VMware-isäntäpalvelimet vaativat kehittyneitä ohjelmistoja niiden massahallintaan. Järjestelmänvalvojat voivat rajoittaa pääsyä AD-palvelujen avulla käyttäjätilien suojauksen todentamiseksi ja hallitsemiseksi.
Kuva: metamorworks, Getty Images/iStockphoto
Kuten suuri osa IT-asioista nykyään, ajat osoittavat, että saa aikaan enemmän vähemmällä. Vähemmän, mutta tehokkaampia palvelimia, jotka voivat yhdistää suuren palvelinfarmin kevyemmäksi ja tehokkaammaksi konesaliksi, on yksi esimerkki tästä filosofiasta, joka on kehittynyt osaksi IT:n ydin-DNA:ta. Ei yksinkertaisesti ole mitään hyvää syytä olla hyödyntämättä olemassa olevaa infrastruktuuria, jotta toinen osa toimisi sujuvammin. Yksi varoitus on yleensä korkeampi hintapiste.
Tällainen tilanne on VMware ESXI hypervisor (ilmainen) ja vSphere Management Suite (ei ilmainen). Mutta on olemassa asioita, joita IT-osastot voivat tehdä tarjotakseen keskitetymmän hallintakokemuksen, ja ESXI-isäntien liittäminen olemassa olevaan Microsoft AD -ympäristöön on loistava alku. Active Directory Domain Services (AD DS) -palveluiden avulla IT-osastot voivat parantaa tietoturvaa ja kulunvalvontaa keskitetyn käyttäjätilien hallinnan ja todennuksen avulla.
KATSO: Tietoturvakäytäntömallin lataus (Tech Pro Research)
Onneksi prosessi on intuitiivinen ja ESXI tukee natiivisti AD-integraatiota. Vaikka on olemassa muutamia vaatimuksia, jotka on otettava huomioon ennen aloittamista:
Palvelin, jossa on Windows Server 2008 (tai uudempi), johon on asennettu seuraavat roolit: Active Directory Domain Services DHCP DNS Active Directory täynnä käyttäjätilejä ja tietokoneobjekteja Bare-Metal-palvelin, jossa on ESXi Hypervisor v5.5 (tai uudempi) Switched Network Broadband ISP (valinnainen) ; Suositus) ESXi- ja Windows Server Domain -järjestelmänvalvojan oikeudet (tai delegoidut käyttöoikeudet) Active DirectoryynKirjaudu sisään ESXi-isäntäpalvelimeen vahvistaaksesi isäntänimen. Tämä tulisi nimetä sen mukaan, mitä AD:n tietokoneobjektia kutsutaan (kuva A).
Kuva A
Napsauta Navigaattorin Isäntä-kohdassa Hallitse ja napsauta sitten Suojaus & käyttäjät | Sertifikaatit, joilla varmistetaan, että isäntänimi vastaa ensimmäisen vaiheen nimeä. Näiden on vastattava toisiaan, tai liitosprosessi epäonnistuu (kuva B).
Kuva B
Kun isäntänimet on vahvistettu, napsauta Authentication | Liity verkkotunnukseen. Sinulta kysytään toimialueen nimeä ja verkkotunnuksen järjestelmänvalvojan tunnistetietoja, joilla se on liitetty AD:hen. Prosessi voi kestää useita minuutteja, mutta kun se on suoritettu onnistuneesti, se näyttää liitetyn toimialueen nimen ja kaikki siihen liittyvät luotetut verkkotunnukset (kuva C).
Kuva C
Valinnainen, napsauta Käyttöjärjestelmä-välilehteä tarkistamalla tietokoneobjektin ominaisuudet kohdassa AD-käyttäjät ja tietokoneet. On yleistä, että "tuntematon" näkyy sekä nimellä että versiolla. Sen pitäisi kuitenkin olla "Likewise Open 6.2.0" Service Packille. Tämä varmistaa, että isäntä on sitoutunut onnistuneesti AD-tietokoneobjektiin (kuva D).
Kuva D
Ennen kuin ESXi-isäntä käsittelee AD-todennusta, meidän on ensin tehtävä joitakin muutoksia oletussuojausasetuksiin.
Kirjaudu sisään ESXi-isäntään paikallisella järjestelmänvalvojan tilillä, napsauta Hallinta ja sitten Järjestelmä-välilehteä | Lisäasetukset. Vieritä konfiguroitavien asetusten luetteloa alaspäin, kunnes löydät asetuksen nimeltä Config.HostAgent.plugins.hostsvc.esxAdminsGroup. Oletusarvoisesti kaikille ESX Admins -ryhmään lisätyille Active Directory -ryhmille annetaan automaattisesti pääsy ESXiin järjestelmänvalvojana. AD ei kuitenkaan sisällä tällaista ryhmää, joten voimme tarjota oman ja määrittää tämän asetuksen korostamalla asetuksen ja napsauttamalla Muokkaa-painiketta (kuva E).
Kuva E
Poista avoimessa ikkunassa oletusryhmä ja kirjoita AD:n sisältämän suojausryhmän nimi, jolla on määritettyjä jäsentilit, jotka hallitsevat ESXi-isäntää. Esimerkiksi, jos Domain Admins -ryhmä tarvitsee pääsyn ESXi-isäntään, kirjoita ryhmän nimi kenttään. Useita ryhmien nimiä voidaan syöttää pilkulla erotettuina. Tallenna painamalla Tallenna-painiketta (kuva F).
Kuva F
Seuraavaksi tarkistamme, että Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd-asetuksen arvo on tosi. Tämä on oletusasetus uudemmissa versioissa ja varmistaa, että yllä olevassa toisessa vaiheessa syötettyyn ryhmään kuuluvat tilit ovat ESXi-isännän järjestelmänvalvojia (kuva G).
Kuva G
Kirjaudu viimeksi ulos paikallisena käyttäjänä ja yritä todentaa verkkotunnuksesi tunnistetiedoilla. Käyttäjät voivat yleensä kirjautua sisään pelkällä käyttäjätunnuksella ja salasanalla, mutta jos näyttöön tulee virhe, yritä kirjoittaa käyttäjänimi muodossa "käyttäjänimi"@"domain"."TLD" (Kuva H) (Kuva I).
Kuva H
Kuva I
Sinun pitäisi nyt pystyä todennettua ESXi-isäntään AD-tilien kautta, ja yllä testatun tilin pitäisi olla myös järjestelmänvalvoja. Pääsyä voidaan rajoittaa tarpeen vaatiessa luomalla useita suojausryhmiä AD:ssa ja määrittämällä asetukset uudelleen vaiheissa 1–3 vastaavasti.
Vahvista organisaatiosi IT-tietoturvaa pysymällä ajan tasalla viimeisimmistä kyberturvallisuusuutisista, -ratkaisuista ja parhaista käytännöistä. Toimitetaan tiistaisin ja torstaisin
Rekisteröidy tänäänPREV: Let's Encryptin määrittäminen useille Apache-virtuaaliisännille ...
NEXT: Verkkotunnukset Usein kysytyt kysymykset | Microsoft Docs