Cách cấu hình đăng nhập 1 lần sso giữa ad server với v center 6

1. Cách cấu hình đăng nhập 1 lần SSO giữa AD Server với
vCenter 6.0 (Platform Service Controller– PSC)
Platform Service Controller– PSC là một thành phần dịch vụ mới trên vCenter 6.0 PSC
có chứa tất cả các dịch vụ mà vCenter cần cho các chức năng của nó bao gồm Single
Sign-On (SSO). Tôi xin mô tả làm thế nào để cấu hình xác thực AD trong vCenter Server
6.0.
Một số yêu cầu trước khi cấu hình SSO:
1. Chỉ dùng Web Sphere client để cấu hình SSO cho vCenter Server Appliance
2. Phải cấu hình NTP time để đồng bộ giữa ESXi Host 6 với NTP server local hoặc NTP
Global thông qua internet.
3. Phải cấu hình các bản ghi A (host), PTR IP cho máy chủ vCenter 6.0 trên máy chủ AD
– DNS Server trước khi cài vCenter Server Appliance 6 và tất nhiên là trước khi cấu hình
SSO trên Web sphere client.
4. Lưu ý: vCenter Server Appliance 6.0 bắt buộc phải được cài và cấu hình trên ESXi
host x64bit hoặc ESXi Host Nested x64 bit.
5. (Tùy chọn) cấu hình Join domain giữa ESXi Host 6 với AD Server thông qua
Windows Authenticate (mục đích chính: kiểm tra khả năng cấu hình chính xác về mạng
ảo lớp Management Nework layer).
Tham khảo link:
Phần 4: Triển khai đăng nhập 1 lần SSO giữa AD và VMware vCenter Appliance 5.5
Phần 5: Triển khai đăng nhập 1 lần SSO giữa AD-DS và VMware vCenter Appliance 5.5
Một số lưu ý tránh nhầm lẫn:
1. Hệ thống vCenter 5.x hoặc 6.x đều có 3 nhóm Domain quản lý các users với quyền và
chức năng khác nhau:
1.1. Nhóm 1: localos (đây là nhóm users dùng quản lýHĐH của VMware, ngầm
định có user: root)
– có chức năng chính dùng làm triển khai các tính năng cơ bản của ESXi hoặc vCenter,
console, management network, bật /tắt ESXi Shell, SSH hoặc SSH Bash
– không có quyền cấu hình SSO vcenter.

2. 1.2.Nhóm 2: vCenter Single Sign-On users(đây là nhóm được tạo ra trong quá trình
cài vCenter)
– có chức năng Administrators, quản trị tất cả nguồn tài nguyên và cấu hình vCenter
SSO.
– vCenter 5.x nhóm 2 có domain name luôn là vsphere.local.
– vCenter 6.x nhóm 2 có domain name gợi ý là vsphere.local, các bạn có thể thay nó
thành các tên miền của Doanh nghiệp, tổ chức, phòng ban, homelab (lưu ý: nó sẽ dùng
làm từ ghép trong account để đăng nhập Web sphere client, ví
dụ: administrator@sso.vcenter)
– vCenter 6.x có thêm site name: bạn có thể nhập tên đơn vị hoặc vị trí địa lý đang
hosting/vận hành hệ thống vcenter để phân biệt khi Doanh nghiệp của bạn có nhiều hệ
thống vcenter khác nhau.
1.3.Nhóm 3: Users Authentication (đây là nhóm được tạo ra khi cấu hình join
domain giữa vCenter với AD hoặc cấu hình kết nối LDAP/OpenLDAP với vCenter)
– có 3 phương pháp kết nối:
1.3.1. Active Directory(Integrated Windows Authentication):
– Phương án này áp dụng từ AD server phiên bản Windows 2003 trở lên (chỉ áp dụng với
hệ thống quản lý người dùng bằng WIndows Server có AD, DC).
1.3.2. Active Directoryas an LDAP Server:
– Phương án này áp dụng cho AD server có mở dịch vụ, cổng LDAP TCP/IP 389 trên
firewall.
1.3.3. OpenLDAP:
– Phương án này áp dụng cho các hệ thống có mở dịch vụ kết nối người dùng dạng open
source, google, facebook…

3. Các bước cấu hình SSO:
Bước 1. Mở Web Sphere client https://ip-vcenter :
Đăng nhập bằng Account: administrator@vsphere.local
Bước 2. Chọn menu Administration:

4. Chọn mục Configuration:
Bước 3. Mở tab Identity Sources:

5. Bấm vào dấu cộng màu xanh để khai báo kết nối hệ thống quản lý người dùng (LDAP)
Bước 4. chọn nguồn xác thực kiểu tíchhợp Windows Authentication
Trường hợp đã join domain giữa máy chủ vCenter và AD chúng ta có thể nhận được tên
domain name của AD server.
Trường hợp chưa join domain giữa máy chủ vCenter và AD chúng ta sẽ nhận cảnh báo
lỗi:

6. Hãy bấm “Go to Active Directory Management”
Sau khi join domain thành công, bạn sẽ cần phải khởi động lại node > vCenter

7. Chọn System Configuration
Chọn Nodes> bấm chuột trái chọn tiếp tên máy chủ vCenter

8. Bấm mũi tên trỏ xuống ở mục Actions > Chọn menu bar” Reboot…
Chúng ta sẽ đợi trong vòng 5 – 10 phút cho tới khi vCenter khởi động trở lại. Ta tiếp tục
quay lại bước 4 để cấu hình kết nối xác thực giữa vCenter và AD.
Bước 5. Quay lại phần Identity Sources bạn sẽ cần tạo thông tin liên quan tới cách kết
nối giữa vCenter với AD để lấy được các users và groups từ active directory. Khi bạn kết
nối kiểu Integrated Windows Authentication, thì các trusted domains phải có giá trị hoạt
động.
Bước 6. Chọn Active Directoryvà bấm vào “worldwitharrow” để chuyển trạng thái
đăng nhập ngầm định là các tài khoản từ AD domain.
Bạn sẽ nhận được một cảnh báo cho bạn biết rằng “Điều này sẽ làm thay đổi tên miền
mặc định hiện tại của bạn. Bạn có muốn tiếp tục? “. Điều này là không sao, vì bạn chỉ có
thể có một tên miền mặc định.
Bước 7.Thêm user và phân quyền:

9. Để thay đổi cấu hình vCenter Server SSO với người dùng khác ngoài
administrator@vsphere.local, bạn phải thêm chúng vào Nhóm LocalOS
hoặc vSphere.local hoặc Nhóm thuộc Domain do bạn vừa cấu hình
Bước 8. Thêm các tài khoản lấy từ AD sang để phân quyền theo users/ group:

10. Cơ chế phân quyền:
Bước 1. Tạo User/ Group làm thành viên trong Nhóm 2: vCenter Single Sign-On
users(đây lànhóm được tạo ra trong quá trình cài vCenter)
Bước 2. Tạo/sửa/clone quyền “Roles”
Bước 3. Điều chỉnh các hành động “privileges” trong quyền “Roles”
Bước 4. Xác định các Objects sẽ được gán quyền.

11. Chúc các bạn thành công !