vCenter için dış kimlik kaynağını yapılandırma
Bu Azure VMware Çözümü, vCenter'ın CloudAdmin rolüne atanan cloudadmin adlı yerleşik bir yerel kullanıcısı vardır. Active Directory'de (AD) kullanıcıları ve grupları özel bulut için CloudAdmin rolüyle yapılandırabilirsiniz. CloudAdmin rolü genel olarak özel bulut içinde iş yüklerini oluşturur ve yönetir. Ancak Azure VMware Çözümü CloudAdmin rolü, diğer VMware bulut çözümlerinden ve şirket içi dağıtımlardan farklı vCenter ayrıcalıklarına sahiptir.
Önemli
Yerel cloudadmin kullanıcısı, özel bulut uygulamanıza "acil durum" senaryoları için bir acil durum erişim hesabı olarak kabul edilmelidir. Günlük yönetim etkinlikleri veya diğer hizmetlerle tümleştirme için değildir.
vCenter ve ESXi şirket içi dağıtımında yöneticinin vCenter yöneticisi @ vsphere.local hesabına erişimi vardır. Ayrıca daha fazla AD kullanıcısı ve grubu atanabilir.
Bir Azure VMware Çözümü dağıtımında yöneticinin yönetici kullanıcı hesabına erişimi yok. Ancak vCenter'da CloudAdmin rolüne AD kullanıcıları ve grupları atayabilirsiniz. CloudAdmin rolünün vCenter'a şirket içi LDAP veya LDAPS sunucusu gibi bir kimlik kaynağı ekleme izinleri yok. Bununla birlikte, Bir kimlik kaynağı eklemek ve kullanıcılara ve gruplara cloudadmin rolü atamak için Çalıştır komutlarını kullanabilirsiniz.
Özel bulut kullanıcı erişimine sahip değil ve Microsoft'un desteklediği ve yöneteceği belirli yönetim bileşenlerini yapılandıramaz. Örneğin, kümeler, konaklar, veri deposular ve dağıtılmış sanal anahtarlar.
Not
Bu Azure VMware Çözümü, vsphere.local SSO etki alanı platform işlemlerini desteklemek için yönetilen bir kaynak olarak sağlanır. Özel bulutla varsayılan olarak sağlananlar dışında yerel grupların ve kullanıcıların oluşturulmasını ve yönetimini desteklemez.
Not
Çalıştırma komutları gönderme sırasına göre tek tek yürütülür.
Bu nasıl sıyrıyrıda şunların nasıl olduğunu öğreniriz:
- vCenter SSO ile tümleştirilmiş tüm mevcut dış kimlik kaynaklarını listele
- SSL ile veya SSL olmadan LDAP üzerinden Active Directory ekleme
- Mevcut AD grubunu cloudadmin grubuna ekleme
- AD grubunu cloudadmin rolünden kaldırma
- Mevcut dış kimlik kaynaklarını kaldırma
Önkoşullar
Şirket içi ağınız ile özel bulut arasında bağlantı kurma.
SSL ile AD'niz varsa, AD kimlik doğrulaması sertifikasını indirin ve blob depolama olarak bir Azure Depolama hesabına yükleyin. Ardından paylaşılan erişim imzası (SAS) kullanarak Azure Depolama kaynaklara erişim izni verebilirsiniz.
FQDN kullanıyorsanız, şirket içi AD'niz üzerinde DNS çözümlemeyi etkinleştirin.
Dış kimliği listele
vCenter SSO ile tümleştirilmiş tüm dış kimlik kaynaklarını Get-ExternalIdentitySources listeleye cmdlet'ini çalıştırabilirsiniz.
Azure Portal oturum açın.
Çalıştır komutunu Packages > > Get-ExternalIdentitySources öğesini seçin.
Gerekli değerleri snın veya varsayılan değerleri değiştirerek Çalıştır'ı seçin.
Alan Değer Şu aya kadar koruma Cmdlet çıkışının saklama süresi. Varsayılan değer 60 gündür. Yürütme için ad belirtme Alfasayısal ad, örneğin getExternalIdentity. Zaman aşımı Cmdlet'in bitip bitmeyecek kadar uzun süren çıkış süresi. İlerleme durumunu görmek için Bildirimler'i veya Yürütme Durumunu Çalıştır bölmesini kontrol edin.
SSL ile LDAP üzerinden Active Directory ekleme
vCenter'da SSO ile kullanmak üzere dış kimlik kaynağı olarak SSL ile LDAP üzerinden ad eklemek için New-AvsLDAPSIdentitySource cmdlet'ini çalıştırabilirsiniz.
AD kimlik doğrulaması sertifikasını indirin ve blob depolama olarak bir Azure Depolama hesabına yükleyin. Birden çok sertifika gerekli ise, her sertifikayı ayrı ayrı karşıya yükleyin.
Her sertifika için Paylaşılan erişim imzası (SAS) Depolama Azure veritabanı kaynaklarına erişim izni ver. Bu SAS dizeleri cmdlet'e parametre olarak sağlanır.
Önemli
Bu sayfadan ayrılarak artık kullanılabilir olmayacak olduğundan, her SAS dizesini kopyalayalın.
Run command > Packages > New-AvsLDAPSIdentitySource komutunu seçin.
Gerekli değerleri snın veya varsayılan değerleri değiştirerek Çalıştır'ı seçin.
Alan Değer Ad Dış kimlik kaynağının kolay adı, örneğin avslap.local. Etkialanıadı Etki alanının FQDN'si. DomainAlias Active Directory kimlik kaynakları için etki alanının NetBIOS adı. SSPI kimlik doğrulamaları kullanıyorsanız AD etki alanının NetBIOS adını kimlik kaynağının diğer adı olarak ekleyin. PrimaryUrl Dış kimlik kaynağının birincil URL'si, örneğin ldap://yourserver:636. SecondaryURL Birincil hata varsa ikincil geri dönme URL'si. BaseDNUsers CN=users,DC=yourserver,DC=internal gibi geçerli kullanıcıları nerede bulur. LDAP Kimlik Doğrulaması kullanmak için temel DN gereklidir. BaseDNGroups Gruplar nerede, örneğin, CN=group1, DC=yourserver,DC= internal. LDAP Kimlik Doğrulaması kullanmak için temel DN gereklidir. Kimlik Bilgisi AD kaynağıyla kimlik doğrulaması için kullanılan kullanıcı adı ve parola (cloudadmin değil). Kullanıcının biçiminde olması username@avsldap.local gerekir. SertifikaLAR AD kaynağında kimlik doğrulaması için sertifikaları içeren SAS dizelerinin yolu. Birden çok sertifika kullanıyorsanız, her SAS dizesini virgülle ayırabilirsiniz. Örneğin, pathtocert1,pathtocert2. GroupName Cloudadmin erişimi veren dış kimlik kaynağında grup. Örneğin, avs-admins. Şu aya kadar koruma Cmdlet çıkışının saklama süresi. Varsayılan değer 60 gündür. Yürütme için ad belirtme Alfasayısal ad, örneğin addexternalIdentity. Zaman aşımı Cmdlet'in bitip bitmeyecek kadar uzun süren çıkış süresi. İlerleme durumunu görmek için Bildirimler'i veya Yürütme Durumunu Çalıştır bölmesini kontrol edin.
LDAP üzerinden Active Directory ekleme
Not
Bu yöntemi önerilmez. Bunun yerine, SSL ile LDAP üzerinden Active Directory Ekle yöntemini kullanın.
VCenter'da SSO ile kullanmak üzere dış kimlik kaynağı olarak LDAP üzerinden AD eklemek için New-AvsLDAPIdentitySource cmdlet'ini çalıştıracaksiniz.
Çalıştır komutunu Packages > > New-AvsLDAPIdentitySource seçin.
Gerekli değerleri snın veya varsayılan değerleri değiştirerek Çalıştır'ı seçin.
Alan Değer Ad Dış kimlik kaynağının kolay adı, örneğin avslap.local. Etkialanıadı Etki alanının FQDN'si. DomainAlias Active Directory kimlik kaynakları için etki alanının NetBIOS adı. SSPI kimlik doğrulamaları kullanıyorsanız AD etki alanının NetBIOS adını kimlik kaynağının diğer adı olarak ekleyin. PrimaryUrl Dış kimlik kaynağının birincil URL'si, örneğin ldap://yourserver:389. SecondaryURL Birincil hata varsa ikincil geri dönme URL'si. BaseDNUsers CN=users,DC=yourserver,DC=internal gibi geçerli kullanıcıları nerede bulur. LDAP Kimlik Doğrulaması kullanmak için temel DN gereklidir. BaseDNGroups Grupların aranacağı yer (örneğin, CN = grup1, DC = yourserver, DC = Internal). LDAP kimlik doğrulamasını kullanmak için temel DN gereklidir. Kimlik Bilgisi AD kaynağı (cloudadmin değil) ile kimlik doğrulaması için kullanılan Kullanıcı adı ve parola. Adýdýr Bulut Yöneticisi erişimini dış kimlik kaynağınıza (örneğin, AVS-Admins) vermek için gruplandırın. Koruma Cmdlet çıkışının bekletme süresi. Varsayılan değer 60 gündür. Yürütme için ad belirtin Alfasayısal ad, örneğin, Addexternalıdentity. Aş Bir cmdlet 'in tamamlanmasının çok uzun sürmesi durumunda çıkış süresi. İlerlemeyi görmek için bildirimleri veya yürütme durumunu Çalıştır bölmesini denetleyin.
Var olan AD grubunu cloudadmin grubuna ekle
Add-GroupToCloudAdminsVar olan BIR ad grubunu cloudadmin grubuna eklemek için cmdlet 'ini çalıştıracaksınız. Bu gruptaki kullanıcıların cloudadmin@vsphere.local vCenter SSO 'da tanımlanan cloudadmin () rolüne eşit ayrıcalıkları vardır.
Komut > paketlerini Çalıştır > Add-grouptocloudadmins komutunu seçin.
Gerekli değerleri sağlayın veya varsayılan değerleri değiştirin ve sonra Çalıştır' ı seçin.
Alan Değer Adýdýr Eklenecek grubun adı, örneğin, Vcadmingroup. Koruma Cmdlet çıkışının bekletme süresi. Varsayılan değer 60 gündür. Yürütme için ad belirtin Alfasayısal ad, örneğin, Addadgroup. Aş Bir cmdlet 'in tamamlanmasının çok uzun sürmesi durumunda çıkış süresi. İlerlemeyi görmek için bildirimleri veya yürütme durumunu Çalıştır bölmesini denetleyin.
Cloudadmin rolünden AD grubunu kaldırma
Remove-GroupFromCloudAdminsCloudadmin rolünden belirtilen BIR ad grubunu kaldırmak için cmdlet 'ini çalıştıracaksınız.
Komut > paketlerini Çalıştır > Remove-groupfromcloudadmins komutunu seçin.
Gerekli değerleri sağlayın veya varsayılan değerleri değiştirin ve sonra Çalıştır' ı seçin.
Alan Değer Adýdýr Kaldırılacak grubun adı, örneğin, Vcadmingroup. Koruma Cmdlet çıkışının bekletme süresi. Varsayılan değer 60 gündür. Yürütme için ad belirtin Alfasayısal ad, örneğin, Removeadgroup. Aş Bir cmdlet 'in tamamlanmasının çok uzun sürmesi durumunda çıkış süresi. İlerlemeyi görmek için bildirimleri veya yürütme durumunu Çalıştır bölmesini denetleyin.
Mevcut dış kimlik kaynaklarını kaldır
Remove-ExternalIdentitySourcesTüm mevcut dış kimlik kaynaklarını toplu olarak kaldırmak için cmdlet 'ini çalıştıracaksınız.
Çalıştır komut > paketleri > Remove-externalıdentitysources' i seçin.
Gerekli değerleri sağlayın veya varsayılan değerleri değiştirin ve sonra Çalıştır' ı seçin.
Alan Değer Koruma Cmdlet çıkışının bekletme süresi. Varsayılan değer 60 gündür. Yürütme için ad belirtin Alfasayısal ad, örneğin remove_externalIdentity. Aş Bir cmdlet 'in tamamlanmasının çok uzun sürmesi durumunda çıkış süresi. İlerlemeyi görmek için bildirimleri veya yürütme durumunu Çalıştır bölmesini denetleyin.
Sonraki adımlar
Artık LDAP ve LDAPS 'nin nasıl yapılandırılacağı hakkında bilgi edindiğinize göre, daha fazla bilgi edinebilirsiniz:
Depolama ilkesini yapılandırma -vSAN veri deposuna DAĞıTıLAN her VM en az bir VM depolama ilkesi atanır. VM depolama ilkesini bir VM 'nin ilk dağıtımında veya kopyalama ya da geçiş gibi başka VM işlemleri gerçekleştirdiğinizde atayabilirsiniz.
Azure VMware Çözüm kimliği kavramları -özel bulutu yönetmek ve genişletmek için sanal makıne (VM) iş yüklerini ve NSX-T yöneticisini yönetmek üzere vCenter kullanın. Erişim ve kimlik yönetimi NSX-T Manager için vCenter ve kısıtlı yönetici hakları için CloudAdmin rolünü kullanın.