Con la diffusione dei sistemi di virtualizzazione nelle aziende, il problema della gestione degli accessi e della sicurezza diventa prioritario. Avere una sistema per la gestione centralizzata delle autenticazioni per l’accesso all’infrastruttura informatica facilita notevolmente la parte amministrativa degli operatori IT oltre che fornire un fattore di sicurezza più affidabile.
Per accedere direttamente ad un server ESXi (quindi non con vCenter) è necessario utilizzare un account Linux definito nell’host. Questo vale per ogni server analogo presente nella rete. E’ evidente che una gestione sicura e funzionale dei vari account all’interno di una rete risulti piuttosto laboriosa.
Dalla versione 4.1, VMware ha integrato in ESXi l’opzione per l’autenticazione in Active Directory che permette il login tramite utenti e gruppi definiti in AD. Questa funzione è operativa effettuando il join di ESXi al dominio AD in un modo molto più semplice.
Prerequisiti
Per poter effettuare l’operazione correttamente, è necessario verificare alcuni aspetti:
- L’host ESXi e il Domain Controller hanno un corretto time synchronization per il funzionamento dell’autenticazione tramite il protocollo Kerberos.
- La DNS resolution funziona correttamente dall’host ESXi.
- L’host ESXi ha un corretto FQDN, ad esempio esxi.domain.local.
Procedura
Collegarsi al server ESXi tramite vSphere Client (non da vCenter!) e digitare username e password corretti dell’account con diritti amministrativi (default root) presenti in ESXi.
Selezionare il pannello Configuration e cliccare sulla voce Authentication Services.
Si accede all’area per l’autenticazione. Nella parte destra dello schermo cliccare sulla voce Properties.
Si apre la finestra Directory Services Configuration. Impostare i parametri per l’autenticazione in Active Directory.
Select Directory Service Type: Active Directory Domain: domain.local
Cliccare sul bottone Join Domain per effettuare l’operazione di join al dominio.
Viene visualizzata la finestra che richiede l’inserimento dell’account di Active Directory con i diritti sufficienti per effettuare il join al dominio. Cliccare sul bottone Join Domain.
Conclusa l’operazione, il nome del dominio viene indicato nel campo Domain. Da notare la presenza del bottone Leave Domain che permette di rimuovere l’host da Active Directory.
Per definire il gruppo AD dedicato all’amministrazione di ESXi, selezionare il pannello Permissions in vSphere Client e cliccare con il tasto destro in un punto della schermata. Selezionare la voce Add Permission.
Compare la finestra Assign Permissions. Cliccare sul bottone Add per aggiungere il nuovo account AD.
Selezionando il dominio corretto (LAB nell’esempio), vengono visualizzati gli account presenti in AD. Selezionare il gruppo dedicato alla gestione della struttura VMware e cliccare poi su OK.
Assegnare il ruolo al gruppo selezionato (No Access, Read Only, Administrator) e cliccare su OK.
Osservando la lista degli account presenti su ESXi, compare anche il gruppo di Active Directory appena selezionato.
Dal Domain Controller aprendo Active Directory Users and Computers, è visibile il server ESXi.
Tramite vSphere Client effettuare ora il login all’host ESXi utilizzando l’account di Active Directory membro del gruppo impostato (LAB\L-Group-VMwareAdmin) spuntando l’opzione Use Windows session credentials.
L’accesso a ESXi viene così effettuato utilizzando l’account di Active Directory.
Con questa semplice procedura la gestione delle autenticazioni e sicurezza della rete viene notevolmente alleggerita permettendo l’utilizzo di un solo account per l’accesso a più sistemi.