VMware vSphere & Active Directory

Hallo Jungs,

kennt Ihr das auch – man muss sich tausend Login merken und die gesamte Software-Platte speichert massenhaft Kennwörter für die kleinsten Aufgaben?

Aber das muss nicht sein – denn jetzt gibt es…ok lassen wir das.

Wie verbindet man die ESX/ESXi-Server mit Active Directory?

Wie immer ganz einfach, ist ja nicht so als hätte uns die Linux-Seite nichts anzubieten.

Gerade bei VMware könnte es ja sehr angenehm sein Personen den Zugriff für bestimmte Daten des vCenter’s näher zu bringen oder sich sein Admin-Konto direkt auf den ESX/ESXi-Server einloggen zu lassen.

Zum Thema Sicherheit sei gesagt:

Ja, die ESX/ESXi-Server werden Teilnehmer der Domäne.

Ja, man kann Berechtigungen für den Zugriff auf die ESX/ESXi-Server über das vCenter bereitstellen.

Und ja genau, dass heißt nicht, dass die Benutzer dann auch direkt auf den ESX/ESXi-Server zugreifen können.

(sondern nur auf die Instanz des vCenters)

Für alle faulen Menschen oder die Thematik: Backup Admin könnte es aber trotzdem interessant werden Berechtigungen direkt auf die ESX/ESXi-Server zu geben.

Hier mal in Bildern:

Abbildung 1: Gehe im vCenter auf den entsprechenden ESX/ESXi-Server und wähle: „Konfiguration/ Authentifizierungsdienste“.

Nach einem Aufruf der Eigenschaften landet man bei Abbildung 2.

Abbildung 2: Wie hätten Sie es gerne?

Mit oder ohne Active Directory – heute mal mit.

Die Domäne eingeben und ggf. vorher sichergehen, dass der DNS-Server des ESX/ESXi auch die Microsoft-DNS-Daten parat hat.

Hinweis:

Der Login der bei „Domäne beitreten“ abgefragt wird darf keine Domäne enthalten.

Benutzer: Administrator

Passwort: <Kennwort>

Nun die Aufgabenliste abwarten und schon sollte der ESX/ESXi-Server im Active Directory integriert sein.

Für Leute die lieber noch mal sichergehen wohin sich der ESX/ESXi verirrt haben könnte empfehle ich einen Blick unter:

Abbildung 3: AD/Domäne/Computers

Unglaublich, da ist ja ein neuer Server.

Vergeben von Berechtigungen per vClient

Nun kommt der Abschluss, wo stelle ich im vCenter die Berechtigungen und auf den ESX/ESXi-Servern die Berechtigungen ein?

Abbildung 4: hier im vCenter
Nun das Objekt auswählen (Server/VM etc.) und unter dem Reiter „Berechtigungen“ neue gewähren.
Neben der Wahl der Berechtigung per DropDown siehe Abbildung 5 für das Durchsuchen des AD.

Abbildung 5: die Auswahl der Benutzer und Gruppen

In diesem Beispiel wird den Domänen-Admins (die bereits durch die lokale Gruppe „Administratoren“ im vCenter vertreten sind später die Berechtigung „Vollzugriff“ hinzugefügt.

Abbildung 6: Berechtigungen direkt auf dem ESX/ESXi-Server

Falls ein direkter Domänen-Konten-Zugriff auf den Server eingerichtet werden soll (direkt auf den Server nicht auf das Objekt im vCenter),
verbindet man sich auf den ESX/ESXi-Server und geht dort unter Berechtigungen.
Gleicher Dialog aber anderes Ergebnis.

Zum Test des direkten Zugriffs, einfach den vClient benutzen und am besten das Übertragen der Anmeldung der Windows-Sitzung verwenden.

Das war die kleine Einrichtung.

Wie gesagt, was könnte man damit erreichen, dass ein lokales Domänen-Konto eingerichtet wird?
Man könnte per Domänen-Konto die lokalen Dienste des ESX-Servers abfragen die nicht über das vCenter bereitgestellt werden. (die von Drittherstellern)

Die Berechtigungen im vCenter wären schon ausreichend für das Backup und sollten ehr zum Delegieren von Zugriffen auf der Virtualisierungsplattform verwendet werden.