Saturday, April 10, 2021

Vmware Vsphere: Chứng thực tập trung Active Directory trên ESXi

Must Read

CÁCH CÀI ĐẶT LOCALHOST TRÊN MÁY TÍNH VỚI XAMPP

Hướng dẫn cài đặt Localhost Để cài Localhost chúng ta có rất nhiều cách và phần mềm, tuy nhiên nếu...

Hệ Thống Lưu Trữ DAS, NAS, SAN, ISCSI SAN Là Gì?

Các khái niệm về Strorage (lưu trữ) để có thể lưu trữ dữ liệu của bạn một cách an...

Hướng dẫn block port trên Firewall Windows Server

Click "Start | Control Panel | System and Security | Windows Firewall." Click USE recommended setting.(image 1) Select "Advanced Settings."...

Upgrade from MariaDB 5.5 to 10.1 on CentOS7

Here is the readout from my current Droplet which is similar to your example: # cat /etc/redhat-release CentOS Linux release...

Top 10 nhà cung cấp dịch vụ email miễn phí tốt nhất thị trường

Nhà cung cấp dịch vụ email miễn phí là các đơn vị hỗ trợ bạn trong các hoạt động...
- Advertisement -

ItWEB – Vmware Vsphere: Chứng thực tập trung Active Directory trên ESXi

Tình huống

Giả sử chưa có Vcenter. Có 3 ESXi

Mỗi con có 3 root độc lập.

Muốn quản lý thì móc riêng Vsphere Client. Chức thực = local user (của ESXi) Có thể lẫn lộn password root. Hoặc nếu dùng chung thì lộ password thì lộ hết.

Muốn thêm các user để khác thì tạo từng user ở các ESXi cho giống nhau -> mất thời gian

Giải pháp: chứng thực tập trung AD. Join domain 3 ESXi

Lấy user trên AD chứng thực. Sau đó bắt đầu phân quyền tại từng con.

Để bảo mật, ta không dùng user root local ESXi chứng thực mà tạo trên Active Directory user tên root.

Sau đó đăng nhập root local ESXi để cấp cho root Active Directory quyền quản lý, và phân quyền các user khác theo nhu cầu. Vậy khi change password thì change trên AD.

Vậy Cách cấu hình chứng thưc tập trung. (Join Domain các host ESXi)
B1: log on user root local ESXI trên các Host ESXi join domain.

B2: tạo user root trên AD và phân quyền cho nó.

Lưu ý: ESXi chỉ join domain, sử dụng user AD chứ không thể quản lý tài khoản trên AD => Muốn change pass , … thì làm trên DC, domain member (cài RSAT).

Lưu ý

Muốn change pass  root local ESXi thì vào giao diện direct control (DCUI)

Host ESXi hư thì cứ cài lại mới đè lên cái cũ (khuyến cáo của VMware)

Thay vì logon root local để phân quyền root AD => rất cực nếu số lượng ESXi nhiều. VMware làm dùm ta bước 2.

Trên AD ta tạo group: ESX Admins, ta đưa user vào group này (user nào cũng được). Khi Host ESXi join domain,  việc đầu tiên sau khi join domain  là ESX sẽ kiếm group ESX Admins  (cho nên phải đặt đúng tên) bỏ vào group admin local ESX. Nếu không tạo trước thì thôi, nó sẽ không làm tự động.

http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1025569

  • Ta sẽ không phải đi phân quyền vì group ESX Admins trên AD đã là admin local ESX.

Ngoại trừ ESX Admins và user root thì không có user nào trên AD có quyền trên Host ESX.

Lab

Lên DC tạo ESX Admins

Thông tin Domain Controller

Server 2012R2

IP: 192.168.1.100/24

Name: Server1

Domain: itWEB.local

Bước 1: Tạo ESX Admins trên DC.

Tạo 2 user: admin1, admin2 trong ESX Admins

Bước 2: Join Domain ESXi

Khảo sát Tab Permission:

Thấy danh sách user:

active-directory-tren-esxi-8

root

Vpxuser (là user được tạo bởi Vcenter. Là của vcenter tạo ra). THực thi các tác vụ trên ESXi host. Password sẽ tự thay đổi bởi hệ thống nếu hết hạn. Không được đụng chạm đến nó.

Dcui: là user để chạy giao diện đồ họa (DCUI), ví dụ: nó giúp ta disable, enale Lock down mode

Trên Vsphere Client -> Tab Configuration: DNS and Routing

+ Trỏ DNS về Domain Controller.

Vào Authentication Services (Trong tab Configuration).

Mặc định là chứng thực cho local (Authentication Local)

Ta chọn Properties:

Nhập các thông số thích hợp -> Join Domain: Nhập user của domain itWEB.local

active-directory-tren-esxi-9

Dùng user trong AD để join domain

active-directory-tren-esxi-10

Sau đó Reboot lại ESXi Host vừa join domain.

Sau khi khời động lại.

Vào tab Permission kiểm tra.

Thấy xuất hiện Group: Tuhocmang/ESX Admins.

active-directory-tren-esxi-11

active-directory-tren-esxi-12

Đăng nhập vào Vsphere bằng tài khoản admin1, admin2: Thành Công.

Lưu ý : Nhắc lại, chỉ những user trong group ESX Admins trên AD mới quyền quản lý trên Host ESXi.

Để biết ta đang đăng nhập lên ESXi bằng user nào: Nhìn góc phải, phía dưới cùng cửa sổ.

active-directory-tren-esxi-13

Đối với ESXi Stand Alone: đăng nhập không cần user@domain hay domainuser (có hoặc không đều được)

Khi có Vcenter: phải có @domain, domainuser.

Mở thêm 1 cửa số VSphere, đăng nhập ESXi bằng user domain không nằm trong group: ESX Admins (vd: administrator@tuhocmang.local)

Thì xuất hiện bảng thông báo:

active-directory-tren-esxi-14

=> Chứng thực được nhưng không có quyền vào.

Cách phân quyền:

Tab Permission -> Cột phải bất kì -> Add Permission -> Add

Có 3 bộ quyền có sẵn: No Access, Read-Only, Administrator. Phần Custom lại thì ta sẽ làm trên Vcenter.

active-directory-tren-esxi-15

Như vậy, đã join ESX vào môi trường domain :). Cảm ơn các bạn theo dõi

- Advertisement -

Latest News

CÁCH CÀI ĐẶT LOCALHOST TRÊN MÁY TÍNH VỚI XAMPP

Hướng dẫn cài đặt Localhost Để cài Localhost chúng ta có rất nhiều cách và phần mềm, tuy nhiên nếu...
- Advertisement -Thiết kế website chuyên nghiệp

More Articles Like This