Mit VMware vCenter 6 einer AD-Domäne beitreten

    VMware vCenterAuch wenn vSphere 6.0 mit dem Platform Services Con­troller über ein eigenes Ver­zeichnis ver­fügt, so wird man in AD-Umge­bungen doch auf eine sepa­rate Benutzer­verwaltung für VMware ver­zichten. Dort bietet sich die Inte­gration von vCenter mit dem Active Directory an, die auch mit dem vCSA funkt­ioniert.

    Die AD-Anbindung von vCenter erlaubt es Benutzern, sich mit den gleichen Credentials an Windows und der VMware-Plattform anzumelden. Innerhalb von vCenter können Administratoren den AD-Konten beliebige Berechtigungen und Rollen zuweisen.

    vCenter-Server an Domäne anschließen

    Die Integration erfolgt wie unter der Vorgängerversion in zwei Schritten: Erst muss der vCenter-Server Mitglied einer Domäne werden und danach kann man das Active Directory als Identitätsquelle festlegen.

    Installiert man vCenter unter Windows, dann folgt der Beitritt des Rechners zur Domäne dem altbekannten Muster (siehe diese Anleitung am Beispiel von Windows 10). Beim Linux-basierten vCenter Server Appliance hat sich das Vorgehen jedoch seit der Version 5.5 geändert.

    In der Vergangenheit erfolgte der Domain Join vollständig über das Virtual Appliance Management Interface (VAMI). Diese Web-Oberfläche fehlte jedoch in der Version 6.0 und erst das Update 1 brachte es in neu gestalteter Form wieder zurück. Es wird für die AD-Integration nur noch benötigt, um das Netzwerk für den Beitritt zu konfigurieren.

    vCSA für Beitritt konfigurieren

    Dazu ruft man das VAMI standardmäßig über den Port 5480 auf, also nach dem Muster https://vcsa.contoso.de:5480, und wechselt dort zur Seite Netzwerk. Hier prüft man, ob der Hostname korrekt ist und stellt sicher, dass der richtige DNS-Server eingetragen ist. Dieser muss das Appliance über einen SVR-Eintrag zum Domain Controller führen. Werden die Domain Name Services vom Active Directory erbracht, dann sollte diese Voraussetzung gegeben sein.

    Über das VAMI sollte man vor dem Domain Join die Konfiguration des Netzwerks und die Zeiteinstellungen prüfen.

    Zusätzlich sollte man darauf achten, dass die Uhrzeit des vCSA mit jener in der Domäne übereinstimmt. Diese kann man bei Bedarf unter dem Menüpunkt Uhrzeit anpassen, indem man die Zeitzone ändert oder einen NTP-Server für die Synchronisierung angibt.

    Domain Join über vSphere Web Client

    Für den eigentlichen Beitritt ist nun der vSphere Web Client zuständig. Nachdem man sich dort als SSO-Administrator (etwa als administrator@vsphere.local) angemeldet hat, klickt man auf das Symbol Systemkonfiguration und öffnet dann in der linken Leiste dem Eintrag Knoten.

    Für den Beitritt zu einer Domäne folgt man auf der Homepage dem Symbol Systemkonfiguration.

    Dort wählt man das gewünschte Appliance aus. Anschließend findet sich unter Einstellungen der Link Active Directory., wo man den Befehl Verknüpfen ausführt.

    Der Beitritt zur Domäne erfordert die Anmeldedaten eines autorisierten Benutzers.

    Im folgenden Dialog trägt man die erforderlichen Informationen ein, also den Namen der Domäne sowie die Anmeldedaten eines berechtigten Benutzers. Die Angabe einer Organisationseinheit ist optional. Zum Abschluss startet man das Virtual Server Appliance neu.

    Active Directory als Identitätsquelle

    Nun kann man daran gehen, das Active Directory als Identitätsquelle einzubinden, um dessen Benutzer für bestimmte Aufgaben zu berechtigen. Dies funktioniert in vCenter für Windows auf die gleiche Weise. Dafür wechselt man in der linken Navigationsleiste des Web Client zu Verwaltung => Single Sign On => Konfiguration und öffnet die Registerkarte Identitätsquellen.

    Das AD kann erst nach dem Domain Join als Identitätsquelle hinzugefügt, die LDAP-Anbindung klappt auch so.

    Dort klickt man auf das grüne Plus-Icon, um das AD als eine neue Quelle hinzuzufügen. Im folgenden Dialog wählt man die Option Active Directory (Integrierte Windows-Authentifizierung). Alternativ kann man das AD immer noch per LDAP anbinden. Diese Variante kommt primär dann in Frage, wenn der vCenter-Server nicht Mitglied in einer Domäne ist.

    Schließlich kann man die AD-Domäne noch als Standard festlegen, so dass ihre Mitglieder bei der Anmeldung nur den Benutzernamen ohne Domäne eingeben müssen.

    Keine Kommentare