Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Acerca de los orígenes de identidad de VMware vCenter
VMware vCenter admite diferentes orígenes de identidad para la autenticación de usuarios que acceden a vCenter. La instancia de CloudSimple Private Cloud vCenter se puede configurar para autenticarse con Active Directory para que los administradores de VMware accedan a vCenter. Una vez completada la instalación, el usuario de cloudowner puede agregar usuarios desde el origen de identidad a vCenter.
Puede configurar el dominio de Active Directory y los controladores de dominio de cualquiera de las maneras siguientes:
- Dominio y controladores de dominio de Active Directory que se ejecutan en el entorno local
- Dominio y controladores de dominio de Active Directory que se ejecutan en Azure como máquinas virtuales en la suscripción de Azure
- Nuevo dominio y controladores de dominio de Active Directory que se ejecutan en la nube privada
- Servicio Azure Active Directory
En esta guía se explican las tareas para configurar el dominio y los controladores de dominio de Active Directory que se ejecutan en las instalaciones o como máquinas virtuales en las suscripciones. Si desea usar Azure AD como origen de identidad, consulte Uso de Azure AD como proveedor de identidades para vCenter en cloudSimple Private Cloud para obtener instrucciones detalladas sobre cómo configurar el origen de identidad.
Antes de agregar una fuente de identidad, eleva temporalmente los privilegios de vCenter.
Precaución
Los nuevos usuarios solo deben agregarse a Cloud-Owner-Group, Cloud-Global-Cluster-Admin-Group, Cloud-Global-Storage-Admin-Group, Cloud-Global-Network-Admin-Group o Cloud-Global-VM-Admin-Group. Los usuarios agregados al grupo de administradores se eliminarán automáticamente. Solo se deben agregar cuentas de servicio al grupo de Administradores, y las cuentas de servicio no deben usarse para iniciar sesión en la interfaz de usuario web de vSphere.
Opciones de origen de identidad
- Agregar Active Directory local como origen de identidad de inicio de sesión único (SSO)
- Configura un Nuevo Active Directory en una nube privada
- Configuración de Active Directory en Azure
Importante
No se admite Active Directory (autenticación integrada de Windows). Solo se admite la opción Active Directory a través de LDAP como origen de identidad.
Añadir Active Directory local en las instalaciones como único origen de identidad de Sign-On
Para configurar Active Directory local como origen de identidad de Sign-On único, necesita lo siguiente:
- conexión VPN de sitio a sitio desde el centro de datos local a la nube privada.
- Ip del servidor DNS local agregada a vCenter y Platform Services Controller (PSC).
Use la información de la tabla siguiente al configurar el dominio de Active Directory.
| Opción | Descripción |
|---|---|
| Nombre | Nombre de la fuente de identidad. |
| DN de base para usuarios | Nombre distintivo base para los usuarios. |
| Nombre de dominio | FQDN del dominio, por ejemplo, example.com. No proporcione una dirección IP en este cuadro de texto. |
| Alias de dominio de | Nombre NetBIOS del dominio. Agregue el nombre NetBIOS del dominio de Active Directory como alias del origen de identidad si usa autenticaciones SSPI. |
| DN base para grupos | Nombre base distintivo para los grupos. |
| dirección URL del servidor principal | Servidor LDAP del controlador de dominio principal para el dominio. Use el formato ldap://hostname:port o ldaps://hostname:port. El puerto suele ser 389 para las conexiones LDAP y 636 para las conexiones LDAPS. Para las implementaciones de controladores de varios dominios de Active Directory, el puerto suele ser 3268 para LDAP y 3269 para LDAPS.Se requiere un certificado que establezca confianza para el punto de conexión LDAPS del servidor de Active Directory cuando se usa ldaps:// en la dirección URL LDAP principal o secundaria. |
| dirección URL del servidor secundario | Dirección de un servidor LDAP del controlador de dominio secundario que se utiliza para la conmutación por error. |
| Elegir certificado | Si desea usar LDAPS con el servidor LDAP de Active Directory o el origen de identidad del servidor OpenLDAP, aparece un botón Elegir certificado después de escribir ldaps:// en el cuadro de texto URL. No se requiere una dirección URL secundaria. |
| Nombre de usuario | Identificador de un usuario del dominio que tiene acceso de solo lectura mínimo al DN base para usuarios y grupos. |
| Contraseña | Contraseña del usuario especificado por Nombre de usuario. |
Cuando tenga la información en la tabla anterior, puede agregar su Active Directory local como único origen de identidad Sign-On en vCenter.
Sugerencia
Encontrará más información sobre el único origen de identidad Sign-On en la página de documentación de VMware.
Configuración de una nueva instancia de Active Directory en una nube privada
Puede configurar un nuevo dominio de Active Directory en la nube privada y usarlo como origen de identidad para el inicio de sesión único. El dominio de Active Directory puede formar parte de un bosque de Active Directory existente o puede configurarse como un bosque independiente.
Bosque y dominio nuevo de Active Directory
Para configurar un nuevo bosque y dominio de Active Directory, necesita:
- Una o varias máquinas virtuales que ejecutan Microsoft Windows Server para usarlas como controladores de dominio para el nuevo bosque y dominio de Active Directory.
- Una o varias máquinas virtuales que ejecutan el servicio DNS para la resolución de nombres.
Consulte Instalar un nuevo bosque de Active Directory de Windows Server 2012 para ver los pasos detallados.
Sugerencia
Para lograr una alta disponibilidad de los servicios, se recomienda configurar varios controladores de dominio y servidores DNS.
Después de configurar el bosque y el dominio de Active Directory, puede agregar un origen de identidad en vCenter para la nueva instancia de Active Directory.
Nuevo dominio de Active Directory en un bosque de Active Directory existente
Para configurar un nuevo dominio de Active Directory en un bosque de Active Directory existente, necesita:
- Conexión VPN de sitio a sitio a la ubicación del Active Directory forest.
- Servidor DNS para resolver el nombre de su bosque de Active Directory existente.
Consulte Instalación de un nuevo dominio secundario o de árbol de Windows Server 2012 Active Directory para ver los pasos detallados.
Después de configurar el dominio de Active Directory, puede agregar un origen de identidad en vCenter para su nuevo Active Directory.
Configuración de Active Directory en Azure
Active Directory que se ejecuta en Azure es similar a Active Directory que se ejecuta en el entorno local. Para configurar Active Directory que se ejecuta en Azure como un origen de identidad de Sign-On único en vCenter, el servidor vCenter y PSC deben tener conectividad de red con La red virtual de Azure donde se ejecutan los servicios de Active Directory. Puede establecer esta conectividad mediante conexión de Azure Virtual Network mediante ExpressRoute desde la red virtual de Azure donde se ejecutan los servicios de Active Directory en la nube privada de CloudSimple.
Una vez establecida la conexión de red, siga los pasos indicados en Agregar Active Directory local como origen de identidad único Sign-On para añadirlo como origen de identidad.
Adición de un origen de identidad en vCenter
Escalar privilegios en la nube privada.
Inicie sesión en vCenter para la nube privada.
Seleccione Inicio > Administración.
Seleccione inicio de sesión único > configuración.
Abra la pestaña Fuentes de Identidad y haga clic en + para agregar una nueva fuente de identidad.
Seleccione Active Directory como servidor LDAP y haga clic en Siguiente.
Especifique los parámetros de origen de identidad del entorno y haga clic en Siguiente.
Revise la configuración y haga clic en Finalizar.