Можете да напуснете домейна по всяко време, като щракнете върху опцията Напускане на домейна.

Използване на командния ред на ESXi

По-късните версии на ESXi включват cmdlet domainjoin-cli от пакета likewise-open, който също е включен в много Linux дистрибуции.

На ESXi 6.5 командата се изпълнява от /usr/lib/likewise/bin. Ако не сте активирали правилото за защитна стена на AD, споменато по-рано, трябва временно да разтоварите защитната стена на ESXi – ако приемем, че е активирана – за да работи това. Ако не направите това, ще получите грешка Error: NERR_DCNotFound [код 0x00000995].

Синтаксисът на cmdlet е следният: парола за присъединяване на cli към администратора. Можете да пропуснете паролата и да я въведете вместо нея. Фигура 11 показва как първият опит за присъединяване е неуспешен поради защитната стена, докато вторият опит е успешен, когато защитната стена е била временно деактивирана.

Фигура 11 – Присъединяване на ESXi към AD с помощта на domainjoin-cli

Съгласно фиг. 12, можете да изпълните заявка domainjoin-cli, за да проверите дали DC е достъпен.

Фигура 12 – Изпълнение на заявка за свързване на домейн-cli за проверка на правилната AD функционалност

От страна на AD, трябва да видите нов компютърен акаунт, създаден за ESXi под Компютри.

Фигура 13 – Компютърен акаунт за ESXi се създава в AD при присъединяване към домейна

Време е да тествате!

Единично влизане чрез идентификационни данни за Windows

Дебелият (C#) vSphere клиент ви дава възможност да влезете с текущия потребител на Windows, при условие че сте в същия домейн като ESXi. За съжаление, вграденият ESXi хост клиент не предлага същата функционалност, поне не за момента. Само за да съм сигурен, публикувах коментар и със сигурност един от разработчиците на VMware, работещи по проекта на хост клиент, изпрати имейл да се върне след няколко минути. Накратко, беше потвърдено, че VMware са „наясно с празнината и в момента търсят как да дадат приоритет и да я внедрят“. Стискайте палци, тази функция скоро ще бъде достъпна за хост близо до вас!

Следва видео, което показва SSO в действие при използване на стария vSphere клиент. В допълнение, аз също показвам къде от ESXi може да се присъедини към и премахне от AD домейн.

Предоставяне на разрешения за vSphere обекти

Тъй като ESXi вече е AD ресурс, разрешенията, използващи AD принципали за сигурност, могат да бъдат присвоени на него и vSphere обектите, които притежава. В това следващо видео демонстрирам как да предоставя администраторски достъп до една виртуална машина на потребител, наречен gojira\jason. Достъпът до всеки друг vSphere обект или изглед е отказан.

Същото може да се извърши с помощта на вградения хост клиент. Предупреждението тук е, че трябва изрично да въведете потребителския акаунт или група на AD, тъй като ресурсите на AD не се показват от клиента, за разлика от дебелия клиент, който ги изброява в падащо поле. Това е нещо друго, което екипът за разработка на VMware в момента разглежда и ще приложи, ако е възможно.

Фигура 14 – Предоставяне на разрешения с помощта на принципите за сигурност на AD чрез вградения ESXi хост клиент

Заключение

Това до голяма степен приключва за днес. Както видяхме, има редица предимства при присъединяването на ESXi към Active Directory. Това прави управлението на потребителите по-лесно, като същевременно подобрява сигурността навсякъде. В предстояща публикация ще разгледам подобна процедура този път, насочена към vCenter Server.

[the_ad id=”4738″][the_ad id=”4796″]


PREV: Хоствайте множество сайтове на един сървър с помощта на Apache | Течна мрежа

NEXT: Как да настроите Let’s Encrypt за множество виртуални хостове Apache ...

Popular Articles

Hot Articles

Navigation Lists

Back to Top