Saturday, April 10, 2021

Vmware Vsphere: Tất cả các về đề về join Vcenter vào domain để chứng thực tập trung và phân quyền tập trung

Must Read

CÁCH CÀI ĐẶT LOCALHOST TRÊN MÁY TÍNH VỚI XAMPP

Hướng dẫn cài đặt Localhost Để cài Localhost chúng ta có rất nhiều cách và phần mềm, tuy nhiên nếu...

Hệ Thống Lưu Trữ DAS, NAS, SAN, ISCSI SAN Là Gì?

Các khái niệm về Strorage (lưu trữ) để có thể lưu trữ dữ liệu của bạn một cách an...

Hướng dẫn block port trên Firewall Windows Server

Click "Start | Control Panel | System and Security | Windows Firewall." Click USE recommended setting.(image 1) Select "Advanced Settings."...

Upgrade from MariaDB 5.5 to 10.1 on CentOS7

Here is the readout from my current Droplet which is similar to your example: # cat /etc/redhat-release CentOS Linux release...

Top 10 nhà cung cấp dịch vụ email miễn phí tốt nhất thị trường

Nhà cung cấp dịch vụ email miễn phí là các đơn vị hỗ trợ bạn trong các hoạt động...
- Advertisement -

ItWEB – Vmware Vsphere: Tất cả các vấn đề vềJoin Vcenter vào domain để chứng thực tập trung  và phân quyền tập trung

Các bạn xem lại bài trước  (chứng thực tập trung ESX – Join ESX vào domain itWEB.local)

Khi đã có Vcenter, ta không cần lấy ESX join domain.

Ôn lại mô hình Vcenter của itWEB.local

+ Hiện tại, hệ thống itWEB.local có ESXi 1,2,3  gia nhập Vcenter (= tài khoản root local)

+ Sau khi đưa ESX vào Vcenter, Vcenter tạo ra trên ESXi host user: vpxuser – là user riêng của vcenter.

Lúc này Vcenter toàn quyền trên ESXi host, sử dụng bằng tài khoản riêng của Vcenter.

Chỉ cần vào Vcenter là quản lý được ESXi

+ Để quản lý thì phải qua SSO chứng thực.

Lúc này có: user local (trên Vcenter) và administrator@vspher.local là có thể chứng thực trên SSO

Nếu cài Vcenter trên windows

Nếu là Vcenter appliance: cả 2 đều có toàn quyền (local của Vcenter appliance và administrator@vsphere.local)

Chỉ cần có user trên Vcenter là có thể quản lý tất cả ESXi host.

Khi đưa vào Vcenter, tức là đã quản lý tập trung, Vcenter chứng thực tập trung => ta không cần lấy ESX join domain.

Có thể tạo user local của SSO hoặc user của default domain (vsphere.local) để cho phép chứng thực, ủy quyền quản lý.

Cần enable Clockdown mode để tránh các user local của ESXi host dùng vsphere client đăng nhập vào

Một số tổ chức không muốn tạo thêm user trên default domain hay user local SSO vì họ đã có sẵn database chứng thực riêng (Có sẵn Domain Controller). Lúc này muốn sử dụng các user cũ trên Active Directory thì mới join domain.

Hoặc có quá nhiều Vcenter, cần join domain để quản lý tập trung.

Đó là 2 trường hợp Vcenter cần join domain

Vậy thành phần nào sẽ đứng ra join domain ???

Mục đích join domain để chứng thực, công việc chứng thực local do SSO quản lý  => SSO sẽ join domain.

SSO cũng có giao diện quản lý riêng.

Vmware tích hợp công cụ quản lý SSO và Vcenter thành Vsphere Web Client.

Nó quản lý 2 role: SSO và Vconsole

Vsphere Client không quản lý được SSO.

User: administrator@vsphere.local quản lý được SSO. => log on administrator@vsphere.local để join domain.

Chuẩn bị:

1/ Gỡ các ESXi bỏ join domain

Cách disjoin

Qua Tab Configuration -> Authentication Services -> Leave domain

Lúc này, nó sẽ xóa tất cả quyền liên quan đến domain này.

vmware-lesson-7-1

vmware-lesson-7-2

Phải reboot (join hay disjoin đều phải reboot)

Sau đó vào tab permission kiểm tra thấy không còn quyền của user domain .

Vpxuser giống như user system trên windows: có toàn quyền, chạy các service trên hệ thống.

2/ Sau đó để bảo mật: enable Clockdown Mode trên Vcenter  (Tab configuration -> security Profile -> kéo xuống dưới)

vmware-lesson-7-3

Khi bật Clockdown Mode sẽ gặp tình huống:

Nếu Vcenter cũ bị hư, dùng Vcenter mới add ESXI host sẽ không add được vì bị Clockdown Mode. Lúc này, chỉ còn cách là ngồi trực tiếp lên ESXi (giao diện DCUI) để disable Clockdown Mode.

Tình Huống:

Chỉ cho phép user tạo máy ảo, không cho xóa.

Lúc này: cần tạo user nữa.

Tạo trên SSO

  • User của default domain
  • User của Local OS

Nếu xài Vcenter appliance thì tạo user trên appliance (lệnh linux) hoặc tạo user default domain bằng Vsphere web client (log = admin của default domain).

Vào Vsphere web client:

https://192.168.1.192:9443

Sự khác biệt của root (tớ đang dùng Vcenter appliance) và administrator@vsphere.local là administrator có phần SSO (single Sign On)

vmware-lesson-7-4

Sử dụng SSH hoặc ngồi trực tiếp vào Vcenter appliance để tạo user local:

Useradd u1

Passwd u1 P@ssword

Trên Vsphere web client tạo user: teo@vsphere.local pass: P@ssword (vào  Administration -> Single Sign On -> User and Group)

(Lưu ý: để chạy 2 user trên web client thì phải chạy trên chế độ ẩn Anonymous của browser hoặc dùng web browser khác)

Cách change password:

Admin domain (administrator@vsphere.local)

C1: Administration -> Single Sign On -> User and Group:  click vào Edit user

vmware-lesson-7-5

C2: Bên trên phía phải màn hình -> click vào administrator@vsphere.local -> Change password

vmware-lesson-7-6

Cách change password Root Vcenter appliance:

Passwd root

Trước khi Join domain Vcenter Appliance ta nên Snapshot Vcenter Appliance.

Chứng Thực Tập Trung:

Muốn chứng thực Vcenter bằng user trong AD. Ta làm như sau:

B1: trỏ DNS về Domain Controller . Do SSO và Vcenter Appliance chung nên ta phải chỉnh DNS ở Vcenter appliance (Nếu riêng thì phải trỏ ở SSO)

Vào: https://192.168.1.192:5480. (chỉ user root  mới vào được)

(Nếu muốn đổi tên thì nhớ là phải generate certificate lại)

vmware-lesson-7-7

B2: join domain (SSO join)

Join = administrator@vsphere.local trên SSO

Administration -> Single Sign On -> Configuration -> Tab Identity Sources

Như đã đề cập , Identity Sources là nơi có thể log in trên SSO (là nới chứa những user có khả năng login trên SSO). Mặc định có user của default domain và user local là được login.

Bấm “+” để thêm AD

Identity Source: có 4 loại:

Local OS: Nếu lúc cài VCenter mà có gỡ Local OS ra, không cho chứng thực = Local OS mà bây giờ muốn thì chọn local OS

Active Directory (Integrated Windows Authentication)

Dành cho những máy windows (đã join domain). Ta muốn tận dụng tài khoản đang login trên windows để join domain và các thông số windows đang join domain có sẵn để join domain (có nghĩa là tự động, không phải khai báo gì)

Active Directory as a Ldap server: dành cho Vcenter appliance. Ta chọn cái này

Các thông số:

Name: đặt tên gì cũng được:  VCSA.tuhocmang.local

Base DN for user:Đường dẫn chứa user (giống như mình hay browse user trong domain khi phân quyền). Khi phân quyền, nó sẽ browse về đường dẫn này để tìm user.Nếu browse sâu wa thì không lùi về trước được)

DC=tuhocmang,DC=local Ta chọn đường dẩn này, rồi tự browse về. Nếu thêm OU nữa thì đương nhiên đở mất thời gian browse tay nhưng không qua các OU khác được.

Domain name: itWEB.local

Base DN for group: tương tư user: DC=tuhocmang,DC=local

Primary server URL: Đường dẫn primary DC:ldap://Server1.tuhocmang.local

Ldap: port 389, Ldaps port 636

Username: username có quyền join vào domain: ta dùng user admin AD để join: administratortuhocmang.

Password:

vmware-lesson-7-8

Chọn test Connection để kiểm tra.

vmware-lesson-7-9

Lưu ý thêm: Khi windows join domain rồi, khi cài Vcenter lên thì lúc cài đặt Vcenter sẽ hỏi: có lấy Identity Source là AD không.

Sau khi join domain xong sẽ thấy

vmware-lesson-7-10

Phân Quyền Tập Trung Vcenter:

Câu hỏi trước khi đi phân quyền tập trung Vcenter:

Sau khi join domain  thì Vcenter có lấy group ESX Admins (group trên Active Directory dùng để quản lý ESX khi join ESX vào domain) cho vào làm Admin Vcenter ko ??? Tại sao ?

Trả lời:

Muốn add user của Active Directory thì ta làm bằng tay (cũng có thể tự động). Chừng nào có nhiều Vcenter thì ta mới cần tự động (cũng giống như có nhiều ESXi host)

Nhưng Vcenter thì thường chỉ có 1 đến 2 con, nên bằng tay là được rồi.

Sau khi join domain thì user Active Directory vẫn không có quyền trên Vcenter (kể cả khi Active Directory có group ESX Admins)

Log on Vsphere client bằng user Active Directory : admin1

Sẽ xuất hiện lỗi không có quyền.

vmware-lesson-7-12

Phân Quyền cho admin1, admin2 (Là các user trên domain itWEB.local)

Cho admin1  chỉ có quyền tạo máy ảo trên ESX1. Admin2 chỉ có quyền tạo máy ảo trên ESX2

Ta sẽ dùng Vsphere Client làm

Nếu phân quyền trên nhánh cao thì nó sẽ thừa kế ở các nhánh nhỏ hơn (giống như thuộc tính kế thừa ở windows). Ta có thề phân quyền từ cấp độ Vcenter, Datacenter, Folder, ESXi host v.v….

Vậy nếu cho quyền ở đâu thì chỉ định ở nhóm đối tượng đó

Trên Vsphere client

vmware-lesson-7-11

Ta chỉ cần chọn Host ESX -> Tab permission -> add permission để add user + phân quyền cho user đó.

vmware-lesson-7-13

Hoặc về Home -> Role

1 Role chứa rất nhiều bộ quyền nhỏ (gọi là privilege).

Add Role

Name: Cho tao may ao    

Privilege được chia thành nhiều nhóm

Ta muốn cấp quyền Tạo máy ảo: Vậy khi cấp quyền tạo máy ảo, ta cần những bộ quyền nào ???.

1/ Mỗi lần tạo máy ảo thì ta phải tạo thêm 1 object (folder) trên  datastore

Datastore -> allocate space:  lấy dung lượng

2/ Kết nối Network cho máy ảo (chỉ định network)

Network -> Assign Network

3/ Virtual Machine

Virtual Machine -> Inventory -> create new: để có quyền tạo mới trong inventory (inventory ESXi host)

Virtual Machine -> Interaction: check hết

Virtual machine -> Configuration -> add new disk (tạo ổ đĩa) + add or remove device

4/ Resource

Resource -> Assign Virtual machine to resource pool

5/ Vapp -> assign resource pool: lấy tài nguyên (không cần cũng được)

Sau khi tạo xong bấm OK

vmware-lesson-7-14

Sau đó về Host and Cluster

Admin1 tạo máy ảo trên ESX1

Chọn ESXi1

-> Tab Permission -> Add: admin1 và chọn Role vừa tạo (nhớ check vào tính kế thừa – Propagate)

vmware-lesson-8-4

Tương tự: Add Permission Admin1 cho các Inventory còn lại: Networking, VM – Template , Datastore (chọn datastore chứa máy ảo)

Như Vậy:

  • Mỗi lần tạo Role , Role đó sẽ kết nối đến nhiều loại đối tượng , Sau khi tạo Role ta phải phải chỉ định cho từng Inventory.
  • Nếu quyền chỉ liên quan đến ESX thì phân quyền trên ESX (vd: cho phép tắt, reboot)

Do tạo máy ảo liên quan đến nhiều loại đối tượng nên phải set quyền từng cái.

Test thử admin1

vmware-lesson-7-15

Ghi Chú:

Một số chức năng phân quyền

http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1014007

https://pubs.vmware.com/vsphere-51/index.jsp?topic=%2Fcom.vmware.vsphere.security.doc%2FGUID-4D0F8E63-2961-4B71-B365-BBFA24673FDB.html

http://pubs.vmware.com/vsphere-4-esx-vcenter/index.jsp?topic=/com.vmware.vsphere.dcadmin.doc_41/vsp_dc_admin_guide/defined_privileges/r_virtual_machine_interaction.html

Cảm ơn các bạn theo dõi :). Đề nghị copy nhớ ghi nguồn. Có trang  copy rất nhiều bài của mình mà không ghi nguồn, mình có thông báo nhưng xóa comment của mình 🙂

- Advertisement -

Latest News

CÁCH CÀI ĐẶT LOCALHOST TRÊN MÁY TÍNH VỚI XAMPP

Hướng dẫn cài đặt Localhost Để cài Localhost chúng ta có rất nhiều cách và phần mềm, tuy nhiên nếu...
- Advertisement -Thiết kế website chuyên nghiệp

More Articles Like This