vCenter Server için dış kimlik kaynağı ayarlama
Azure VMware Çözümü'da VMware vCenter Server'ın Cloud Yönetici adlı yerleşik bir yerel kullanıcı hesabı vardır ve bu hesap Cloud Yönetici rolüne atanmıştır. Windows Server Active Directory'de kullanıcıları ve grupları özel bulutunuz için Bulut Yönetici rolüyle yapılandırabilirsiniz. Genel olarak, Bulut Yönetici rolü özel bulutunuzda iş yükleri oluşturur ve yönetir. Ancak Azure VMware Çözümü'da Cloud Yönetici rolü, diğer VMware bulut çözümlerinden ve şirket içi dağıtımlardan farklı vCenter Server ayrıcalıklarına sahiptir.
Önemli
Yerel Bulut Yönetici kullanıcı hesabı, özel bulutunuzda "kesme camı" senaryoları için acil durum erişim hesabı olarak kullanılmalıdır. Günlük yönetim etkinlikleri veya diğer hizmetlerle tümleştirme için kullanılması amaçlanmamıştır.
Bir vCenter Server ve ESXi şirket içi dağıtımında, yöneticinin vCenter Server administrator@vsphere.local hesabına ve ESXi kök hesabına erişimi vardır. Yönetici daha fazla Windows Server Active Directory kullanıcısına ve grubuna da atanabilir.
Azure VMware Çözümü dağıtımında, yöneticinin Yönetici istrator kullanıcı hesabına veya ESXi kök hesabına erişimi yoktur. Ancak yönetici, vCenter Server'da Windows Server Active Directory kullanıcılarını atayabilir ve Cloud Yönetici rolünü gruplandırabilir. Cloud Yönetici rolünün vCenter Server'a şirket içi Basit Dizin Erişim Protokolü (LDAP) veya Güvenli LDAP (LDAPS) sunucusu gibi bir kimlik kaynağı ekleme izinleri yoktur. Ancak, Kimlik kaynağı eklemek ve kullanıcılara ve gruplara Bulut Yönetici rolünü atamak için Çalıştır komutlarını kullanabilirsiniz.
Özel buluttaki bir kullanıcı hesabı, Microsoft'un desteklediği ve yönettiği belirli yönetim bileşenlerine erişemez veya yönetemez. Örnekler arasında kümeler, konaklar, veri depoları ve dağıtılmış sanal anahtarlar yer alır.
Not
Azure VMware Çözümü'de vsphere.local çoklu oturum açma (SSO) etki alanı, platform işlemlerini desteklemek için yönetilen bir kaynak olarak sağlanır. Bunu, özel bulutunuzla varsayılan olarak sağlananlar dışında yerel grupları ve kullanıcıları oluşturmak veya yönetmek için kullanamazsınız.
Kullanıcıların kimliğini doğrulamak için vCenter Server'ı dış Basit Dizin Erişim Protokolü (LDAP) dizin hizmetini kullanacak şekilde ayarlayabilirsiniz. Bir kullanıcı, üçüncü taraf LDAP sunucusundan Windows Server Active Directory hesabı kimlik bilgilerini veya kimlik bilgilerini kullanarak oturum açabilir. Ardından, vCenter Server kullanıcıları için rol tabanlı erişim sağlamak için hesaba şirket içi ortamda olduğu gibi bir vCenter Server rolü atanabilir.
Bu makalede şunları öğreneceksiniz:
- LDAPS kimlik doğrulaması için bir sertifikayı dışarı aktarın. (İsteğe bağlı)
- LDAPS sertifikasını blob depolamaya yükleyin ve paylaşılan erişim imzası (SAS) URL'si oluşturun. (İsteğe bağlı)
- NSX DNS'yi Windows Server Active Directory etki alanınıza çözüm için yapılandırın.
- LDAPS (güvenli) veya LDAP (güvenli olmayan) kullanarak Windows Server Active Directory ekleyin.
- Cloud Yönetici grubuna mevcut bir Windows Server Active Directory grubu ekleyin.
- vCenter Server SSO ile tümleştirilmiş tüm mevcut dış kimlik kaynaklarını listeleyin.
- Windows Server Active Directory kimliklerine ek vCenter Server rolleri atayın.
- Cloud Yönetici rolünden bir Windows Server Active Directory grubu kaldırın.
- Mevcut tüm dış kimlik kaynaklarını kaldırın.
Not
LDAPS kimlik doğrulaması için sertifikayı dışarı aktarma ve LDAPS sertifikasını blob depolamaya yükleme ve SAS URL'si oluşturma adımları isteğe bağlıdır.
SSLCertificatesSasUrl
Parametre sağlanmazsa, sertifika veyaSecondaryUrl
parametreleri aracılığıyla etki alanı denetleyicisindenPrimaryUrl
otomatik olarak indirilir. Sertifikayı el ile dışarı aktarmak ve karşıya yüklemek için parametresiniSSLCertificatesSasUrl
sağlayabilir ve isteğe bağlı adımları tamamlayabilirsiniz.Komutları makalede açıklanan sırayla birer birer çalıştırın.
Önkoşullar
Windows Server Active Directory ağınızın Azure VMware Çözümü özel bulutunuza bağlı olduğundan emin olun.
LDAPS ile Windows Server Active Directory kimlik doğrulaması için:
Yönetici istrator izinleriyle Windows Server Active Directory etki alanı denetleyicisine erişim elde edin.
Geçerli bir sertifika kullanarak Windows Server Active Directory etki alanı denetleyicilerinizde LDAPS'yi etkinleştirin. Sertifikayı bir Active Directory Sertifika Hizmetleri Sertifika Yetkilisi'nden (CA) veya üçüncü taraf ya da genel CA'dan alabilirsiniz.
Geçerli bir sertifika almak için Güvenli LDAP için sertifika oluşturma bölümünde yer alan adımları tamamlayın. Sertifikanın listelenen gereksinimleri karşıladığından emin olun.
Not
Üretim ortamlarında otomatik olarak imzalanan sertifikaları kullanmaktan kaçının.
İsteğe bağlı: Parametresini
SSLCertificatesSasUrl
sağlamazsanız, sertifika veya parametreleri aracılığıylaPrimaryUrl
SecondaryUrl
etki alanı denetleyicisinden otomatik olarak indirilir. Alternatif olarak, LDAPS kimlik doğrulaması için sertifikayı el ile dışarı aktarabilir ve blob depolama olarak bir Azure Depolama hesabına yükleyebilirsiniz. Ardından SAS kullanarak Azure Depolama kaynaklarına erişim izni verin.
Şirket içi Windows Server Active Directory'nize Azure VMware Çözümü için DNS çözümlemesini yapılandırın. Azure portalında bir DNS ileticisi ayarlayın. Daha fazla bilgi için bkz. Azure VMware Çözümü için DNS ileticisi yapılandırma.
Not
LDAPS ve sertifika verme hakkında daha fazla bilgi için güvenlik ekibinize veya kimlik yönetimi ekibinize başvurun.
LDAPS kimlik doğrulaması sertifikasını dışarı aktarma (İsteğe bağlı)
İlk olarak, LDAPS için kullanılan sertifikanın geçerli olduğunu doğrulayın. Sertifikanız yoksa devam etmeden önce LDAPS için sertifika oluşturma adımlarını tamamlayın.
Sertifikanın geçerli olduğunu doğrulamak için:
Yönetici istrator izinlerini kullanarak LDAPS'nin etkin olduğu bir etki alanı denetleyicisinde oturum açın.
Çalıştır aracını açın, mmc yazın ve Tamam'ı seçin.
Dosya>Ek Bileşeni Ekle/Kaldır'ı seçin.
Ek bileşenler listesinde Sertifikalar'ı ve ardından Ekle'yi seçin.
Sertifikalar ek bileşeni bölmesinde Bilgisayar hesabı'nı ve ardından İleri'yi seçin.
Yerel bilgisayar'ı seçili tutun, Son'u ve ardından Tamam'ı seçin.
Sertifikalar (Yerel Bilgisayar) yönetim konsolunda Kişisel klasörünü genişletin ve yüklü sertifikaları görüntülemek için Sertifikalar klasörünü seçin.
LDAPS sertifikasına çift tıklayın. Geçerli ve Geçerli sertifika tarihinin geçerli olduğundan ve sertifikanın sertifikaya karşılık gelen özel bir anahtarı olduğundan emin olun.
Aynı iletişim kutusunda Sertifika Yolu sekmesini seçin ve Sertifika yolu değerinin geçerli olduğunu doğrulayın. Kök CA'nın sertifika zincirini ve isteğe bağlı ara sertifikaları içermelidir. Sertifika durumunun Tamam olup olmadığını denetleyin.
Tamam'ı seçin.
Sertifikayı dışarı aktarmak için:
- Sertifikalar konsolunda LDAPS sertifikasına sağ tıklayın ve Tüm Görevleri>Dışarı Aktar'ı seçin. Sertifika Dışarı Aktarma Sihirbazı açılır. İleri'yi seçin.
- Özel Anahtarı Dışarı Aktar bölümünde Hayır, özel anahtarı dışarı aktarma'yı ve ardından İleri'yi seçin.
- Dosya Biçimini Dışarı Aktar bölümünde Base-64 ile kodlanmış X.509() öğesini seçin. CER) ve ardından İleri'yi seçin.
- Dışarı Aktaracak Dosya bölümünde Gözat'ı seçin. Sertifikayı dışarı aktarmak için bir klasör konumu seçin ve bir ad girin. Ardından Kaydet'i seçin.
Not
LDAPS kullanmak üzere birden fazla etki alanı denetleyicisi ayarlandıysa, karşılık gelen sertifikalarını dışarı aktarmak için her ek etki alanı denetleyicisi için dışarı aktarma yordamını yineleyin. Çalıştır aracında yalnızca iki LDAPS sunucusuna başvurabileceğinizi New-LDAPSIdentitySource
unutmayın. Sertifika gibi .avsdemo.net
bir joker karakter sertifikasıysa, sertifikayı etki alanı denetleyicilerinden yalnızca birinden dışarı aktarın.
LDAPS sertifikasını blob depolamaya yükleme ve SAS URL'si oluşturma (İsteğe bağlı)
Ardından, bir Azure Depolama hesabına blob depolama olarak dışarı aktardığınız sertifika dosyasını (.cer biçimde) karşıya yükleyin. Ardından SAS kullanarak Azure Depolama kaynaklarına erişim izni verin.
Birden çok sertifikaya ihtiyacınız varsa, her birini tek tek karşıya yükleyin ve her sertifika için bir SAS URL'si oluşturun.
Önemli
Tüm SAS URL dizelerini kopyalamayı unutmayın. Siz sayfadan ayrıldıktan sonra dizelere erişilemez.
İpucu
Sertifikaları birleştirmek için alternatif bir yöntem, VMware bilgi bankası makalesinde açıklandığı gibi tüm sertifika zincirlerini tek bir dosyada depolamayı içerir. Ardından, tüm sertifikaları içeren dosya için tek bir SAS URL'si oluşturun.
Windows Server Active Directory etki alanı çözümlemesi için NSX-T DNS'i ayarlama
Bir DNS bölgesi oluşturun ve dns hizmetine ekleyin. Azure portalında DNS ileticisi yapılandırma bölümünde yer alan adımları tamamlayın.
Bu adımları tamamladıktan sonra DNS hizmetinizin DNS bölgenizi içerdiğini doğrulayın.
Azure VMware Çözümü özel bulutunuz artık şirket içi Windows Server Active Directory etki alanı adınızı düzgün bir şekilde çözümlemelidir.
SSL aracılığıyla LDAP kullanarak Windows Server Active Directory ekleme
SSO ile kullanılacak dış kimlik kaynağı olarak SSL ile LDAP üzerinden Windows Server Active Directory'yi vCenter Server'a eklemek için New-LDAPSIdentitySource cmdlet'ini çalıştırın.
Azure VMware Çözümü özel bulutunuza gidin ve Paketleri>Yeni-LDAPSIdentitySource Çalıştır komutunu>seçin.
Gerekli değerleri sağlayın veya varsayılan değerleri değiştirin ve çalıştır'ı seçin.
Veri Akışı Adı Açıklama GroupName Dış kimlik kaynağındaki Cloud Yönetici erişimi veren grup. Örneğin, avs-admins. SSLCertificatesSasUrl Windows Server Active Directory kaynağında kimlik doğrulaması için sertifikaları içeren SAS dizelerinin yolu. Birden çok sertifikayı virgülle ayırın. Örneğin pathtocert1,pathtocert2. Kimlik bilgisi Windows Server Active Directory kaynağıyla kimlik doğrulaması için etki alanı kullanıcı adı ve parolası (Cloud Yönetici değil). <username@avslab.local>
Biçimini kullanın.BaseDNGroups Grupların aranacak konumu. Örneğin, CN=group1, DC=avsldap,DC=local. LDAP kimlik doğrulaması için temel DN gereklidir. BaseDNUsers Geçerli kullanıcıları aramak için konum. Örneğin, CN=users,DC=avsldap,DC=local. LDAP kimlik doğrulaması için temel DN gereklidir. PrimaryUrl Dış kimlik kaynağının birincil URL'si. Örneğin, ldaps://yourserver.avslab.local:636
.İkincilURL Birincil başarısız olursa ikincil geri dönüş URL'si. Örneğin, ldaps://yourbackupldapserver.avslab.local:636
.DomainAlias Windows Server Active Directory kimlik kaynakları için etki alanının NetBIOS adı. Windows Server Active Directory etki alanının NetBIOS adını genellikle avsldap\ biçiminde kimlik kaynağının diğer adı olarak ekleyin. Etkialanıadı Etki alanının tam etki alanı adı (FQDN). Örneğin, avslab.local. Ad Dış kimlik kaynağı için bir ad. Örneğin, avslab.local. En fazla Cmdlet çıkışının bekletme süresi. Varsayılan değer 60 gündür. Yürütme için ad belirtin Alfasayısal bir ad. Örneğin, addexternalIdentity. Zaman aşımı Cmdlet'in çalışması tamamlanmazsa çıkış dönemi. İlerleme durumunu izlemek ve başarıyla tamamlanmasını onaylamak için Bildirimler'i veya Yürütme Durumunu Çalıştır bölmesini işaretleyin.
LDAP kullanarak Windows Server Active Directory ekleme
Not
SSL kullanarak LDAP üzerinden Windows Server Active Directory eklemek için yöntemini kullanmanızı öneririz.
VCenter Server'a SSO ile kullanılacak dış kimlik kaynağı olarak LDAP üzerinden Windows Server Active Directory eklemek için New-LDAPIdentitySource cmdlet'ini çalıştırın.
Çalıştır komutu>Packages>New-LDAPIdentitySource'u seçin.
Gerekli değerleri sağlayın veya varsayılan değerleri değiştirin ve çalıştır'ı seçin.
Veri Akışı Adı Açıklama Adı Dış kimlik kaynağı için bir ad. Örneğin, avslab.local. Bu ad vCenter Server'da görünür. Etkialanıadı Etki alanının FQDN'sini. Örneğin, avslab.local. DomainAlias Windows Server Active Directory kimlik kaynakları için etki alanının NetBIOS adı. Windows Server Active Directory etki alanının NetBIOS adını genellikle *avsldap* biçiminde kimlik kaynağının diğer adı olarak ekleyin. PrimaryUrl Dış kimlik kaynağının birincil URL'si. Örneğin, ldap://yourserver.avslab.local:389
.İkincilURL Birincil hata varsa ikincil geri dönüş URL'si. BaseDNUsers Geçerli kullanıcıları aramak için konum. Örneğin, CN=users,DC=avslab,DC=local. LDAP kimlik doğrulaması için temel DN gereklidir. BaseDNGroups Grupların aranacak konumu. Örneğin, CN=group1, DC=avslab,DC=local. LDAP kimlik doğrulaması için temel DN gereklidir. Kimlik bilgisi Windows Server Active Directory kaynağıyla kimlik doğrulaması için etki alanı kullanıcı adı ve parolası (Cloud Yönetici değil). Kullanıcının biçiminde olması <username@avslab.local>
gerekir.GroupName Dış kimlik kaynağınızdaki Cloud Yönetici erişimi veren grup. Örneğin, avs-admins. En fazla Cmdlet çıkışı için bekletme süresi. Varsayılan değer 60 gündür. Yürütme için ad belirtin Alfasayısal bir ad. Örneğin, addexternalIdentity. Zaman aşımı Cmdlet'in çalışması tamamlanmazsa çıkış dönemi. İlerleme durumunu izlemek için Bildirimler'i veya Yürütme Durumunu Çalıştır bölmesini işaretleyin.
Bulut Yönetici grubuna mevcut bir Windows Server Active Directory grubu ekleme
Önemli
İç içe gruplar desteklenmez. İç içe grup kullanmak erişim kaybına neden olabilir.
Bulut Yönetici grubundaki kullanıcılar, vCenter Server SSO'da tanımlanan Bulut Yönetici (<cloudadmin@vsphere.local>
) rolüne eşit kullanıcı haklarına sahiptir. Cloud Yönetici grubuna mevcut bir Windows Server Active Directory grubunu eklemek için Add-GroupToCloud Yönetici s cmdlet'ini çalıştırın.
Add-GroupToCloud Yönetici s komut>paketlerini>çalıştır'ı seçin.
Gerekli değerleri girin veya seçin ve ardından Çalıştır'ı seçin.
Veri Akışı Adı Açıklama GroupName Eklenecek grubun adı. Örneğin, Vc Yönetici Group. En fazla Cmdlet çıkışının bekletme süresi. Varsayılan değer 60 gündür. Yürütme için ad belirtin Alfasayısal bir ad. Örneğin, addADgroup. Zaman aşımı Cmdlet'in çalışması tamamlanmazsa çıkış dönemi. İlerleme durumunu görmek için Bildirimler'i veya Yürütme Durumunu Çalıştır bölmesini denetleyin.
Dış kimlik kaynaklarını listeleme
vCenter Server SSO ile zaten tümleştirilmiş olan tüm dış kimlik kaynaklarını listelemek için Get-ExternalIdentitySources cmdlet'ini çalıştırın.
Azure Portal’ında oturum açın.
Not
ABD Için Azure Kamu portalına erişmeniz gerekiyorsa adresine gidin
<https://portal.azure.us/>
.Çalıştır komutu>Paketleri>Get-ExternalIdentitySources'u seçin.
Gerekli değerleri girin veya seçin ve ardından Çalıştır'ı seçin.
Veri Akışı Adı Açıklama En fazla Cmdlet çıkışının bekletme süresi. Varsayılan değer 60 gündür. Yürütme için ad belirtin Alfasayısal bir ad. Örneğin getExternalIdentity. Zaman aşımı Cmdlet'in çalışması tamamlanmazsa çıkış dönemi. İlerleme durumunu görmek için Bildirimler'i veya Yürütme Durumunu Çalıştır bölmesini işaretleyin.
Windows Server Active Directory kimliklerine daha fazla vCenter Server rolü atama
LDAP veya LDAPS üzerinden bir dış kimlik ekledikten sonra, kuruluşunuzun güvenlik denetimlerini temel alarak Windows Server Active Directory güvenlik gruplarına vCenter Server rolleri atayabilirsiniz.
vCenter Server'da Bulut olarak oturum açın Yönetici envanterden bir öğe seçin, Eylemler menüsünü ve ardından İzin Ekle'yi seçin.
İzin Ekle iletişim kutusunda:
- Etki alanı: Daha önce eklenen Windows Server Active Directory örneğini seçin.
- Kullanıcı/Grup: Kullanıcı veya grup adını girin, arayın ve seçin.
- Rol: Atanacak rolü seçin.
- Alt öğelere yay: İsteğe bağlı olarak, izinleri alt kaynaklara yaymak için onay kutusunu seçin.
İzinler sekmesini seçin ve izin atamasının eklendiğini doğrulayın.
Kullanıcılar artık Windows Server Active Directory kimlik bilgilerini kullanarak vCenter Server'da oturum açabilir.
Windows Server Active Directory grubunu Bulut Yönetici rolünden kaldırma
Belirli bir Windows Server Active Directory grubunu Bulut Yönetici rolünden kaldırmak için Remove-GroupFromCloud Yönetici s cmdlet'ini çalıştırın.
Paketler>Remove-GroupFromCloud Yönetici s komutunu>çalıştır'ı seçin.
Gerekli değerleri girin veya seçin ve ardından Çalıştır'ı seçin.
Veri Akışı Adı Açıklama GroupName Kaldırılacak grubun adı. Örneğin, Vc Yönetici Group. En fazla Cmdlet çıkışının bekletme süresi. Varsayılan değer 60 gündür. Yürütme için ad belirtin Alfasayısal bir ad. Örneğin removeADgroup. Zaman aşımı Cmdlet'in çalışması tamamlanmazsa çıkış dönemi. İlerleme durumunu görmek için Bildirimler'i veya Yürütme Durumunu Çalıştır bölmesini işaretleyin.
Mevcut tüm dış kimlik kaynaklarını kaldırma
Var olan tüm dış kimlik kaynaklarını aynı anda kaldırmak için Remove-ExternalIdentitySources cmdlet'ini çalıştırın.
Paketleri>Kaldır-ExternalIdentitySources komutunu çalıştır'ı>seçin.
Gerekli değerleri girin veya seçin ve ardından Çalıştır'ı seçin:
Veri Akışı Adı Açıklama En fazla Cmdlet çıkışının bekletme süresi. Varsayılan değer 60 gündür. Yürütme için ad belirtin Alfasayısal bir ad. Örneğin, remove_externalIdentity. Zaman aşımı Cmdlet'in çalışması tamamlanmazsa çıkış dönemi. İlerleme durumunu görmek için Bildirimler'i veya Yürütme Durumunu Çalıştır bölmesini işaretleyin.
Mevcut bir dış kimlik kaynak hesabının kullanıcı adını veya parolasını döndürme
Etki alanı denetleyicisindeki Windows Server Active Directory kaynağıyla kimlik doğrulaması için kullanılan hesabın parolasını döndürün.
Çalıştır komutu>Paketleri>Update-IdentitySourceCredential'ı seçin.
Gerekli değerleri girin veya seçin ve ardından Çalıştır'ı seçin.
Veri Akışı Adı Açıklama Kimlik bilgisi Windows Server Active Directory kaynağıyla (Cloud Yönetici değil) kimlik doğrulaması için kullanılan etki alanı kullanıcı adı ve parolası. Kullanıcının biçiminde olması <username@avslab.local>
gerekir.Etkialanıadı Etki alanının FQDN'sini. Örneğin, avslab.local. İlerleme durumunu görmek için Bildirimler'i veya Yürütme Durumunu Çalıştır bölmesini işaretleyin.
Uyarı
DomainName için bir değer sağlamazsanız, tüm dış kimlik kaynakları kaldırılır. Update-IdentitySourceCredential cmdlet'ini yalnızca etki alanı denetleyicisinde parola döndürüldükten sonra çalıştırın.
LDAPS kimlik kaynağı için mevcut sertifikaları yenileme
Etki alanı denetleyicilerinizdeki mevcut sertifikaları yenileyin.
İsteğe bağlı: Sertifikalar varsayılan etki alanı denetleyicilerinde depolanıyorsa, bu adım isteğe bağlıdır. SSLCertificatesSasUrl parametresini boş bırakın; yeni sertifikalar varsayılan etki alanı denetleyicilerinden indirilir ve vCenter'da otomatik olarak güncelleştirilir. Varsayılan yöntemi kullanmamayı seçerseniz, LDAPS kimlik doğrulaması sertifikasını dışarı aktarın ve LDAPS sertifikasını blob depolamaya yükleyin ve bir SAS URL'si oluşturun. Sonraki adım için SAS URL'sini kaydedin.
Update-IdentitySourceCertificates Komut>Paketlerini>Çalıştır'ı seçin.
Gerekli değerleri ve yeni SAS URL'sini (isteğe bağlı) sağlayın ve çalıştır'ı seçin.
Alan Value Etkialanıadı* Etki alanının FQDN'sini, örneğin avslab.local. SSLCertificatesSasUrl (isteğe bağlı) Kimlik doğrulaması için Sertifikalar için SAS yolu URI'sinin virgülle ayrılmış listesi. Okuma izinlerinin eklendiğinden emin olun. Oluşturmak için sertifikaları herhangi bir depolama hesabı blob'una yerleştirin ve sertifikaya sağ tıklayıp SAS oluşturun. Bu alanın değeri bir kullanıcı tarafından sağlanmazsa, sertifikalar varsayılan etki alanı denetleyicilerinden indirilir. İlerleme durumunu görmek için Bildirimler'i veya Yürütme Durumunu Çalıştır bölmesini denetleyin.