Externe identiteitsbron configureren voor vCenter

  • Artikel
  • 7 minuten om te lezen

In Azure VMware Solution vCenter is een ingebouwde lokale gebruiker met de naam cloudadmin toegewezen aan de rol CloudAdmin. U kunt gebruikers en groepen configureren in Active Directory (AD) met de rol CloudAdmin voor uw privécloud. In het algemeen maakt en beheert de rol CloudAdmin workloads in uw privécloud. Maar in Azure VMware Solution heeft de rol CloudAdmin vCenter-bevoegdheden die verschillen van andere VMware-cloudoplossingen en on-premises implementaties.

Belangrijk

De lokale cloudadmin-gebruiker moet worden behandeld als een account voor toegang in noodgevallen voor 'break glass'-scenario's in uw privécloud. Het is niet voor dagelijkse beheeractiviteiten of integratie met andere services.

  • In een on-premises vCenter- en ESXi-implementatie heeft de beheerder toegang tot het vCenter-beheerdersaccount @ vsphere.local. Er kunnen ook meer AD-gebruikers en -groepen aan worden toegewezen.

  • In een Azure VMware Solution heeft de beheerder geen toegang tot het gebruikersaccount van de beheerder. Ze kunnen echter AD-gebruikers en -groepen toewijzen aan de rol CloudAdmin in vCenter. De rol CloudAdmin heeft geen machtigingen om een identiteitsbron, zoals een on-premises LDAP- of LDAPS-server, toe te voegen aan vCenter. U kunt echter Run-opdrachten gebruiken om een identiteitsbron toe te voegen en de cloudadmin-rol toe te wijzen aan gebruikers en groepen.

De privécloudgebruiker heeft geen toegang tot en kan geen specifieke beheeronderdelen configureren die microsoft ondersteunt en beheert. Bijvoorbeeld clusters, hosts, gegevensstores en gedistribueerde virtuele switches.

Notitie

In Azure VMware Solution wordt het domein vsphere.local SSO geleverd als een beheerde resource ter ondersteuning van platformbewerkingen. Het biedt geen ondersteuning voor het maken en beheren van lokale groepen en gebruikers, anders dan de groepen die standaard worden geleverd met uw privécloud.

Notitie

Opdrachten voor uitvoering worden één voor één uitgevoerd in de verzonden volgorde.

In deze zelf-how-to leert u het volgende:

  • Een lijst met alle bestaande externe identiteitsbronnen die zijn geïntegreerd met vCenter SSO
  • Active Directory toevoegen via LDAP, met of zonder SSL
  • Bestaande AD-groep toevoegen aan cloudadmin-groep
  • AD-groep verwijderen uit de cloudadmin-rol
  • Bestaande externe identiteitsbronnen verwijderen

Vereisten

  • Connectiviteit van uw on-premises netwerk met uw privécloud tot stand brengen.

  • Als u AD met SSL hebt, downloadt u het certificaat voor AD-verificatie en uploadt u het naar een Azure Storage-account als blobopslag. Vervolgens moet u toegang verlenen tot uw Azure Storage met behulp van Shared Access Signature (SAS).

  • Als u FQDN gebruikt, moet u DNS-resolutie inschakelen in uw on-premises AD.

Een lijst met externe identiteiten maken

U gaat de cmdlet uitvoeren om alle externe identiteitsbronnen weer te geven die Get-ExternalIdentitySources al zijn geïntegreerd met vCenter SSO.

  1. Meld u aan bij de Azure-portal.

  2. Selecteer Opdracht > Packages > Get-ExternalIdentitySources uitvoeren.

    Schermopname die laat zien hoe u toegang krijgt tot de beschikbare run-opdrachten.

  3. Geef de vereiste waarden op of wijzig de standaardwaarden en selecteer vervolgens Uitvoeren.

    Schermopname die laat zien hoe u een lijst met externe identiteitsbron kunt weergeven.

    Veld Waarde
    Maximaal behouden Bewaarperiode van de cmdlet-uitvoer. De standaardwaarde is 60 dagen.
    Naam opgeven voor uitvoering Alfanumerieke naam, bijvoorbeeld getExternalIdentity.
    Timeout De periode waarna een cmdlet wordt afgesloten als het te lang duurt om te voltooien.

  4. Controleer Meldingen of het deelvenster Uitvoeringsstatus uitvoeren om de voortgang te bekijken.

Active Directory toevoegen via LDAP met SSL

U gaat de cmdlet uitvoeren om een AD via LDAP met SSL toe te voegen als een externe identiteitsbron voor gebruik met New-AvsLDAPSIdentitySource SSO in vCenter.

  1. Download het certificaat voor AD-verificatie en upload het naar een Azure Storage-account als blobopslag. Als er meerdere certificaten vereist zijn, uploadt u elk certificaat afzonderlijk.

  2. Voor elk certificaat verleent u toegang tot Azure Storage resources met behulp van Shared Access Signature (SAS). Deze SAS-tekenreeksen worden als parameter aan de cmdlet geleverd.

    Belangrijk

    Zorg ervoor dat u elke SAS-tekenreeks kopieert, omdat deze niet meer beschikbaar is wanneer u deze pagina verlaat.

  3. Selecteer Opdracht > Packages > New-AvsLDAPSIdentitySource uitvoeren.

  4. Geef de vereiste waarden op of wijzig de standaardwaarden en selecteer vervolgens Uitvoeren.

    Veld Waarde
    Naam Gebruiksvriendelijke naam van de externe identiteitsbron, bijvoorbeeld avslap.local.
    Domeinnaam De FQDN van het domein.
    DomainAlias Voor Active Directory-identiteitsbronnen de NetBIOS-naam van het domein. Voeg de NetBIOS-naam van het AD-domein toe als een alias van de identiteitsbron als u SSPI-verificaties gebruikt.
    PrimaryUrl Primaire URL van de externe identiteitsbron, bijvoorbeeld ldap://yourserver:636.
    SecondaryURL Secundaire terugval-URL als er een primaire fout is.
    BaseDNUsers Waar u naar geldige gebruikers kunt zoeken, bijvoorbeeld CN=users,DC=yourserver,DC=internal. Basis-DN is nodig voor het gebruik van LDAP-verificatie.
    BaseDNGroups Waar u naar groepen kunt zoeken, bijvoorbeeld CN=group1, DC=yourserver,DC= interne. Basis-DN is nodig voor het gebruik van LDAP-verificatie.
    Referentie De gebruikersnaam en het wachtwoord die worden gebruikt voor verificatie met de AD-bron (niet cloudadmin). De gebruiker moet de indeling username@avsldap.local hebben.
    CertificateSAS Pad naar SAS-tekenreeksen met de certificaten voor verificatie bij de AD-bron. Als u meerdere certificaten gebruikt, scheidt u elke SAS-tekenreeks met een komma. Bijvoorbeeld pathtocert1,pathtocert2.
    Groupname Groep in de externe identiteitsbron die de cloudadmin toegang geeft. Bijvoorbeeld avs-admins.
    Maximaal behouden Bewaarperiode van de cmdlet-uitvoer. De standaardwaarde is 60 dagen.
    Naam opgeven voor uitvoering Alfanumerieke naam, bijvoorbeeld addexternalIdentity.
    Timeout De periode waarna een cmdlet wordt afgesloten als het te lang duurt om te voltooien.

  5. Controleer Meldingen of het deelvenster Uitvoeringsstatus uitvoeren om de voortgang te bekijken.

Active Directory toevoegen via LDAP

Notitie

Deze methode wordt niet aanbevolen. Gebruik in plaats daarvan de methode Active Directory toevoegen via LDAP met SSL.

U gaat de cmdlet uitvoeren om AD via LDAP toe te voegen als een externe identiteitsbron voor gebruik met New-AvsLDAPIdentitySource SSO in vCenter.

  1. Selecteer Opdracht > Packages > New-AvsLDAPIdentitySource uitvoeren.

  2. Geef de vereiste waarden op of wijzig de standaardwaarden en selecteer vervolgens Uitvoeren.

    Veld Waarde
    Naam Gebruiksvriendelijke naam van de externe identiteitsbron, bijvoorbeeld avslap.local.
    Domeinnaam De FQDN van het domein.
    DomainAlias Voor Active Directory-identiteitsbronnen de NetBIOS-naam van het domein. Voeg de NetBIOS-naam van het AD-domein toe als een alias van de identiteitsbron als u SSPI-verificaties gebruikt.
    PrimaryUrl Primaire URL van de externe identiteitsbron, bijvoorbeeld ldap://yourserver:389.
    SecondaryURL Secundaire terugval-URL als er een primaire fout is.
    BaseDNUsers Waar u naar geldige gebruikers kunt zoeken, bijvoorbeeld CN=users,DC=yourserver,DC=internal. Basis-DN is nodig voor het gebruik van LDAP-verificatie.
    BaseDNGroups Waar te zoeken naar groepen, bijvoorbeeld CN = group1, DC = uwserver, DC = interne. Basis-DN is nodig om LDAP-verificatie te gebruiken.
    Referentie Gebruikersnaam en wachtwoord die worden gebruikt voor verificatie met de AD-bron (niet cloudadmin).
    Groupname Groep om cloudbeheerderstoegang te geven in uw externe identiteitsbron, bijvoorbeeld avs-admins.
    Maximaal behouden Bewaarperiode van de cmdlet-uitvoer. De standaardwaarde is 60 dagen.
    Naam voor uitvoering opgeven Alfanumerieke naam, bijvoorbeeld addexternalIdentity.
    Timeout De periode waarna een cmdlet wordt afgesloten als het te lang duurt om te voltooien.

  3. Controleer Meldingen of het deelvenster Uitvoeringsstatus uitvoeren om de voortgang te bekijken.

Bestaande AD-groep toevoegen aan cloudadmin-groep

U gaat de Add-GroupToCloudAdmins cmdlet uitvoeren om een bestaande AD-groep toe te voegen aan de cloudadmin-groep. De gebruikers in deze groep hebben bevoegdheden die gelijk zijn aan de rol cloudadmin ( cloudadmin@vsphere.local ) die is gedefinieerd in vCenter SSO.

  1. Selecteer Opdracht > Packages > Add-GroupToCloudAdmins uitvoeren.

  2. Geef de vereiste waarden op of wijzig de standaardwaarden en selecteer vervolgens Uitvoeren.

    Veld Waarde
    Groupname Naam van de groep die moet worden toevoegen, bijvoorbeeld VcAdminGroup.
    Maximaal behouden Bewaarperiode van de cmdlet-uitvoer. De standaardwaarde is 60 dagen.
    Naam voor uitvoering opgeven Alfanumerieke naam, bijvoorbeeld addADgroup.
    Timeout De periode waarna een cmdlet wordt afgesloten als het te lang duurt om te voltooien.

  3. Controleer Meldingen of het deelvenster Uitvoeringsstatus uitvoeren om de voortgang te bekijken.

AD-groep verwijderen uit de cloudadmin-rol

U gaat de Remove-GroupFromCloudAdmins cmdlet uitvoeren om een opgegeven AD-groep uit de cloudadmin-rol te verwijderen.

  1. Selecteer Opdracht > Packages > Remove-GroupFromCloudAdmins uitvoeren.

  2. Geef de vereiste waarden op of wijzig de standaardwaarden en selecteer vervolgens Uitvoeren.

    Veld Waarde
    Groupname Naam van de groep die moet worden verwijderd, bijvoorbeeld VcAdminGroup.
    Maximaal behouden Bewaarperiode van de cmdlet-uitvoer. De standaardwaarde is 60 dagen.
    Naam voor uitvoering opgeven Alfanumerieke naam, bijvoorbeeld removeADgroup.
    Timeout De periode waarna een cmdlet wordt afgesloten als het te lang duurt om te voltooien.

  3. Controleer Meldingen of het deelvenster Uitvoeringsstatus uitvoeren om de voortgang te bekijken.

Bestaande externe identiteitsbronnen verwijderen

U gaat de Remove-ExternalIdentitySources cmdlet uitvoeren om alle bestaande externe identiteitsbronnen bulksgewijs te verwijderen.

  1. Selecteer Opdracht > Packages > Remove-ExternalIdentitySources uitvoeren.

  2. Geef de vereiste waarden op of wijzig de standaardwaarden en selecteer vervolgens Uitvoeren.

    Veld Waarde
    Maximaal behouden Bewaarperiode van de cmdlet-uitvoer. De standaardwaarde is 60 dagen.
    Naam voor uitvoering opgeven Alfanumerieke naam, bijvoorbeeld remove_externalIdentity.
    Timeout De periode waarna een cmdlet wordt afgesloten als het te lang duurt om te voltooien.

  3. Controleer Meldingen of het deelvenster Uitvoeringsstatus uitvoeren om de voortgang te bekijken.

Volgende stappen

Nu u hebt geleerd hoe u LDAP en LDAPS configureert, kunt u meer leren over:

  • Opslagbeleid configureren: aan elke VM die is geïmplementeerd in een vSAN-gegevensopslag wordt ten minste één VM-opslagbeleid toegewezen. U kunt een VM-opslagbeleid toewijzen in een eerste implementatie van een VM of wanneer u andere VM-bewerkingen, zoals klonen of migreren, hebt uitgevoerd.

  • Azure VMware Solution identiteitsconcepten: gebruik vCenter om workloads van virtuele machines (VM's) te beheren en NSX-T Manager de privécloud te beheren en uit te breiden. Toegangs- en identiteitsbeheer gebruiken de rol CloudAdmin voor vCenter en beperkte beheerdersrechten voor NSX-T Manager.