Integrare VMware ESXi 4.1 in Active Directory

esxad1

Con la diffusione dei sistemi di virtualizzazione nelle aziende, il problema della gestione degli accessi e della sicurezza diventa prioritario. Avere una sistema per la gestione centralizzata delle autenticazioni per l’accesso all’infrastruttura informatica facilita notevolmente la parte amministrativa degli operatori IT oltre che fornire un fattore di sicurezza più affidabile.

Per accedere direttamente ad un server ESXi (quindi non con vCenter) è necessario utilizzare un account  Linux definito nell’host. Questo vale per ogni server analogo presente nella rete. E’ evidente che una gestione sicura e funzionale dei vari account all’interno di una rete risulti piuttosto laboriosa.

Dalla versione 4.1, VMware ha integrato in ESXi l’opzione per l’autenticazione in Active Directory che permette il login tramite utenti e gruppi definiti in AD. Questa funzione è operativa effettuando il join di ESXi al dominio AD in un modo molto più semplice.

 

Prerequisiti

Per poter effettuare l’operazione correttamente, è necessario verificare alcuni aspetti:

  1. L’host ESXi e il Domain Controller hanno un corretto time synchronization per il funzionamento dell’autenticazione tramite il protocollo Kerberos.
  2. La DNS resolution funziona correttamente dall’host ESXi.
  3. L’host ESXi ha un corretto FQDN, ad esempio esxi.domain.local.

 

Procedura

Collegarsi al server ESXi tramite vSphere Client (non da vCenter!) e digitare username e password corretti dell’account con diritti amministrativi (default root) presenti in ESXi.

esxad2

Selezionare il pannello Configuration e cliccare sulla voce Authentication Services.

esxad3

Si accede all’area per l’autenticazione. Nella parte destra dello schermo cliccare sulla voce Properties.

esxad4

Si apre la finestra Directory Services Configuration. Impostare i parametri per l’autenticazione in Active Directory.

Select Directory Service Type: Active Directory 
Domain: domain.local

Cliccare sul bottone Join Domain per effettuare l’operazione di join al dominio.

esxad5

Viene visualizzata la finestra che richiede l’inserimento dell’account di Active Directory con i diritti sufficienti per effettuare il join al dominio. Cliccare sul bottone Join Domain.

esxad6

Conclusa l’operazione, il nome del dominio viene indicato nel campo Domain. Da notare la presenza del bottone Leave Domain che permette di rimuovere l’host da Active Directory.

esxad7

Per definire il gruppo AD dedicato all’amministrazione di ESXi, selezionare il pannello Permissions in vSphere Client e cliccare con il tasto destro in un punto della schermata. Selezionare la voce Add Permission.

esxad8

Compare la finestra Assign Permissions. Cliccare sul bottone Add per aggiungere il nuovo account AD.

esxad9

Selezionando il dominio corretto (LAB nell’esempio), vengono visualizzati gli account presenti in AD. Selezionare il gruppo dedicato alla gestione della struttura VMware e cliccare poi su OK.

esxad10

Assegnare il ruolo al gruppo selezionato (No Access, Read Only, Administrator) e cliccare su OK.

esxad11

Osservando la lista degli account presenti su ESXi, compare anche il gruppo di Active Directory appena selezionato.

esxad12

Dal Domain Controller aprendo Active Directory Users and Computers, è visibile il server ESXi.

esxad13

Tramite vSphere Client effettuare ora il login all’host ESXi utilizzando l’account di Active Directory membro del gruppo impostato (LAB\L-Group-VMwareAdmin) spuntando l’opzione Use Windows session credentials.

esxad14

L’accesso a ESXi viene così effettuato utilizzando l’account di Active Directory.

esxad15

Con questa semplice procedura la gestione delle autenticazioni e sicurezza della rete viene notevolmente alleggerita permettendo l’utilizzo di un solo account per l’accesso a più sistemi.

1