Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В решении Azure VMware Solution сервер VMware vCenter Server имеет встроенную учетную запись локального пользователя с именем CloudAdmin, которому назначена роль CloudAdmin. Вы можете настроить пользователей и группы в Windows Server Active Directory с ролью CloudAdmin для частного облака. Как правило, роль CloudAdmin создает рабочие нагрузки в частном облаке и управляет ими. Но в Решение Azure VMware роль CloudAdmin имеет привилегии vCenter Server, отличные от других облачных решений VMware и локальных развертываний.
Внимание
Локальная учетная запись пользователя CloudAdmin должна использоваться в качестве учетной записи аварийного доступа для сценариев аварийного доступа в частном облаке. Она не предназначена для ежедневных административных действий или для интеграции с другими службами.
В локальном развертывании vCenter Server и ESXi администратор имеет доступ к учетной записи vCenter Server [email protected] и корневой учетной записи ESXi. Администратору также может быть назначено больше пользователей и групп Windows Server Active Directory.
В развертывании Azure VMware Solution администратор не имеет доступа к учетной записи администратора или к корневой учетной записи ESXi. Но администратор может назначить пользователям и группам Windows Server Active Directory роль CloudAdmin в vCenter Server. Роль CloudAdmin не имеет разрешений на добавление источника идентификации, такого как локальный сервер протокола легковесного доступа к каталогам (LDAP) или защищенный протокол LDAP (LDAPS), в сервер vCenter Server. Однако можно использовать команды выполнения для добавления источника идентификации и назначения роли CloudAdmin пользователям и группам.
Учетная запись пользователя в частном облаке не может получить доступ к определенным компонентам управления, которые корпорация Майкрософт поддерживает и управляет ими. Примерами являются кластеры, узлы, хранилища данных и распределенные виртуальные коммутаторы.
Примечание.
В Решение Azure VMware домен единого входа vsphere.local предоставляется в качестве управляемого ресурса для поддержки операций платформы. Вы не можете использовать его для создания локальных групп и пользователей, кроме тех, которые предоставляются по умолчанию в частном облаке.
Вы можете настроить vCenter Server для использования внешней службы каталогов протокола LDAP для проверки подлинности пользователей. Пользователь может войти с помощью учетных данных учетной записи Windows Server Active Directory или учетных данных на стороннем сервере LDAP. Затем учетной записи может быть назначена роль в vCenter Server, как в локальной среде, чтобы предоставить ролевой доступ пользователям vCenter Server.
В этой статье вы узнаете, как:
- Экспорт сертификата для проверки подлинности LDAPS. (Необязательно)
- Загрузите сертификат LDAPS в BLOB-хранилище и создайте URL-адрес общего доступа (SAS). (Необязательно)
- Настройте NSX DNS для разрешения в домене Windows Server Active Directory.
- Добавьте Windows Server Active Directory с помощью LDAPS (безопасный) или LDAP (незащищенный).
- Добавьте существующую группу Windows Server Active Directory в группу CloudAdmin.
- Перечислите все существующие источники внешних удостоверений, интегрированные с SSO vCenter Server.
- Назначьте дополнительные роли vCenter Server идентификаторам Windows Server Active Directory.
- Удалите группу Windows Server Active Directory из роли CloudAdmin.
- Удалите все существующие источники внешней идентификации.
Примечание.
Действия по экспорту сертификата для аутентификации LDAPS и загрузке сертификата LDAPS в хранилище BLOB-объектов и генерации SAS URL-адреса являются необязательными. Если параметр
SSLCertificatesSasUrlне указан, сертификат загружается с контроллера домена автоматически через параметрыPrimaryUrlилиSecondaryUrl. Чтобы вручную экспортировать и отправить сертификат, можно указатьSSLCertificatesSasUrlпараметр и выполнить необязательные действия.Выполните команды по одному за раз в порядке, описанном в статье.
Предварительные условия
Убедитесь, что ваша сеть Windows Server Active Directory подключена к частному облаку Решения Azure VMware.
Проверка подлинности Windows Server Active Directory с помощью LDAPS см. в статье "Настройка LDAPS" в решении Azure VMware.
Настройте разрешение DNS для решения Azure VMware Solution на вашу локальную Windows Server Active Directory. Настройте сервер пересылки DNS на портале Azure. Подробнее см. в статье Настройка сервера пересылки DNS для Решения Azure VMware.
Примечание.
Для получения более подробной информации о LDAPS и выпуске сертификатов обратитесь в вашу группу безопасности или группу управления удостоверениями.
Экспорт сертификата для проверки подлинности LDAPS (необязательно)
Сначала убедитесь, что сертификат, используемый для LDAPS, является допустимым. Если у вас нет сертификата, выполните действия, чтобы создать сертификат для LDAPS , прежде чем продолжить.
Чтобы убедиться, что сертификат действителен, выполните следующие действия.
Войдите в контроллер домена, на котором активен LDAPS с помощью разрешений администратора.
Откройте средство запуска, введите mmc и нажмите кнопку "ОК".
Выберите Файл>Добавить/Удалить оснастку.
В списке оснасток выберите Сертификаты и выберите Добавить.
В оснастке "Сертификаты" выберите Учетная запись компьютера, и затем выберите "Далее".
Сохраните выбранный локальный компьютер , нажмите кнопку "Готово" и нажмите кнопку "ОК".
В консоль управления сертификатов (локальный компьютер) разверните личную папку и выберите папку "Сертификаты", чтобы просмотреть установленные сертификаты.
Дважды щелкните сертификат для LDAPS. Убедитесь, что дата начала действия и окончания действия сертификата актуальна, и сертификат содержит закрытый ключ, соответствующий сертификату.
В том же диалоговом окне выберите вкладку "Путь сертификации" и убедитесь, что значение пути сертификации допустимо. Он должен включать цепочку сертификатов корневого ЦС, а также, при необходимости, промежуточные сертификаты. Убедитесь, что состояние сертификата в порядке.
Нажмите ОК.
Чтобы экспортировать сертификат, выполните следующие действия.
- В консоли сертификатов щелкните правой кнопкой мыши сертификат LDAPS и выберите "Все задачи">Экспорт. Откроется мастер экспорта сертификатов. Выберите Далее.
- В разделе "Экспорт закрытого ключа" выберите "Нет", не экспортируйте закрытый ключ и нажмите кнопку "Далее".
- В разделе "Формат файла экспорта" выберите base-64 закодированный X.509(. CER), а затем нажмите кнопку "Далее".
- В разделе "Файл для экспорта" нажмите кнопку "Обзор". Выберите расположение папки для экспорта сертификата и введите имя. Затем выберите Сохранить.
Примечание.
Если для нескольких контроллеров домена задано использование LDAPS, повторите процедуру экспорта для каждого дополнительного контроллера домена для экспорта соответствующих сертификатов. Обратите внимание, что в средстве New-LDAPSIdentitySource запуска можно ссылаться только на два сервера LDAPS. Если сертификат является подстановочным сертификатом, например .avsdemo.net, экспортируйте сертификат только из одного из контроллеров домена.
Загрузите сертификат LDAPS в хранилище блобов и создайте URL SAS (необязательно)
Затем отправьте файл сертификата (в формате .cer), который вы экспортировали, в учетную запись службы хранения Azure в качестве BLOB-хранилища. Затем предоставьте доступ к ресурсам хранилища Azure с помощью SAS.
Если требуется несколько сертификатов, отправьте каждый из них по отдельности и создайте URL-адрес SAS для каждого сертификата.
Внимание
Не забудьте скопировать все строки URL-адреса SAS. После того как вы покинете страницу, строки становятся недоступными.
Подсказка
Альтернативный метод консолидации сертификатов включает хранение всех цепочек сертификатов в одном файле, как описано в статье база знаний VMware. Затем создайте один URL-адрес SAS для файла, содержащего все сертификаты.
Настройте DNS NSX-T для разрешения домена Windows Server Active Directory
Создайте зону DNS и добавьте ее в службу DNS. Выполните действия, описанные в разделе "Настройка DNS-пересылки" в портал Azure.
После выполнения этих действий убедитесь, что служба DNS включает зону DNS.
Теперь ваше облако Azure VMware Solution должно правильно разрешать локальное доменное имя Windows Server Active Directory.
Добавление Windows Server Active Directory с использованием LDAP через SSL
Чтобы добавить Windows Server Active Directory через LDAP с использованием SSL в качестве внешнего источника удостоверений для использования с функцией единого входа на сервер vCenter, выполните командлет New-LDAPSIdentitySource.
Перейдите в частное облако Azure VMware Solution и выберите Выполнить команду>Пакеты>New-LDAPSIdentitySource.
Укажите необходимые значения или измените значения по умолчанию, а затем нажмите кнопку "Выполнить".
Имя Описание ИмяГруппы Группа во внешнем источнике удостоверений, предоставляющая доступ к CloudAdmin. Например, avs-admins. SSLCertificatesSasUrl Путь к строкам SAS, содержащим сертификаты для проверки подлинности в источнике Windows Server Active Directory. Разделите несколько сертификатов запятой. Например, pathtocert1,pathtocert2. Учетные данные Имя пользователя домена и пароль для проверки подлинности с помощью источника Windows Server Active Directory (а не CloudAdmin). Используйте формат <[email protected]>.BaseDNGroups Расположение для поиска групп. Например, CN=group1, DC=avsldap,DC=local. Базовый DN необходим для аутентификации LDAP. BaseDNUsers Расположение для поиска допустимых пользователей. Например, CN=users,DC=avsldap,DC=local. Базовый DN необходим для аутентификации LDAP. PrimaryUrl Основной URL-адрес источника внешнего удостоверения. Например, ldaps://yourserver.avslab.local:636.SecondaryURL Вторичный резервный URL-адрес, если основной не работает. Например, ldaps://yourbackupldapserver.avslab.local:636.DomainAlias Для источников идентификации Windows Server Active Directory используется NetBIOS имя домена. Добавьте имя NetBIOS домена Windows Server Active Directory в качестве псевдонима источника удостоверений, обычно в формате avsldap\. Имя домена Полное доменное имя домена (FQDN). Например, avslab.local. Имя Имя внешнего источника идентификации. Например, avslab.local. Хранить до Период хранения выходных данных командлета. Значение по умолчанию — 60 суток. Укажите имя для выполнения Буквенно-цифровое имя. Например, addExternalIdentity. Время ожидания Период, после которого командлет завершает выполнение, если выполнение не завершено. Чтобы отслеживать ход выполнения и подтвердить успешное завершение, проверьте уведомления или панель статуса выполнения.
Внимание
Если команда New-LDAPSIdentitySource завершается с ошибкой, используйте команду Debug-LDAPSIdentitySources для устранения проблемы.
Добавление Windows Server Active Directory с использованием LDAP
Примечание.
Рекомендуется использовать метод для добавления Windows Server Active Directory через LDAP с помощью SSL.
Чтобы добавить Windows Server Active Directory через LDAP в качестве внешнего источника удостоверений для использования с единым входом на сервер vCenter, выполните командлет New-LDAPIdentitySource.
Выберите Запустить команду>Пакеты>New-LDAPIdentitySource.
Укажите необходимые значения или измените значения по умолчанию, а затем нажмите кнопку "Выполнить".
Имя Описание Имя Имя внешнего источника идентификации. Например, avslab.local. Это имя отображается на сервере vCenter Server. Имя домена Полное доменное имя (FQDN). Например, avslab.local. DomainAlias Для источников идентификации Windows Server Active Directory используется NetBIOS имя домена. Добавьте имя NetBIOS домена Windows Server Active Directory в качестве псевдонима источника удостоверений, как правило, в формате *avsldap*. PrimaryUrl Основной URL-адрес источника внешнего удостоверения. Например, ldap://yourserver.avslab.local:389.SecondaryURL Вторичный резервный URL-адрес, если произошел первичный сбой. BaseDNUsers Расположение для поиска допустимых пользователей. Например, CN=users,DC=avslab,DC=local. Базовый DN необходим для аутентификации LDAP. BaseDNGroups Расположение для поиска групп. Например, CN=group1, DC=avslab,DC=local. Базовый DN необходим для аутентификации LDAP. Учетные данные Имя пользователя домена и пароль для проверки подлинности с помощью источника Windows Server Active Directory (а не CloudAdmin). Формат пользователя должен быть в <[email protected]>.ИмяГруппы Группа в вашем внешнем источнике удостоверений, предоставляющая доступ к CloudAdmin. Например, avs-admins. Хранить до Период хранения выходных данных командлета. Значение по умолчанию — 60 суток. Укажите имя для выполнения Буквенно-цифровое имя. Например, addExternalIdentity. Время ожидания Период, после которого командлет завершает выполнение, если выполнение не завершено. Чтобы отслеживать ход выполнения, проверьте уведомления или панель статуса выполнения.
Добавление существующей группы Windows Server Active Directory в группу CloudAdmin
Внимание
Вложенные группы не поддерживаются. Использование вложенной группы может привести к потере доступа.
Пользователи в группе CloudAdmin имеют пользовательские права, равные роли CloudAdmin (<[email protected]>), как это определено в системе единого входа vCenter Server. Чтобы добавить существующую группу Windows Server Active Directory в группу CloudAdmin, выполните командлет Add-GroupToCloudAdmins.
Выберите Выполнить команду>Пакеты>Add-GroupToCloudAdmins.
Введите или выберите необходимые значения, а затем нажмите кнопку "Выполнить".
Имя Описание ИмяГруппы Имя добавляемой группы. Например, VcAdminGroup. Хранить до Срок хранения выходных данных командлета. Значение по умолчанию — 60 суток. Укажите имя для выполнения Буквенно-цифровое имя. Например, addADgroup. Время ожидания Период, после которого командлет завершает выполнение, если выполнение не завершено. Проверьте уведомления или панель состояния выполнения, чтобы увидеть ход выполнения.
Перечислить внешние источники удостоверений
Чтобы получить список всех источников внешних удостоверений, которые уже интегрированы с vCenter Server в SSO, выполните командлет Get-ExternalIdentitySources.
Войдите на портал Azure.
Примечание.
Если вам нужен доступ к порталу Azure для государственных организаций США, перейдите к разделу
<https://portal.azure.us/>.Выберите Выполнить команду>Пакеты>Get-ExternalIdentitySources.
Введите или выберите необходимые значения, а затем нажмите кнопку "Выполнить".
Имя Описание Хранить до Период хранения вывода команды cmdlet. Значение по умолчанию — 60 суток. Укажите имя для выполнения Буквенно-цифровое имя. Например, getExternalIdentity. Время ожидания Период, после которого командлет завершает выполнение, если выполнение не завершено. Чтобы просмотреть ход работы, проверьте уведомления или панель состояния выполнения программы.
Назначьте больше ролей vCenter Server для удостоверений Windows Server Active Directory
После добавления внешней учетной записи через LDAP или LDAPS вы можете назначить роли vCenter Server группам безопасности Windows Server Active Directory в соответствии с мерами безопасности вашей организации.
Войдите в vCenter Server как CloudAdmin, выберите элемент из инвентаризации, выберите меню "Действия " и выберите пункт "Добавить разрешение".
В диалоговом окне добавления разрешений:
- Домен. Выберите ранее добавленный экземпляр Windows Server Active Directory.
- Пользователь или группа: введите имя пользователя или группы, найдите его, а затем выберите его.
- Роль. Выберите роль для назначения.
- Распространить на дочерние ресурсы: при необходимости установите флажок для распространения разрешений на дочерние ресурсы.
Перейдите на вкладку "Разрешения" и убедитесь, что назначение разрешений было добавлено.
Теперь пользователи могут войти в vCenter Server с помощью учетных данных Windows Server Active Directory.
Удаление группы Windows Server Active Directory из роли CloudAdmin
Чтобы удалить определенную группу Windows Server Active Directory из роли CloudAdmin, выполните командлет Remove-GroupFromCloudAdmins.
Выберите Выполнить команду>Пакеты>Remove-GroupFromCloudAdmins.
Введите или выберите необходимые значения, а затем нажмите кнопку "Выполнить".
Имя Описание ИмяГруппы Имя группы, удаляемой. Например, VcAdminGroup. Хранить до Период хранения выходных данных командлета. Значение по умолчанию — 60 суток. Укажите имя для выполнения Буквенно-цифровое имя. Например, removeADgroup. Время ожидания Период, после которого командлет завершает выполнение, если выполнение не завершено. Чтобы просмотреть ход работы, проверьте уведомления или панель состояния выполнения программы.
Удалите все существующие внешние источники идентификации
Чтобы удалить все существующие источники внешних удостоверений одновременно, выполните командлет Remove-ExternalIdentitySources.
Выберите Выполнить команду>Пакеты>Remove-ExternalIdentitySources.
Введите или выберите необходимые значения, а затем нажмите кнопку "Выполнить".
Имя Описание Хранить до Период хранения выходных данных командлета. Значение по умолчанию — 60 суток. Укажите имя для выполнения Буквенно-цифровое имя. Например, remove_ExternalIdentity. Время ожидания Период, после которого командлет завершает выполнение, если выполнение не завершено. Чтобы просмотреть ход работы, проверьте уведомления или панель состояния выполнения программы.
Обновление имени пользователя или пароля учетной записи в существующей внешней системе удостоверений
Смените пароль учетной записи, используемой для проверки подлинности с помощью источника Windows Server Active Directory в контроллере домена.
Выберите "Выполнить команду">"Пакеты">"Update-IdentitySourceCredential".
Введите или выберите необходимые значения, а затем нажмите кнопку "Выполнить".
Имя Описание Учетные данные Имя пользователя домена и пароль, используемые для проверки подлинности с источником Windows Server Active Directory (а не CloudAdmin). Пользователь должен быть представлен в формате <[email protected]>.Имя домена Полное доменное имя домена. Например, avslab.local. Чтобы просмотреть ход работы, проверьте уведомления или панель состояния выполнения программы.
Предупреждение
Если вы не предоставляете значение для DomainName, удаляются все источники внешней идентичности. Запустите командлет Update-IdentitySourceCredential только после смены пароля в контроллере домена.
Продление существующих сертификатов для источника идентификации LDAPS
Обновите существующие сертификаты в контроллерах домена.
Необязательно. Если сертификаты хранятся в контроллерах домена по умолчанию, этот шаг является необязательным. Оставьте параметр SSLCertificatesSasUrl пустым, а новые сертификаты будут загружаться с контроллеров домена по умолчанию и обновляться в vCenter автоматически. Если вы решили не использовать стандартный способ, экспортируйте сертификат для проверки подлинности LDAPS и отправьте сертификат LDAPS в хранилище BLOB-объектов и создайте URL-адрес SAS. Сохраните URL-адрес SAS для следующего шага.
Выберите Выполнить команду>Пакеты>Update-IdentitySourceCertificates.
Укажите необходимые значения и новый URL-адрес SAS (необязательно), а затем нажмите кнопку "Выполнить".
Поле Ценность Имя домена* Полное доменное имя домена, например avslab.local. SSLCertificatesSasUrl (необязательно) Список URI пути SAS к сертификатам для проверки подлинности с разделителями-запятыми. Убедитесь, что доступ для чтения включен. Чтобы создать SAS, поместите сертификаты в объект BLOB любой учетной записи хранения, затем щелкните правой кнопкой мыши по сертификату и выберите создание SAS. Если значение этого поля не предоставляется пользователем, сертификаты будут скачаны с контроллеров домена по умолчанию. Проверьте уведомления или панель состояния выполнения, чтобы увидеть ход выполнения.