Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Sobre fontes de identidade do VMware vCenter
O VMware vCenter dá suporte a diferentes fontes de identidade para autenticação de usuários que acessam o vCenter. O vCenter de Nuvem Privada do CloudSimple pode ser configurado para autenticar com o Active Directory para que os administradores do VMware acessem o vCenter. Quando a instalação for concluída, o usuário cloudowner poderá adicionar usuários da fonte de identidade ao vCenter.
Você pode configurar seus controladores de domínio e domínio do Active Directory de qualquer uma das seguintes maneiras:
- Controladores de domínio e domínio do Active Directory operando no local
- Em sua assinatura do Azure, controladores de domínio e o domínio do Active Directory estão em execução como máquinas virtuais no Azure.
- Novos controladores de domínio e domínio do Active Directory em execução na sua nuvem privada
- Serviço do Azure Active Directory
Este guia explica as tarefas para configurar domínios e controladores de domínio do Active Directory em execução localmente ou como máquinas virtuais nas suas assinaturas. Se você quiser usar o Azure AD como fonte de identidade, consulte Usar o Azure AD como um provedor de identidade para o vCenter no CloudSimple Private Cloud para obter instruções detalhadas sobre como configurar a fonte de identidade.
Antes de adicionar uma fonte de identidade, escalone temporariamente seus privilégios do vCenter.
Cuidado
Novos usuários devem ser adicionados somente a Cloud-Owner-Group, Cloud-Global-Cluster-Admin-Group, Cloud-Global-Storage-Admin-Group, Cloud-Global-Network-Admin-Group ou Cloud-Global-VM-Admin-Group. Os usuários adicionados ao grupo Administradores serão removidos automaticamente. Somente contas de serviço devem ser adicionadas ao grupo administradores e as contas de serviço não devem ser usadas para entrar na interface do usuário da Web do vSphere.
Opções de origem de identidade
- Adicionar o Active Directory local como uma fonte de identidade de logon único
- Configurar o Novo Active Directory em uma nuvem privada
- Configurar o Active Directory no Azure
Importante
Não há suporte para o Active Directory (Autenticação Integrada do Windows). Somente a opção Active Directory por LDAP tem suporte como uma fonte de identidade.
Adicionar o Active Directory local como uma fonte de identidade para Logon Único
Para configurar o Active Directory local como uma única fonte de identidade Sign-On, você precisa:
- Conexão VPN site a site do datacenter local para a nuvem privada.
- IP do servidor DNS local adicionado ao vCenter e ao PSC (Platform Services Controller).
Use as informações na tabela a seguir ao configurar seu domínio do Active Directory.
| Opção | Descrição |
|---|---|
| Nome | Nome da fonte de identidade. |
| DN base para usuários | Nome diferenciado de base para usuários. |
| Nome de domínio | FQDN do domínio, por exemplo, example.com. Não forneça um endereço IP nesta caixa de texto. |
| Alias de domínio | O nome NetBIOS do domínio. Adicione o nome NetBIOS do domínio do Active Directory como um alias da fonte de identidade se você estiver usando autenticações SSPI. |
| DN base para grupos | O nome diferenciado de base para os grupos. |
| URL do Servidor Primário | Servidor LDAP do controlador de domínio primário para o domínio. Use o formato ldap://hostname:port ou ldaps://hostname:port. A porta normalmente é 389 para conexões LDAP e 636 para conexões LDAPS. Para implantações de controlador de vários domínios do Active Directory, a porta normalmente é 3268 para LDAP e 3269 para LDAPS.Um certificado que estabelece confiança para o endpoint LDAPS do servidor Active Directory é necessário quando você usa ldaps:// na URL LDAP primária ou secundária. |
| URL do servidor secundário | Endereço de um servidor LDAP usado para failover do controlador de domínio secundário. |
| Escolher certificado | Se você quiser usar LDAPS com o servidor LDAP do Active Directory ou a fonte de identidade do Servidor OpenLDAP, um botão Escolher certificado será exibido depois de digitar ldaps:// na caixa de texto url. Uma URL secundária não é necessária. |
| Nome de usuário | ID de um usuário no domínio que tem acesso mínimo de leitura ao DN base para usuários e grupos. |
| Senha | Senha do usuário especificado pelo Nome de Usuário. |
Quando você tiver as informações na tabela anterior, poderá adicionar o Active Directory local como uma fonte de identidade única de Sign-On no vCenter.
Dica
Você encontrará mais informações sobre fontes de identidade único Sign-On na página de documentação do VMware.
Configurar o novo Active Directory em uma nuvem privada
Você pode configurar um novo domínio do Active Directory em sua nuvem privada e usá-lo como uma fonte de identidade para logon único. O domínio do Active Directory pode fazer parte de uma floresta existente do Active Directory ou pode ser configurado como uma floresta independente.
Uma nova floresta e domínio do Active Directory
Para configurar uma nova floresta e domínio do Active Directory, você precisa:
- Uma ou mais máquinas virtuais que executam o Microsoft Windows Server para usar como controladores de domínio para a nova floresta e domínio do Active Directory.
- Uma ou mais máquinas virtuais executando o serviço DNS para resolução de nomes.
Consulte Instalar uma Nova Floresta do Active Directory do Windows Server 2012 para obter etapas detalhadas.
Dica
Para alta disponibilidade de serviços, recomendamos configurar vários controladores de domínio e servidores DNS.
Depois de configurar a floresta e o domínio do Active Directory, você pode adicionar uma fonte de identidade no vCenter para o novo Active Directory.
Novo domínio do Active Directory em uma floresta existente do Active Directory
Para configurar um novo domínio do Active Directory em uma floresta existente do Active Directory, você precisa:
- Conexão VPN site a site com o local da floresta do Active Directory.
- Servidor DNS para resolver o nome da floresta do Active Directory já existente.
Consulte Instalar um novo domínio filho ou de árvore do Windows Server 2012 Active Directory para obter etapas detalhadas.
Depois de configurar o domínio do Active Directory, você pode adicionar uma fonte de identidade no vCenter para seu novo Active Directory.
Configurar o Active Directory no Azure
O Active Directory em execução no Azure é semelhante ao Active Directory em execução local. Para configurar o Active Directory em execução no Azure como uma fonte de identidade de Sign-On único no vCenter, o servidor vCenter e o PSC devem ter conectividade de rede com a Rede Virtual do Azure em que os serviços do Active Directory estão em execução. Você pode estabelecer essa conectividade usando a Conexão de Rede Virtual do Azure usando o ExpressRoute da rede virtual do Azure em que os Serviços do Active Directory estão em execução na Nuvem Privada do CloudSimple.
Depois que a conexão de rede for estabelecida, siga os passos em Adicionar Active Directory Local como uma única fonte de identidade de Sign-On para adicioná-la como uma fonte de identidade.
Adicionar uma fonte de identidade no vCenter
Aumente privilégios em sua Nuvem Privada.
Entre no vCenter para sua nuvem privada.
Selecione Administração Inicial>.
Selecione Configuração de Single Sign-On>.
Abra a guia Fontes de Identidade e clique + para adicionar uma nova fonte de identidade.
Selecione o Active Directory como um servidor LDAP e clique em Avançar.
Especifique os parâmetros de origem de identidade para seu ambiente e clique em Avançar.
Examine as configurações e clique em Concluir.