Configurar origens de identidade do vCenter para usar o Active Directory

O vCenter do VMware é compatível com diferentes origens de identidade para autenticação de usuários que acessam o vCenter. O vCenter da nuvem particular pode ser configurado para fazer a autenticação com o Active Directory para permitir que os administradores do VMware acessem o vCenter. Quando a configuração for concluída, o usuário CloudOwner poderá adicionar usuários da origem de identidade ao vCenter.

É possível configurar o domínio do Active Directory e os controladores de domínio de uma das seguintes maneiras:

  • Domínio do Active Directory e controladores de domínio em execução no local
  • Novos controladores de domínio e domínio do Active Directory em execução na nuvem particular

Antes de adicionar uma origem de identidade, eleve temporariamente seus privilégios do vCenter.

Opções de origem de identidade

Adicionar o Active Directory local como uma origem de identidade de logon único

Para configurar o Active Directory local como uma origem de identidade de logon único (SSO), você precisa de:

  • Uma conexão VPN site a site do data center local à nuvem particular.
  • um IP de servidor DNS local adicionado ao vCenter e ao controlador de serviços de plataforma (PSC, na sigla em inglês);

A tabela a seguir lista as informações necessárias ao configurar o domínio do Active Directory local como uma origem de identidade de SSO no vCenter.

Opção Descrição
Nome O nome da origem de identidade.
DN de base para usuários O nome distinto de base para os usuários.
Nome de domínio O FDQN do domínio (por exemplo, example.com). Não forneça um endereço IP neste campo.
Alias de domínio O nome NetBIOS do domínio. Se você estiver usando a autenticação SSPI, adicione o nome NetBIOS do domínio do Active Directory como um alias da origem de identidade.
DN de base para grupos O nome distinto de base para grupos.
URL do servidor primário O servidor LDAP do controlador de domínio principal do domínio.

Use o formato ldap://hostname:port ou ldaps://hostname:port. A porta costuma ser 389 para conexões LDAP e 636 para conexões LDAPS. Para implantações de controlador de vários domínios do Active Directory, a porta geralmente é 3268 para LDAP e 3269 para LDAPS.

É necessário ter um certificado que estabeleça a confiança para o endpoint LDAPS do servidor do Active Directory quando você usa ldaps:// no URL LDAP principal ou secundário.
URL do servidor secundário O endereço de um servidor LDAP secundário do controlador de domínio usado para failover.
Escolher certificado Para usar LDAPS com o servidor LDAP do Active Directory ou a origem de identidade do servidor OpenLDAP, clique no botão Escolher certificado que aparece depois que você digita ldaps:// na caixa de texto do URL. Não é necessário um URL de servidor secundário.
Nome de usuário O ID de um usuário no domínio que tem no mínimo acesso somente leitura ao DN de base para usuários e grupos.
Senha A senha do usuário especificado por Nome de usuário.

Para mais informações sobre as fontes de identidade de SSO, consulte a documentação do VMware.

Configurar um novo Active Directory em uma nuvem privada

Configure um novo domínio do Active Directory na nuvem privada e use-o como uma origem de identidade para SSO. O domínio do Active Directory pode fazer parte de uma floresta do Active Directory atual ou pode ser configurado como uma floresta independente.

Nova floresta e domínio do Active Directory

Para configurar uma nova floresta e um novo domínio do Active Directory, você precisa de:

  • Uma ou mais VMs executando o Microsoft Windows Server para usar como controladores de domínio para a nova floresta e domínio do Active Directory.
  • Uma ou mais VMs executando o serviço DNS para resolução de nomes.

Para as etapas detalhadas, consulte Instalar uma nova floresta do Active Directory do Windows Server 2012.

Para alta disponibilidade de serviços, o Google recomenda configurar vários controladores de domínio e servidores DNS.

Depois de configurar a floresta e o domínio do Active Directory, adicione uma origem de identidade no vCenter do novo Active Directory.

Novo domínio do Active Directory em uma floresta atual do Active Directory

Para configurar um novo domínio do Active Directory em uma floresta atual do Active Directory, você precisa de:

  • Uma conexão VPN site a site para seu local de floresta do Active Directory.
  • Um servidor DNS para resolver o nome da floresta atual do Active Directory.

Para mais informações, consulte Como instalar um novo domínio filho ou Active Directory do Windows Server 2012.

Depois de configurar o domínio do Active Directory, adicione uma origem de identidade no vCenter para seu novo Active Directory.

Adicionar uma origem de identidade no vCenter

  1. Elevar privilégios na nuvem particular.
  2. Faça login no vCenter da sua nuvem particular.
  3. Selecione Página inicial > Administração.
  4. Selecione Logon único >Configuração.
  5. Abra a guia Origens de identidade e clique em +Adicionar para adicionar uma nova origem de identidade.
  6. Selecione Active Directory como LDAP e clique em Avançar.
  7. Especifique os parâmetros de origem de identidade para seu ambiente e clique em Avançar.
  8. Revise as configurações e clique em Concluir.

A seguir