Konfigurera en extern identitetskälla för vCenter

  • Artikel
  • 6 minuter för att läsa

I Azure VMware Solution har vCenter en inbyggd lokal användare med namnet cloudadmin som tilldelats rollen CloudAdmin. Du kan konfigurera användare och grupper i Active Directory (AD) med CloudAdmin-rollen för ditt privata moln. I allmänhet skapar och hanterar CloudAdmin-rollen arbetsbelastningar i ditt privata moln. Men i Azure VMware Solution har CloudAdmin-rollen vCenter-behörigheter som skiljer sig från andra VMware-molnlösningar och lokala distributioner.

Viktigt

Den lokala cloudadmin-användaren ska behandlas som ett konto för åtkomst vid akutfall i ditt privata moln. Den är inte för dagliga administrativa aktiviteter eller integrering med andra tjänster.

  • I en lokal vCenter- och ESXi-distribution har administratören åtkomst till vCenter-administratörens @ vsphere.local-konto. De kan också tilldelas fler AD-användare och -grupper.

  • I en Azure VMware Solution-distribution har administratören inte åtkomst till administratörsanvändarkontot. De kan dock tilldela AD-användare och -grupper till CloudAdmin-rollen i vCenter. CloudAdmin-rollen har inte behörighet att lägga till en identitetskälla som en lokal LDAP- eller LDAPS-server till vCenter. Du kan dock använda Kör-kommandon för att lägga till en identitetskälla och tilldela cloudadmin-rollen till användare och grupper.

Den privata molnanvändaren har inte åtkomst till och kan inte konfigurera specifika hanteringskomponenter som Microsoft stöder och hanterar. Det kan till exempel vara kluster, värdar, datalager och distribuerade virtuella växlar.

Anteckning

I Azure VMware Solution tillhandahålls domänen vsphere.local SSO som en hanterad resurs för att stödja plattformsåtgärder. Det stöder inte skapande och hantering av andra lokala grupper och användare än de som tillhandahålls som standard i ditt privata moln.

Anteckning

Körningskommandon körs ett i taget i den skickade ordern.

I den här i så här lär du dig att:

  • Lista alla befintliga externa identitetskällor som är integrerade med vCenter SSO
  • Lägga till Active Directory över LDAP, med eller utan SSL
  • Lägga till en befintlig AD-grupp i cloudadmin-gruppen
  • Ta bort AD-grupp från cloudadmin-rollen
  • Ta bort befintliga externa identitetskällor

Förutsättningar

  • Upprätta en anslutning från ditt lokala nätverk till ditt privata moln.

  • Om du har AD med SSL laddar du ned certifikatet för AD-autentisering och laddar upp det till ett Azure Storage-konto som bloblagring. Sedan måste du bevilja åtkomst till resurser Azure Storage signatur för delad åtkomst (SAS).

  • Om du använder FQDN aktiverar du DNS-upplösning på din lokala AD.

Lista extern identitet

Du kör Get-ExternalIdentitySources cmdleten för att lista alla externa identitetskällor som redan är integrerade med enkel inloggning med vCenter.

  1. Logga in på Azure-portalen.

  2. Välj Run command Packages > Get-ExternalIdentitySources (Kör kommandopaket > get-ExternalIdentitySources).

    Skärmbild som visar hur du kommer åt tillgängliga körningskommandon.

  3. Ange de värden som krävs eller ändra standardvärdena och välj sedan Kör.

    Skärmbild som visar hur du visar en lista över en extern identitetskälla.

    Fält Värde
    Behåll upp till Kvarhållningsperiod för cmdlet-utdata. Standardvärdet är 60 dagar.
    Ange namn för körning Alfanumeriskt namn, till exempel getExternalIdentity.
    Timeout Den period efter vilken en cmdlet avslutas om den tar för lång tid att slutföra.

  4. Kontrollera meddelanden eller fönstret Körningsstatus för att se förloppet.

Lägga till Active Directory över LDAP med SSL

Du kör cmdleten för att lägga till en AD över LDAP med SSL som en extern identitetskälla som ska användas med New-AvsLDAPSIdentitySource enkel inloggning i vCenter.

  1. Ladda ned certifikatet för AD-autentisering och ladda upp det till ett Azure Storage-konto som bloblagring. Om flera certifikat krävs laddar du upp varje certifikat individuellt.

  2. För varje certifikat beviljar du åtkomst till Azure Storage resurser med hjälp av signatur för delad åtkomst (SAS). Dessa SAS-strängar levereras till cmdleten som en parameter.

    Viktigt

    Se till att kopiera varje SAS-sträng, eftersom de inte längre är tillgängliga när du lämnar den här sidan.

  3. Välj Run command Packages > New-AvsLDAPSIdentitySource (Kör kommandopaket, > New-AvsLDAPSIdentitySource).

  4. Ange de värden som krävs eller ändra standardvärdena och välj sedan Kör.

    Fält Värde
    Namn Användarvänligt namn på den externa identitetskällan, till exempel avslap.local.
    DomainName FQDN för domänen.
    DomainAlias För Active Directory-identitetskällor är domänens NetBIOS-namn. Lägg till NetBIOS-namnet på AD-domänen som ett alias för identitetskällan om du använder SSPI-autentiseringar.
    PrimaryUrl Primär URL för den externa identitetskällan, till exempel ldap://yourserver:636.
    SecondaryURL Sekundär reserv-URL om det uppstår ett primärt fel.
    BaseDNUsers Här kan du söka efter giltiga användare, till exempel CN =users,DC=yourserver,DC=internal. Grundläggande DN krävs för att använda LDAP-autentisering.
    BaseDNGroups Här kan du söka efter grupper, till exempel CN=group1, DC=yourserver,DC= internal. Grundläggande DN krävs för att använda LDAP-autentisering.
    Autentiseringsuppgift Användarnamnet och lösenordet som används för autentisering med AD-källan (inte cloudadmin). Användaren måste ha username@avsldap.local formatet .
    CertificateSAS Sökväg till SAS-strängar med certifikat för autentisering till AD-källan. Om du använder flera certifikat avgränsar du varje SAS-sträng med kommatecken. Till exempel pathtocert1,pathtocert2.
    Gruppnamn Gruppera i den externa identitetskälla som ger cloudadmin-åtkomst. Till exempel avs-admins.
    Behåll upp till Kvarhållningsperiod för cmdlet-utdata. Standardvärdet är 60 dagar.
    Ange namn för körning Alfanumeriskt namn, till exempel addexternalIdentity.
    Timeout Den period efter vilken en cmdlet avslutas om den tar för lång tid att slutföra.

  5. Kontrollera meddelanden eller fönstret Körningsstatus för att se förloppet.

Lägga till Active Directory över LDAP

Anteckning

Vi rekommenderar inte den här metoden. Använd i stället metoden Lägg till Active Directory över LDAP med SSL.

Du kör cmdleten för att lägga till AD över LDAP som en extern identitetskälla som ska användas New-AvsLDAPIdentitySource med enkel inloggning i vCenter.

  1. Välj Run command Packages > New-AvsLDAPIdentitySource (Kör kommandopaket, > New-AvsLDAPIdentitySource).

  2. Ange de värden som krävs eller ändra standardvärdena och välj sedan Kör.

    Fält Värde
    Namn Användarvänligt namn på den externa identitetskällan, till exempel avslap.local.
    DomainName FQDN för domänen.
    DomainAlias För Active Directory-identitetskällor är domänens NetBIOS-namn. Lägg till NetBIOS-namnet på AD-domänen som ett alias för identitetskällan om du använder SSPI-autentiseringar.
    PrimaryUrl Primär URL för den externa identitetskällan, till exempel ldap://yourserver:389.
    SecondaryURL Sekundär reserv-URL om det uppstår ett primärt fel.
    BaseDNUsers Här kan du söka efter giltiga användare, till exempel CN =users,DC=yourserver,DC=internal. Grundläggande DN krävs för att använda LDAP-autentisering.
    BaseDNGroups Här kan du söka efter grupper, till exempel CN=group1, DC=yourserver,DC= internal. Grundläggande DN krävs för att använda LDAP-autentisering.
    Autentiseringsuppgift Användarnamn och lösenord som används för autentisering med AD-källan (inte cloudadmin).
    Gruppnamn Grupp för att ge molnadministratörsåtkomst i din externa identitetskälla, till exempel avs-admins.
    Behåll upp till Kvarhållningsperiod för cmdlet-utdata. Standardvärdet är 60 dagar.
    Ange namnet på körningen Alfanumeriskt namn, till exempel addexternalIdentity.
    Timeout Den period efter vilken en cmdlet avslutas om det tar för lång tid att slutföra.

  3. Kontrollera meddelanden eller fönstret Körningsstatus för att se förloppet.

Lägga till en befintlig AD-grupp i cloudadmin-gruppen

Du kör Add-GroupToCloudAdmins cmdleten för att lägga till en befintlig AD-grupp i cloudadmin-gruppen. Användarna i den här gruppen har behörigheter som är lika med rollen cloudadmin ( cloudadmin@vsphere.local ) som definierats i vCenter SSO.

  1. Välj Kör kommandot > Packages > Add-GroupToCloudAdmins.

  2. Ange de värden som krävs eller ändra standardvärdena och välj sedan Kör.

    Fält Värde
    Gruppnamn Namnet på gruppen som ska läggas till, till exempel VcAdminGroup.
    Behåll upp till Kvarhållningsperiod för cmdlet-utdata. Standardvärdet är 60 dagar.
    Ange namnet på körningen Alfanumeriskt namn, till exempel addADgroup.
    Timeout Den period efter vilken en cmdlet avslutas om det tar för lång tid att slutföra.

  3. Kontrollera meddelanden eller fönstret Körningsstatus för att se förloppet.

Ta bort AD-grupp från cloudadmin-rollen

Du kör Remove-GroupFromCloudAdmins cmdleten för att ta bort en angiven AD-grupp från cloudadmin-rollen.

  1. Välj Kör kommando > Paket > Remove-GroupFromCloudAdmins.

  2. Ange de värden som krävs eller ändra standardvärdena och välj sedan Kör.

    Fält Värde
    Gruppnamn Namnet på gruppen som ska tas bort, till exempel VcAdminGroup.
    Behåll upp till Kvarhållningsperiod för cmdlet-utdata. Standardvärdet är 60 dagar.
    Ange namnet på körningen Alfanumeriskt namn, till exempel removeADgroup.
    Timeout Den period efter vilken en cmdlet avslutas om det tar för lång tid att slutföra.

  3. Kontrollera meddelanden eller fönstret Körningsstatus för att se förloppet.

Ta bort befintliga externa identitetskällor

Du kör Remove-ExternalIdentitySources cmdleten för att ta bort alla befintliga externa identitetskällor samtidigt.

  1. Välj Kör kommando > Paket > Remove-ExternalIdentitySources.

  2. Ange de värden som krävs eller ändra standardvärdena och välj sedan Kör.

    Fält Värde
    Behåll upp till Kvarhållningsperiod för cmdlet-utdata. Standardvärdet är 60 dagar.
    Ange namnet på körningen Alfanumeriskt namn, till exempel remove_externalIdentity.
    Timeout Den period efter vilken en cmdlet avslutas om det tar för lång tid att slutföra.

  3. Kontrollera meddelanden eller fönstret Körningsstatus för att se förloppet.

Nästa steg

Nu när du har lärt dig hur du konfigurerar LDAP och LDAPS kan du lära dig mer om:

  • Så här konfigurerar du lagringsprincip – Varje virtuell dator som distribueras till ett vSAN-datalager tilldelas minst en VM-lagringsprincip. Du kan tilldela en VM-lagringsprincip i en inledande distribution av en virtuell dator eller när du gör andra VM-åtgärder, till exempel kloning eller migrering.

  • Azure VMware Solution identitetsbegrepp – Använd vCenter för att hantera arbetsbelastningar för virtuella datorer och hantera NSX-T Manager hantera och utöka det privata molnet. Åtkomst- och identitetshantering använder CloudAdmin-rollen för vCenter och begränsade administratörsrättigheter för NSX-T Manager.