یکپارچه سازی vSphere با اکتیو دایرکتور و فعال نمودن SSO

SSO در نسخه 6 vSphere دست خوش تغییراتی شده است، در اینجا قصد داریم به معرفی آن، تغییراتش و نحوه اتصال آن به سرور اکتیو دایرکتوری صحبت نماییم.

کتاب VMware vSphere

کتاب VMware vSphere به زبان فارسی در دست تهیه است که پس از اتمام به صورت رایگان در اختیار شما دوستان عزیز قرار خواهد گرفت. مقاله پیش رو بخشی از کتاب فوق است. لطفا پیشنهاد خود را در رابطه با این کتاب با ما در میان گذارید.

پیکربندی، مدیریت احراز هویت در اکتیو دایرکتوری (Active Directory)

پیکربندی/مدیریت احراز هویت در اکتیو دایرکتوری (Active Directory)

پیکر بندی سرویس VMware SSO یا VMware Single-Sign On تنها از طریق کنسول تحت وب در دسترس است و از طریق vSphere Client C# Sharp در دسترس نیست.

  • از صفحه Home در کنسول تحت وب روی Administration در منوی سمت چپ کلیک کنید.
  • در منوی سمت چپ در زیر مجموعه Single-Sign On گزینه Configuration را انتخاب کنید.
  • در قسمت سمت راست روی زبانه Identity Sources کلیک کنید.
  • روی بعلاوه سبز رنگ برای اضافه نمودن یک منبع احراز هویت کلیک کنید.
  • نوع منبع احراز هویت (Identity Source Type) را انتخاب کنید. (برای مثال در این عکس گزینه اکتیو دایرکتوری ویندوز را انتخاب نموده ایم)

پیکر بندی/مدیریت Platform Services Controller – PSC

قابلیت های جدیدی در نسخه 6 به PSC اضافه شده است. برخی از اجزاء آن برای کسانی که با vSphere 5.x کار کرده اند، آشناست. PSC از سرویس های زیر تشکیل شده است:

  • vCenter Single Sign-On
  • vSphere License Service
  • VMware Certificate Authority (در vSphere 6.x معرفی شده است)

نصب و راه اندازی vCenter Server با PSC از دو نوع پیاده سازی پشتیبانی می کند که توپو لوژی متفاوتی دارند.

  • vCenter Server با PSC جا سازی شده در vCenter – تمام سرویس های Platform Services Controller روی همان سرور vCenter یا ماشین مجازی آن نصب می شود.
  • vCenter Server با PSC مجزا – سرویس های Platform Services Controller و vCenter Server روی ماشین های مجازی یا سرور های جداگانه ای نصب می شوند. در این ساختار ابتدا بایستی PSC را روی یک سرور یا ماشین مجازی نصب نمود و پس از آن vCenter Server را روی سرور یا ماشین مجازی جداگانه ای نصب نمایید.

نکته: توجه داشته باشید که امکان مهاجرت بین دو ساختار وجود ندارد، بدین معنا که پس از پیاده سازی Platform Services Controller جا سازی شده امکان مهاجرت آن به PSC مجزا وجود ندارد و برعکس.

مزیت های نصب vCenter Server با PSC جا سازی شده در vCenter:

  • ارتباط بین vCenter Server و Platform Services Controller بر روی بستر شبکه نخواهد بود. به همین دلیل ارتباط vCenter Server و PSC قطع نخواهد شد و مشکلات DNS ی و شبکه نخواهد داشت.
  • اگر شما vCenter Server را بر روی ویندوز (به صورت مجازی، فیزیکی) نصب نمایید. تعداد کمتری لیسانس ویندوز نیاز خواهید داشت.
  • ماشین های مجازی یا فیزیکی کمتری را بایستی مدیریت کنید.
  • نیازی به Load Balancer برای تقسیم ترافیک بین PSC ها نیاز نخواهید داشت.

معایب نصب vCenter Server با PSC جا سازی شده در vCenter:

  • یک نسخه از Platform Service Controller با هر محصول نصب می شود که ممکن است بیشتر از نیاز های ما باشد. در این حالت منابع بیشتری استفاده خواهد شد.
  • این مدل برای سایز های کوچک مناسب است.

مزیت های نصب vCenter Server با PSC مجزا:

  • در توپو لوژی های ترکیبی و بزرگ منابع کمتری استفاده خواهد شد. و مدیریت و تعمیر و نگهداری آن راحت تر خواهد بود.
  • شبکه شما از تعداد بیشتری vCenter Server پشتیبانی خواهد نمود و مقیاس پذیر تر خواهد بود.

معایب نصب vCenter Server با PSC مجزا:

  • ارتباط بین vCenter Server و Platform Services Controller بر روی بستر شبکه خواهد بود. به همین دلیل ارتباط vCenter Server و PSC شامل مشکلات DNS ی، شبکه و زیرساخت خواهد بود.
  • اگر شما vCenter Server را بر روی ویندوز (به صورت مجازی، فیزیکی) نصب نمایید. تعداد بیشتری لیسانس ویندوز نیاز خواهید داشت.
  • ماشین های مجازی یا فیزیکی بیشتری را بایستی مدیریت کنید.

پیکر بندی/مدیریت گواهینامه در vSphere با VMCA

در vSphere نسخه 6، با معرفی VMware Certificate Authority از این پس به هر میزبان جدید ESXi توسط VMCA گواهینامه ای با دسترسی root اختصاص خواهد یافت (منظور محل ذخیره سازی گواهینامه در ریشه است). اگر شما ساختار خود را از نسخه 5.5 یا قدیمی تر به نسخه 6 ارتقا دهید گواهینامه Self-Signed شما با گواهی نامه VMCA Signed جایگزین خواهد شد. (در صورتی که از گواهی نامه های CA های دیگر استفاده کرده باشید، گواهی نامه ها به همان شکل باقی خواهند ماند.).

گواهی نامه ها در vSphere 6 سه حالت خواهند داشت:

  • VMCA – به صورت پیش فرض، VMware Certificate Authority به عنوان CA برای میزبان های ESXi در نظر گرفته خواهد شد. اما می توان آن را به عنوان یک CA root یا CA میانی تنظیم نمود. در این حالت کاربر می تواند گواهی نامه ها را از طریق کنسول تحت وب مشاهده و مدیریت کند. اگر VCMA یک زیر شاخه از CA باشد نیز کاربرد خواهد داشت.
  • Custom Certificate Authority – برخی دوست دارند از گواهینامه های شرکت های دیگر استفاده نمایند. در این حالت کاربر بایستی گواهینامه ها را خودش مدیریت کند و از طریق کنسول تحت وب vSphere قادر به مشاهده و مدیریت آنها نخواهد بود.
  • Thumbprint Mode – نسخه vSphere 5.5 از این حالت استفاده می کند. و برای سازگاری در vSphere 6.0 نیز پشتیبانی می شود. از این روش تنها زمانی استفاده کنید که مجبور هستید یا به تعبیر دیگری از دو روش دیگر نمی توانید استفاده کنید یا با آنها به مشکلی بر خورده اید که قابل رفع نمی باشد.
گواهینامه ها را از VMCA Mode به Custom یا Thumbprint تغییر دهید

اگر می خواهید حالت گواهینامه ها را از VMCA Mode به Custom یا Thumbprint تغییر دهید، مراحل زیر را انجام دهید:

  • از صفحه Home روی گزینه Hosts and Clusters کلیک کنید.
  • در منوی ناوبری سمت چپ روی vCenter Server کلیک کنید.
  • در ناوبری سمت راست روی Mange کلیک کرده و زبانه Settings را باز نمایید.
  • در قسمت Settings گزینه Advanced Settings را انتخاب کرده و روی گزینه Edit کلیک کنید.
  • در قسمت Filter تایپ کنید Certmgmt تا فقط کلید های مربوط به گواهی نامه ها را نمایش دهد.
  • گزینه vpxd.certmgmt.mode را رد لیست پیدا کنید و آن به مقدار دلخواه خود (thumbprint یا custom) تغییر دهید (همان طور که مشاهده می کنید مقدار پیش فرض vmca است).
  • پس از انجام تغییر روی OK کلیک کنید.
  • سرویس vCenter Server را مجدد راه اندازی کنید تا تغییرات به سیستم اعمال شود.
اضافه نمودن کاربر SSO

فعال/غیرفعال نمودن کاربران SSO – Single-Sign On

به خاطر داشته باشید، هر گونه تغییر یا پیکر بندی SSO – Single-Sign On بایستی از طریق کنسول تحت وب vSphere صورت پذیرد.

اضافه نمودن کاربر SSO

  • به کنسول تحت وب vSphere با کاربر مدیر متصل شوید.(مانند کاربر administrator@vSphere.local یا کاربری با دسترسی SSO Administrative).
  • از صفحه Home روی گزینه Administration کلیک کنید.
  • گزینه Single-Sign On را باز کنید و گزینه Users and Group را انتخاب کنید.
  • در منوی ناوبری سمت راست زبانه Users را انتخاب کنید.
  • برای ساخت کاربر جدید روی به علاوه سبز رنگ کلیک کنید.
  • نام کاربری و گذر واژه ای برای آن انتخاب کنید.
  • (انتخابی) نام، نام خانوادگی، آدرس ایمیل و توضیحات کاربر را وارد کنید.
  • روی OK کلیک کنید.
عضویت کاربر در گروه

برای کاربر ساخته شده نیاز است تا آن را عضو یکی از گروه های SSO نماییم.

عضویت کاربر در گروه

  • به کنسول تحت وب vSphere با کاربر مدیر متصل شوید.(مانند کاربر administrator@vSphere.local یا کاربری با دسترسی SSO Administrative).
  • از صفحه Home روی گزینه Administration کلیک کنید.
  • گزینه Single-Sign On را باز کنید و گزینه Users and Group را انتخاب کنید.
  • در منوی ناوبری سمت راست زبانه Group را انتخاب کنید.
  • یک گروه را انتخاب نمایید و روی Add Member کلیک کنید.
  • در پنجره Add Principals از منوی کشویی Domain گزینه vSphere.local را انتخاب نمایید. (در صورتی که در زمان نصب دامنه خود را انتخاب نموده اید، ممکن است این گزینه را به شکل vSphere.YourDomain مشاهده کنید.).
  • در لیست Users and Groups به دنبال کاربری که ایجاد کرده اید بگردید.
  • آن را انتخاب کنید و روی Add کلیک کرده و به دنبال آن OK را برای کامل شدن پروسه بزنید.
غیرفعال نمودن کاربر SSO

غیرفعال نمودن کاربر SSO:

  • به کنسول تحت وب vSphere با کاربر مدیر متصل شوید.(مانند کاربر administrator@vSphere.local یا کاربری با دسترسی SSO Administrative).
  • از صفحه Home روی گزینه Administration کلیک کنید.
  • گزینه Single-Sign On را باز کنید و گزینه Users and Group را انتخاب کنید.
  • در منوی ناوبری سمت راست زبانه Users را انتخاب کنید.
  • کاربری را که قصد قیر فعال نمودن آن را دارید از لیست انتخاب نمایید.
  • روی نمایه غیر فعال نمودن کلیک کنید تا کاربر غیر فعال شود.
شناخت روش های احراز هویت در VMware vCenter

شناخت روش های احراز هویت در VMware vCenter

این قسمت بحثی است که تکراری که قبلا در همین بخش برای اتصال به اکتیو دایرکتوری به آن پرداخته شد. پس پروسه آن شبیه قبل خواهد بود با این تفاوت که گزینه های دیگری را به عنوان منبع احراز هویت می توانید انتخاب کنید. روش دیگر های دیگر احراز هویت عبارتند از:

  • (Active Directory (Integrated Windows Authentication
  • Active Directory as an LDAP Server
  • Open LDAP
  • Local OS

 

  • از صفحه Home در کنسول تحت وب روی Administration در منوی سمت چپ کلیک کنید.
  • در منوی سمت چپ در زیر مجموعه Single-Sign On گزینه Configuration را انتخاب کنید.
  • در قسمت سمت راست روی زبانه Identity Sources کلیک کنید.
  • روی بعلاوه سبز رنگ برای اضافه نمودن یک منبع احراز هویت کلیک کنید.
  • نوع منبع احراز هویت (Identity Source Type) را انتخاب کنید. و سایر گزینه ها را با توجه به نوع انتخاب تان وارد نمایید.

آموزش های مرتبط

برای دسترسی به آموزش های مرتبط با نوشته فوق، می توانید آموزش های دیگر را هم مطالعه نمایید.