VMware vCenter 5.5 in Active Directory integrieren

    VMware vCenterVMware vCenter verfügt zwar über eine eigene Benutzerverwaltung, aber wenn man alle User zentral im AD administriert, dann möchte man diese Konten auch für das Rechte-Management in vSphere verwenden. Zu diesem Zweck muss man das AD als weitere Identitätsquelle über das SSO-Modul einbinden.

    Eine der Neuerungen von vSphere 5.5 bestand in einer grundlegend überarbeiteten Version von SSO. Ein sichtbares Ergebnis davon ist die deutlich vereinfachte Anbindung an das AD, das sich nicht mehr bloß über LDAP ansprechen lässt, sondern nun über die Integrierte Windows-Authentifizierung. Diese lässt sich im einfachsten Fall ohne Eingabe eines Service Principal Name (SPN) konfigurieren, wenn vCenter das Maschinenkonto verwendet.

    Voraussetzungen für AD-Integration

    Bevor man mit der Anbindung von vCenter an das Active Directory beginnt, sollte man ein paar Voraussetzungen prüfen. So muss für vCenter ein DNS-Server konfiguriert sein, der über einen SVR-Eintrag den Weg zum Domain Controller weist. Bei einer vCenter-Installation unter Windows dürfe dies in der Regel ohnehin der Fall sein. Beim vCenter Server Appliance (vCSA) 5.5, das unter Linux läuft, muss man in der Verwaltungskonsole unter Network => Address für die passenden Einstellungen sorgen.

    Das vCSA sollte Mitglied der AD-Domäne sein, wenn man das Maschinenkonto für die SSO-Konfiguration verwenden möchte.

    Darüber hinaus sollte der vCenter-Server Mitglied in einer AD-Domäne sein, wenn man das Maschinenkonto zur Anmeldung am AD verwenden will. Zum Domänenbeitritt ist auch das vCSA in der Lage, die entsprechende Option findet sich unter vCenter Server => Authentication.

    AD als Identitätsquelle hinzufügen

    Nun fügt man im nächsten Schritt das AD als eine weitere Identitätsquelle zu vCenter SSO hinzu. Dazu meldet man sich als administrator@vsphere.local am vSphere Web Client an (in der Version 5.1 hieß das Konto noch admin@vsphere.local). Bei vCenter unter Windows hat man das Passwort bei der Installation von SSO festgelegt, beim vCSA lautet es per Voreinstellung auf "vmware".

    Die in vCenter 5.5 neu hinzugekommene Option 'Integrierte Windows-Authentifizierung' vereinfacht die AD-Anbindung erheblich.

    Anschließend wechselt man in der linken Navigationsleiste des Web Clients zu Verwaltung => Single Sign On => Konfiguration und öffnet die Registerkarte Identitätsquellen. Dort klickt man auf das grüne Plus-Icon, um das AD als eine neue Quelle hinzuzufügen. Im folgenden Dialog wird man die in vCenter 5.5 eingeführte Option Active Directory (Integrierte Windows-Authentifizierung) wählen, auch wenn die Anbindung per LDAP immer noch möglich ist.

    Normalerweise übernimmt der vSphere Web Client automatisch den Namen der AD-Domäne in das entsprechende Feld. Daher bleibt nur mehr die Entscheidung, ob man das Maschinenkonto oder stattdessen lieber einen Service Principal Name verwenden will. Zieht man Letzteren vor, dann beschreibt dieser Eintrag in der Knowledge Base von VMware, wie dabei vorzugehen ist. Nach dem Abschluss dieses Vorgangs muss der vCenter-Server neu gestartet werden.

    Rechte für vCenter an AD-Konten vergeben

    Der letzte Schritt besteht darin, den Domänenbenutzern Rechte zu erteilen. Zu diesem Zweck wird man schon vorher Administrations­gruppen für vSphere im AD anlegen, so dass man für das Rechte-Management nicht mit einzelnen Konten hantieren muss.

    Nach der Anbindung an das AD kann man von dort Benutzer und Gruppen übernehmen und ihnen Rechte zuweisen.

    Auch für diese Aufgabe meldet man sich als administrator@vsphere.local an und wählt aus der Bestandsliste den vCenter-Server aus, für den AD-Konten Rechte erhalten sollen. Unter Verwalten => Berechtigungen klickt man erneut auf das grüne Plus-Zeichen und im folgenden Dialog unterhalb von Benutzer und Gruppen auf den Button Hinzufügen. In dem danach angezeigten Dialog sollte im Pull-Down-Menü mit der Beschriftung Domäne neben den vCenter-spezifischen Einträgen auch die Windows-Domäne zu finden sein.

    Wählt man sie aus, dann importiert vCenter die Liste der Benutzer und Gruppen, aus der man die gewünschten auswählt und zum entsprechenden Feld hinzufügt. Nach ihrer Übernahme in das Fenster für das Berechtigungs-Management teilt man ihnen eine Rolle zu und passt bei Bedarf die Privilegien an, die sie für die verschiedenen vCenter-Dienste erhalten.

    Anmeldung mit dem Windows-Konto

    Die AD-Integration bietet schließlich noch einen weiteren Vorteil. Wenn man sich mit einem AD-Konto an vCenter anmeldet, dann kann man die Option Windows-Sitzungsauthentifizierung nutzen.

    Die automatische Anmeldung mit dem aktuellen Windows-Konto setzt für den Web Client die Installation eines Plugins voraus.

    Sie übernimmt automatisch den aktuellen Windows-Benutzer in das Feld Benutzername und verzichtet auf die Abfrage des Passworts. Dieses Feature steht beim Web Client nur dann zur Verfügung, wenn man das Konsolen-Plugin für den verwendeten Browser installiert hat.

    Die Anmeldung mit einem AD-Konto an vCenter kann man zusätzlich vereinfachen, indem man die neu hinzugefügte Identitätsquelle als Standard-Domäne festlegt. Dies erfolgt im Web Client ebenfalls unter Verwaltung => Single Sign On => Konfiguration, wo man das AD auswählt und dann auf das entsprechende Icon in der Symbolleiste klickt.

    Wenn man die AD-Domäne als Standard festlegt, reicht künftig der bloße Benutzername zur Anmeldung.

    Diese Änderung bewirkt, dass man künftig bei AD-Benutzern auf die Angabe des Domänennamens verzichten kann. Anstatt beispielsweise user@meine-domain.local reicht user alleine.

    Keine Kommentare