Konfigurace externího zdroje identit pro vCenter
V řešení Azure VMware má vCenter integrovaný místní uživatel s názvem cloudadmin přiřazený k roli cloudadmin. Můžete nakonfigurovat uživatele a skupiny ve službě Active Directory (AD) s rolí CloudAdmin pro váš privátní cloud. Obecně platí, že role CloudAdmin vytváří a spravuje úlohy v privátním cloudu. Ale v řešení Azure VMware má role CloudAdmin oprávnění vCenter, která se liší od jiných cloudových řešení VMware a místních nasazení.
Důležité
Místní uživatel cloudadmin by měl být považován za účet pro nouzový přístup pro scénáře "break sklo" v privátním cloudu. Nejedná se o každodenní administrativní činnosti nebo integraci s dalšími službami.
V případě místního nasazení vCenter a ESXi má správce přístup k @ místnímu účtu správce vCenter vSphere. Můžou mít taky přiřazené víc uživatelů a skupin služby AD.
V nasazení řešení Azure VMware nemá správce přístup k uživatelskému účtu správce. Můžou ale k roli CloudAdmin v vCenter přiřadit uživatele a skupiny AD. Role CloudAdmin nemá oprávnění přidat zdroj identity, jako je místní server LDAP nebo LDAPs do vCenter. Můžete ale použít příkazy spustit k přidání zdroje identity a přiřazení role cloudadmin uživatelům a skupinám.
Uživatel privátního cloudu nemá přístup ke službě a nemůže konfigurovat konkrétní součásti pro správu, které Microsoft podporuje a spravuje. Například clustery, hostitelé, úložiště dat a distribuované virtuální přepínače.
Poznámka
V řešení Azure VMware je k dispozici jako spravovaný prostředek pro podporu operací platformy vSphere. Local SSO doména. Nepodporuje vytváření a správu místních skupin a uživatelů kromě těch, které jsou ve výchozím nastavení k dispozici ve vašem privátním cloudu.
Poznámka
Příkazy spustit jsou spouštěny postupně v odeslaném pořadí.
V tomto postupu se naučíte:
- Zobrazit seznam všech existujících externích zdrojů identity integrovaných se službou vCenter SSO
- Přidat službu Active Directory přes protokol LDAP s protokolem SSL nebo bez něj
- Přidat existující skupinu AD do skupiny cloudadmin
- Odebrání skupiny AD z role cloudadmin
- Odebrání existujících externích zdrojů identity
Požadavky
Navažte připojení z místní sítě k privátnímu cloudu.
pokud máte službu ad s protokolem SSL, stáhněte si certifikát pro ověřování AD a nahrajte ho do účtu Azure Storage jako úložiště objektů blob. pak budete muset udělit přístup k Azure Storage prostředkům pomocí sdíleného přístupového podpisu (SAS).
Pokud používáte plně kvalifikovaný název domény, povolte v místní službě AD překlad DNS.
Zobrazit externí identitu
Spuštěním Get-ExternalIdentitySources rutiny zobrazíte seznam všech externích zdrojů identit, které jsou již integrovány s nástrojem VCENTER SSO.
Přihlaste se k webu Azure Portal.
Vyberte Spustit > balíčky příkazů > Get-ExternalIdentitySources.
Zadejte požadované hodnoty nebo změňte výchozí hodnoty a pak vyberte Spustit.
Pole Hodnota Zachovat až Doba uchování výstupu rutiny Výchozí hodnota je 60 dní. Zadat název pro spuštění Alfanumerický název, například getExternalIdentity. Prodlev Doba, po které se rutina ukončí, pokud se nedokončí dokončení příliš dlouho. Podívejte se na oznámení nebo klikněte na podokno stav spuštění, kde se zobrazí průběh.
Přidání služby Active Directory přes protokol LDAP s protokolem SSL
Spuštěním New-AvsLDAPSIdentitySource rutiny PŘIDÁTE AD přes LDAP s protokolem SSL jako externí zdroj identity pro použití s přihlášením SSO do vCenter.
stáhněte si certifikát pro ověřování AD a nahrajte ho do účtu Azure Storage jako úložiště objektů blob. Pokud je vyžadováno více certifikátů, nahrajte každý certifikát jednotlivě.
pro každý certifikát udělte přístup k Azure Storage prostředkům pomocí sdíleného přístupového podpisu (SAS). Tyto řetězce SAS jsou dodány rutině jako parametr.
Důležité
Nezapomeňte zkopírovat každý řetězec SAS, protože po opuštění této stránky již nebudou k dispozici.
Vyberte Spustit > balíčky příkazů > New-AvsLDAPSIdentitySource.
Zadejte požadované hodnoty nebo změňte výchozí hodnoty a pak vyberte Spustit.
Pole Hodnota Název Uživatelsky přívětivý název externího zdroje identity, například avslap. Local. DomainName Plně kvalifikovaný název domény domény DomainAlias V případě zdrojů identity služby Active Directory se jedná o název NetBIOS domény. Pokud používáte ověřování pomocí rozhraní SSPI, přidejte název domény služby AD jako alias zdroje identity. PrimaryUrl Primární adresa URL externího zdroje identity, například LDAP://YourServer:636. SecondaryURL Sekundární adresa URL zpětného pádu v případě prvotního selhání BaseDNUsers Kde hledat platné uživatele, například CN = Users, DC = yourserver, DC = Internal. Základní rozlišující název je nutný k ověřování pomocí protokolu LDAP. BaseDNGroups Kde hledat skupiny, například CN = Group1, DC = yourserver, DC = Internal. Základní rozlišující název je nutný k ověřování pomocí protokolu LDAP. Přihlašovací údaj Uživatelské jméno a heslo, které se používá k ověřování se zdrojem služby AD (ne cloudadmin). Uživatel musí být ve username@avsldap.local formátu. CertificateSAS Cesta k řetězcům SAS s certifikáty pro ověřování ke zdroji služby AD. Pokud používáte více certifikátů, oddělte každý řetězec SAS čárkou. Například pathtocert1, pathtocert2. Parametr Skupina v externím zdroji identity, která poskytuje přístup cloudadmin. Například služby AVS-Admins. Zachovat až Doba uchování výstupu rutiny Výchozí hodnota je 60 dní. Zadat název pro spuštění Alfanumerický název, například addexternalIdentity. Prodlev Doba, po které se rutina ukončí, pokud se nedokončí dokončení příliš dlouho. Podívejte se na oznámení nebo klikněte na podokno stav spuštění, kde se zobrazí průběh.
Přidat službu Active Directory přes protokol LDAP
Poznámka
Tuto metodu nedoporučujeme. Místo toho použijte metodu Přidat službu Active Directory přes protokol LDAP s protokolem SSL .
Spuštěním New-AvsLDAPIdentitySource rutiny PŘIDÁTE AD přes LDAP jako externí zdroj identity pro použití s přihlášením SSO do vCenter.
Vyberte Spustit > balíčky příkazů > New-AvsLDAPIdentitySource.
Zadejte požadované hodnoty nebo změňte výchozí hodnoty a pak vyberte Spustit.
Pole Hodnota Název Uživatelsky přívětivý název externího zdroje identity, například avslap. Local. DomainName Plně kvalifikovaný název domény domény DomainAlias V případě zdrojů identity služby Active Directory se jedná o název NetBIOS domény. Pokud používáte ověřování pomocí rozhraní SSPI, přidejte název domény služby AD jako alias zdroje identity. PrimaryUrl Primární adresa URL externího zdroje identity, například LDAP://YourServer:389. SecondaryURL Sekundární adresa URL zpětného pádu v případě prvotního selhání BaseDNUsers Kde hledat platné uživatele, například CN = Users, DC = yourserver, DC = Internal. Základní rozlišující název je nutný k ověřování pomocí protokolu LDAP. BaseDNGroups Kde hledat skupiny, například CN=group1, DC=yourserver,DC= internal. K použití ověřování protokolu LDAP je potřeba základní rozlišující název. Přihlašovací údaj Uživatelské jméno a heslo používané k ověřování ve zdroji AD (ne ve službě cloudadmin). Groupname Skupina, která správcům cloudu poskytne přístup k externímu zdroji identity, například avs-admins. Zachovat až Doba uchování výstupu rutiny. Výchozí hodnota je 60 dní. Zadání názvu pro spuštění Alfanumerický název, například addexternalIdentity. Časový limit Období, po jehož uplynutí se rutina ukončí, pokud dokončení trvá příliš dlouho. Průběh můžete zobrazit v části Oznámení nebo Stav spuštění.
Přidání existující skupiny AD do skupiny cloudadmin
Spuštěním rutiny přidáte existující skupinu AD do Add-GroupToCloudAdmins skupiny cloudadmin. Uživatelé v této skupině mají oprávnění, která se rovnají roli cloudadmin ( ) definované v cloudadmin@vsphere.local jednotném přihlašování pro vCenter.
Vyberte Spustit příkaz > Balíčky > Add-GroupToCloudAdmins.
Zadejte požadované hodnoty nebo změňte výchozí hodnoty a pak vyberte Spustit.
Pole Hodnota Groupname Název skupiny, která se má přidat, například VcAdminGroup. Zachovat až Doba uchování výstupu rutiny. Výchozí hodnota je 60 dní. Zadání názvu pro spuštění Alfanumerický název, například addADgroup. Časový limit Období, po jehož uplynutí se rutina ukončí, pokud dokončení trvá příliš dlouho. Průběh můžete zobrazit v části Oznámení nebo Stav spuštění.
Odebrání skupiny AD z role cloudadmin
Spuštěním rutiny odeberete Remove-GroupFromCloudAdmins zadanou skupinu AD z role cloudadmin.
Vyberte Spustit příkaz > Balíčky > Remove-GroupFromCloudAdmins.
Zadejte požadované hodnoty nebo změňte výchozí hodnoty a pak vyberte Spustit.
Pole Hodnota Groupname Název skupiny, která se má odebrat, například VcAdminGroup. Zachovat až Doba uchování výstupu rutiny. Výchozí hodnota je 60 dní. Zadání názvu pro spuštění Alfanumerický název, například removeADgroup. Časový limit Období, po jehož uplynutí se rutina ukončí, pokud dokončení trvá příliš dlouho. Průběh můžete zobrazit v části Oznámení nebo Stav spuštění.
Odebrání existujících externích zdrojů identit
Spuštěním rutiny hromadně odeberete všechny existující externí Remove-ExternalIdentitySources zdroje identity.
Vyberte Spustit příkaz > Packages > Remove-ExternalIdentitySources.
Zadejte požadované hodnoty nebo změňte výchozí hodnoty a pak vyberte Spustit.
Pole Hodnota Zachovat až Doba uchování výstupu rutiny. Výchozí hodnota je 60 dní. Zadání názvu pro spuštění Alfanumerický název, například remove_externalIdentity. Časový limit Období, po jehož uplynutí se rutina ukončí, pokud dokončení trvá příliš dlouho. Průběh můžete zobrazit v části Oznámení nebo Stav spuštění.
Další kroky
Teď, když jste se dozvěděli, jak nakonfigurovat LDAP a LDAPS, můžete získat další informace o:
Postup konfigurace zásad úložiště – Každému virtuálnímu počítače nasazenmu do úložiště dat vSAN je přiřazena alespoň jedna zásada úložiště virtuálního počítače. Zásady úložiště virtuálního počítače můžete přiřadit při počátečním nasazení virtuálního počítače nebo při provádění jiných operací virtuálního počítače, jako je klonování nebo migrace.
Azure VMware Solution identit – Pomocí serveru vCenter můžete spravovat úlohy virtuálních počítačů a NSX-T Manager spravovat a rozšiřovat privátní cloud. Správa přístupu a identit používá roli CloudAdmin pro vCenter a omezená práva správce pro NSX-T Manager.