Tierney - stock.adobe.com
So steuern Sie vCenter-Zugriffsrechte über Active Directory
In diesem Artikel erfahren Sie, wie Sie Active Directory mit vCenter Server verknüpfen, um darüber der Zugriff auf VMs, Speicher- und Rechenressourcen in vSphere zu steuern.
Authentifizierungsfunktionen lassen sich in VMware vCenter Server über die interne Anwenderdatenbank umsetzen; für größere VMware-Implementierungen ist jedoch die Verknüpfung mit Active Directory eine attraktive Option, um Zugriffsrechte zentral zu verwalten.
VMware vCenter Server 7 ist die neueste Version von VMwares Managementsoftware für vSphere und ESXi. Mit vCenter Server können Sie mehrere Remote-Rechenzentren von einem einzigen Standort aus verwalten.
Anwender, Gruppen und Rollen werden bei der Erstinstallation von vCenter Server vorkonfiguriert. Alternativ können Sie Microsoft Active Directory (AD) als Identitätsquelle für Authentifizierungszwecke verwenden. Mit der Active-Directory-Integration verwaltet vCenter Server den Zugriff auf Virtuelle Maschinen, Speicher und Rechenleistung in vSphere basierend auf der AD-Benutzer- und Gruppenstruktur. Die Anmeldeinformationen von Active Directory ersetzen die nativen Zugangsdaten von vCenter.
Für eine Anbindung von vCenter Server an Active Directory müssen Sie einige Konfigurationsschritte durchführen. Sie konfigurieren AD als Identity Provider (Identitätsquelle) und weisen dann Anwendern Rechte für bestimmte Anwendungen zu.
Konfigurieren von vCenter Server mit AD
Die Konfiguration von vCenter Server für die Zusammenarbeit mit Active Directory erfordert einen DNS-Server im LAN sowie ein aktiviertes AD. Sie müssen vCenter Server installieren und sich mit SSO-Administratorrechten (Single Sign-On) anmelden. Das ist das Konto, das bei der Erstinstallation von vCenter Server verwendet wird.
Sie können vSphere danach mit einem Domänenkonto aus AD verwenden. Das ist praktisch, da Sie dadurch die Verbindungs-URL zu vCenter Server für Ihre Mitarbeiter im Unternehmen freigeben können, damit diese sich statt mit ihrem vSphere-Konto direkt mit ihrer Windows-Sitzungsauthentifizierung anmelden können.
Schritt-für-Schritt-Tutorial
Sobald Sie sich über ein SSO-Administratorkonto bei vCenter Server angemeldet haben, navigieren Sie zu Home > Administration > Single Sign-On > Configuration > Identity Provider. Klicken Sie auf den Link Join AD und folgen Sie dem Assistenten.
Starten Sie die vCenter Server Appliance neu, damit alle Änderungen wirksam werden. Navigieren Sie nach dem Neustart zurück und klicken Sie auf Identity Provider. Fügen Sie hier die Domäne hinzu, die Sie im vorherigen Schritt konfiguriert haben.
Weisen Sie dann den Konten Berechtigungen zu, damit sie Infrastruktur verwalten oder auf sie zugreifen können. Navigieren Sie in vCenter Server zur Registerkarte Datacenter und klicken Sie auf die Registerkarte Permissions, um autorisierte Benutzer und Konten aus AD hinzuzufügen. Wählen Sie sorgfältig aus, welche Benutzer auf welche Teile des Systems zugreifen können und welche Berechtigungen sie haben werden.
Melden Sie sich nun auf einem Windows-Computer an, der mit der Microsoft-Domäne verbunden ist, in der Sie eine Sitzung als Administrator eröffnet haben.
Sie erkennen, ob Sie sich erfolgreich als AD-Administrator angemeldet haben, indem Sie die obere rechte Ecke Ihrer vSphere-Client-Oberfläche überprüfen.
Der Anmeldevorgang funktioniert sowohl für Benutzer als auch für den Administratorzugriff. Fügen Sie beliebige Benutzer oder Gruppen aus AD hinzu und geben Sie ihnen über den vSphere-Web-Client Zugriff auf VMs. Sobald die Anbindung von AD an vCenter Server konfiguriert ist, müssen Anwender und Gruppen keine zusätzliche Software installieren oder sich andere Passwörter merken, um mit VMs zu arbeiten.
Zugriffskontrolle
Möglicherweise möchten Sie den Zugriff von Anwendern auf nur einen kleinen Teil der virtuellen Infrastruktur einschränken oder gewähren. Wählen Sie dazu den Ordner aus, in dem sich die VMs befinden, und erlauben Sie den betreffenden Anwendern nur auf diesen speziellen Ordner zuzugreifen. In vCenter gibt es vordefinierte Rollen, aus denen Sie wählen können.
Möglicherweise wird eine Meldung angezeigt, die besagt, dass Sie nicht genügend Rechte haben, um bestimmte Teile der virtuellen Infrastruktur einzusehen oder zu ändern. Das passiert, wenn der Benutzer weitreichendere Rechte für den Zugriff auf ein Konto benötigt. Melden Sie sich erneut mit einem anderen Konto an, das über die entsprechenden Berechtigungen verfügt, um Änderungen an der virtuellen Infrastruktur vorzunehmen.