ESXi implementuje rámec PAM nebo Pluggable Authentication Module, který podporuje několik metod ověřování, jednou z nich je Active Directory (AD). To znamená, že můžete zahrnout AD jako ověřovací mechanismus do vašich prostředí vSphere. Výhod je mnoho, ale ta, která vyčnívá nejvíce, je možnost autentizace pomocí uživatelského účtu AD a jeho použití, včetně skupin zabezpečení AD, k udělení oprávnění k objektům vSphere. Tím odpadá nutnost udržovat a replikovat místní uživatele a skupiny ESXi ve více instancích ESXi. Skvělou funkcí je také jednotné přihlášení pomocí přihlašovacích údajů systému Windows.
Správa uživatelů je také hračkou, jakmile je povoleno ověřování AD. Zvažte případ, kdy administrátor vSphere odchází na zelené pastviny. S AD je to jednoduchá záležitost deaktivace jeho uživatelského účtu a máte hotovo. Pokud na druhou stranu administrátoři sdílejí a používají místní root nebo podobně privilegované účty, tato nejistá praxe by vyžadovala plošnou změnu hesla za předpokladu, že zabezpečení je něco, co si vážíte.
V dnešním příspěvku se tedy podívám na proces připojení ESXi 6.5 k Active Directory. Moje testovací nastavení se skládá z jednoho nespravovaného hostitele ESXi 6.5 a řadiče domény Windows 2012 (DC) se systémem DNS, jednoho nastavení doménové struktury / domény a hostování všech rolí FSMO.
Synchronizace času: Čas na hostiteli ESXi a DC musí být synchronizovaný. Chcete-li to provést, nakonfigurujte oba pro použití stejného zdroje NTP nebo jednoduše nakonfigurujte službu NTP na ESXi tak, aby používala DC jako zdroj času. Ve výchozím nastavení je řadič domény, který má roli emulátoru primárního řadiče domény, také zodpovědný za udržování času pro celou doménovou strukturu.
Rozlišení DNS: Hostitel ESXi musí být schopen přeložit názvy DNS domén a řadičů domény. Nejjednodušším řešením je přidat IP adresu DC, který je nakonfigurován jako DNS server pro danou doménu.
Kořenový přístup: Vytvořte skupinu s názvem ESX Admins ve službě Active Directory. Uživatelským účtům AD, které jsou k němu přiřazeny, je automaticky udělen root přístup na ESXi.
Přístup pomocí brány firewall: Ujistěte se, že žádná brána firewall neblokuje následující porty UDP i TCP:
88 – Autentizace Kerberos123 – NTP135 – RPC137 – Služba názvu NetBIOS139 – Služba NetBIOS Session Service (SMB)389 – LDAP445 – Microsoft-DS Active Directory, sdílené složky Windows (SMB přes TCP)464 – Kerberos – změna/změna hesla3268- Vyhledávání v globálním kataloguTady je málo práce. Stačí přidat záznamy A a PTR pro hostitele ESXi do zóny DNS domény, jak je znázorněno na obrázku 1.
Obrázek 1 – Vytvoření DNS záznamů pro ESXi na serveru Microsoft DNS
Pomocí konzoly ADUC MMC vytvořte skupinu zabezpečení s názvem ESX Admins a přidejte uživatele AD, kterým chcete přidělit kořenová oprávnění ESXi.
Obrázek 2 – Vytvoření skupin zabezpečení ESX Admins v AD
Ve skutečnosti můžete zadat libovolnou skupinu AD, pokud upravíte pokročilé nastavení Config.HostAgent.plugins.hostsvc.esxAdminsGroup, jak je znázorněno na obr. 3.
Obrázek 3 – Určení alternativní kořenové skupiny uživatelů AD ESXi z vestavěného hostitelského klienta ESXi
ESXi 6.5 můžete nakonfigurovat několika způsoby. Patří mezi ně DCUI, příkazový řádek ESXi, PowerCLI nebo prostřednictvím vestavěného hostitele ESXi nebo tlustého klienta.
Povolte pravidlo brány firewall Active Directory
Při psaní tohoto příspěvku jsem se dozvěděl, že pravidlo brány firewall Active Directory All na ESXi je ve výchozím nastavení zakázáno. To samozřejmě pohrává s procesem integrace AD, protože ESXi nebude moci dosáhnout DC. Pomocí hostitelského klienta povolte pravidlo brány firewall, jak je znázorněno na obrázku 4. Zvýrazněte pravidlo, klikněte na něj pravým tlačítkem a vyberte možnost Povolit.
Obrázek 4 – Povolení pravidla brány firewall Active Directory All na ESXi
Nastavení DNS
Snadný způsob, jak nakonfigurovat nastavení DNS na ESXi, je pomocí DCUI nebo tlustého klienta. To je znázorněno na obrázcích 5 a 6. Z DCUI se přihlaste jako root, stiskněte F2 a přejděte do nabídky Konfigurace DNS a stiskněte Enter.
V okně Konfigurace DNS přidejte adresu IP řadiče domény se službou DNS jako primární nebo alternativní server DNS. Hodnota Hostname musí odpovídat záznamu DNS A vytvořenému pro hostitele ESXi v zóně DNS domény.
Obrázek 5 – Konfigurace nastavení DNS na ESXi pomocí DCUI
Obrázek 6 – Konfigurace nastavení DNS na ESXi pomocí tlustého klienta
Konfigurace NTP
Podle požadavků musí být ESXi časově synchronizováno s doménou. Jedním ze způsobů, jak toho dosáhnout, je přidat IP adresu DC zastávajícího roli PDC do seznamu NTP serverů na ESXi. Obrázek 7 ukazuje, jak to provést pomocí tlustého (C#) klienta. Ujistěte se, že je zaškrtnuta možnost NTP Client Enabled.
Obrázek 7 – Správa služby NTP na ESXi prostřednictvím tlustého klienta
Případně SSH do ESXi, přihlaste se jako root a upravte /etc/ntp.conf pomocí vi. Přidejte linkový server x.x.x.x, jak je znázorněno na obr. 8, kde x.x.x.x odpovídá IP adrese NTP serveru, který chcete použít, což je v mém případě samotný DC. Až budete hotovi, restartujte službu ntp spuštěním /etc/init.d/ntpd restart, jak je znázorněno na obr. 8.
Obrázek 8 – Přidání zdroje času NTP pomocí příkazového řádku a restartování démona NTP
Jakmile bude SSH převedeno na ESXi, proveďte test nslookup, abyste zjistili, zda lze název domény AD přeložit. Podle mého příkladu je název domény AD gojira.local, který se správně překládá, jak je znázorněno na obr. 9.
Obrázek 9 – Spuštění nslookup ke kontrole, zda se název domény AD překládá správně
Nyní, když jsou všechny části na svém místě, zbývá jen připojit ESXi k doméně. K tomu jsem použil vestavěného hostitelského klienta, aby byly věci trochu zajímavé. Pokud si však přejete, můžete udělat totéž pomocí příkazového řádku ESXi nebo tlustého klienta.
Pomocí vestavěného hostitelského klienta
Podle obrázku 10 se přihlaste jako root a vyberte Spravovat z Navigátoru. Vyberte Authentication (3) z Security & Záložka Uživatelé (2). Dále klikněte na tlačítko Připojit se k doméně (4) a zadejte název domény AD (5) a přihlašovací údaje (6) s požadovanými právy pro připojení počítačů k doméně. Ujistěte se, že dodržujete formátování zobrazené na snímku obrazovky. V okně Join Domain klikněte na Join Domain (7). ESXi je přidáno do Active Directory podle zeleně zvýrazněných polí.Obrázek 10 – Pomocí hostitelského klienta připojte ESXi k Active Directory
Doménu můžete kdykoli opustit kliknutím na možnost Opustit doménu.
Pomocí příkazového řádku ESXi
Pozdější verze ESXi obsahují rutinu domainjoin-cli z balíčku likewise-open, který je také součástí mnoha linuxových distribucí.
Na ESXi 6.5 se příkaz spouští z /usr/lib/likewise/bin. Pokud jste nepovolili výše uvedené pravidlo brány firewall AD, musíte dočasně uvolnit bránu firewall ESXi – za předpokladu, že je povolená – aby to fungovalo. Pokud se tak nestane, zobrazí se chyba Error: NERR_DCNotFound [kód 0x00000995].
Syntaxe rutiny je tato: domainjoin-cli joinadministrator password. Heslo můžete vynechat a místo toho jej zadat. Obrázek 11 ukazuje, jak selhal první pokus o připojení kvůli bráně firewall, zatímco druhý pokus byl úspěšný, když byla brána firewall dočasně deaktivována.
Obrázek 11 – Připojení ESXi k AD pomocí domainjoin-cli
Podle obr. 12 můžete spustit dotaz domainjoin-cli a ověřit, zda je DC dosažitelné.
Obrázek 12 – Spuštění dotazu domainjoin-cli k ověření správné funkčnosti AD
Ze strany AD byste měli vidět nový počítačový účet vytvořený pro ESXi v části Počítače.
Obrázek 13 – Počítačový účet pro ESXi je vytvořen v AD při připojení k doméně
Jednotné přihlášení pomocí přihlašovacích údajů systému Windows
Tlustý (C#) klient vSphere vám dává možnost přihlásit se s aktuálně přihlášeným uživatelem Windows za předpokladu, že jste ve stejné doméně jako ESXi. Je smutné, že vestavěný hostitelský klient ESXi nenabízí stejnou funkčnost, alespoň prozatím ne. Pro jistotu jsem zveřejnil komentář a určitě dost, jeden z vývojářů VMware pracující na projektu hostitelského klienta se během několika minut vrátí. Stručně řečeno, bylo potvrzeno, že VMware si „uvědomuje mezeru a aktuálně hledá, jak stanovit priority a jak ji implementovat“. Držte nám palce, tato funkce bude brzy k dispozici hostiteli ve vašem okolí!
Další je video, které ukazuje jednotné přihlášení v akci při použití starého klienta vSphere. Kromě toho také ukazuji, kde je z ESXi připojeno a odstraněno z domény AD.
Udělování oprávnění k objektům vSphere
Vzhledem k tomu, že ESXi je nyní zdrojem AD, lze k němu a objektům vSphere, které má, přiřadit oprávnění pomocí objektů zabezpečení AD. V tomto dalším videu ukážu, jak udělit administrátorský přístup na jednom virtuálním počítači uživateli s názvem gojira\jason. Přístup k jakémukoli jinému objektu nebo pohledu vSphere je odepřen.
Totéž lze provést pomocí vestavěného hostitelského klienta. Upozornění je, že musíte explicitně zadat uživatelský účet nebo skupinu AD, protože prostředky AD nejsou vystaveny klientem, na rozdíl od tlustého klienta, který je uvádí v rozevíracím seznamu. To je další věc, kterou se vývojový tým VMware aktuálně zabývá a pokud to bude možné, implementuje ji.
Obrázek 14 – Udělení oprávnění pomocí principů zabezpečení AD prostřednictvím vestavěného hostitelského klienta ESXi
Tím to pro dnešek v podstatě uzavíráme. Jak jsme viděli, připojení ESXi k Active Directory má řadu výhod. Usnadňuje správu uživatelů a zároveň zlepšuje zabezpečení ve všech oblastech. V nadcházejícím příspěvku se budu zabývat podobným postupem tentokrát zaměřeným na server vCenter.
[id_reklamy=”4738″][ID_reklamy=”4796″]
PREV: Hostujte více webů na jednom serveru pomocí Apache | Tekutý web
NEXT: Jak nastavit Let's Encrypt pro více virtuálních hostitelů Apache ...