可以将 CloudSimple 私有云 vCenter 设置为使用 Azure Active Directory(Azure AD)进行身份验证,以便 VMware 管理员访问 vCenter。 设置单一登录标识源后, cloudowner 用户可以将标识源中的用户添加到 vCenter。
可以通过以下任一方式设置 Active Directory 域和域控制器:
- 在本地运行的 Active Directory 域和域控制器
- 在 Azure 订阅中,作为虚拟机运行于 Azure 上的 Active Directory 域及域控制器
- 在 CloudSimple 私有云中运行的新 Active Directory 域和域控制器
- Azure Active Directory 服务
本指南介绍了将 Azure AD 设置为标识源所需的任务。 有关使用 Azure 中运行的本地 Active Directory 或 Active Directory 的信息,请参阅 设置 vCenter 标识源以使用 Active Directory 获取有关设置标识源的详细说明。
关于 Azure AD
Azure AD 是Microsoft多租户、基于云的目录和标识管理服务。 Azure AD 为用户提供一种可缩放、一致且可靠的身份验证机制,用于对 Azure 上的不同服务进行身份验证和访问。 它还为任何第三方服务提供安全 LDAP 服务,以使用 Azure AD 作为身份验证/标识源。 Azure AD 结合了核心目录服务、高级标识治理和应用程序访问管理,可用于为管理私有云的用户提供对私有云的访问权限。
若要将 Azure AD 用作 vCenter 的标识源,必须设置 Azure AD 和 Azure AD 域服务。 请按照以下说明操作:
设置 Azure AD 和 Azure AD 域服务
在开始之前,需要使用全局管理员权限访问 Azure 订阅。 以下步骤提供了一般准则。 详细信息包含在 Azure 文档中。
Azure AD
注释
如果已有 Azure AD,可以跳过本部分。
- 请按照 Azure AD 文档中的说明在订阅上设置 Azure AD。
- 按照 注册 Azure Active Directory Premium 中所述,在订阅上启用 Azure Active Directory Premium。
- 设置自定义域名并验证自定义域名,如 将自定义域名添加到 Azure Active Directory 中所述。
- 使用 Azure 上提供的信息在域注册机构上设置 DNS 记录。
- 将自定义域名设置为主域。
可以选择配置其他 Azure AD 功能。 使用 Azure AD 启用 vCenter 身份验证不需要这些。
Azure AD 域服务
注释
这是将 Azure AD 作为 vCenter 标识源启用的重要步骤。 若要避免任何问题,请确保正确执行所有步骤。
如中所述,使用 Azure 门户启用 Azure AD 域服务启用 Azure Active Directory 域服务。
设置 Azure AD 域服务将使用的网络,如 使用 Azure 门户启用 Azure Active Directory 域服务中所述。
配置管理员组以使用 Azure 门户管理 Azure AD 域服务,如“启用 Azure Active Directory 域服务”中所述。
更新 Azure AD 域服务的 DNS 设置,如 “启用 Azure Active Directory 域服务”中所述。 如果要通过 Internet 连接到 AD,请将 Azure AD 域服务的公共 IP 地址的 DNS 记录设置为域名。
为用户启用密码哈希同步。 此步骤支持将 NT LAN 管理器(NTLM)和 Kerberos 身份验证所需的密码哈希同步到 Azure AD 域服务。 设置密码哈希同步后,用户可以使用其公司凭据登录到托管域。 请参阅 “启用到 Azure Active Directory 域服务的密码哈希同步”。
如果存在仅限云的用户,则必须使用 Azure AD 访问面板 更改其密码,以确保密码哈希以 NTLM 或 Kerberos 所需的格式存储。 按照为仅限云的用户帐户启用密码哈希同步到托管域中的说明进行操作。 必须为单个用户以及使用 Azure 门户或 Azure AD PowerShell cmdlet 在 Azure AD 目录中创建的任何新用户执行此步骤。 需要访问 Azure AD 域服务的用户必须使用 Azure AD 访问面板 并访问其配置文件才能更改密码。
注释
如果组织具有仅限云的用户帐户,则所有需要使用 Azure Active Directory 域服务的用户都必须更改其密码。 仅限云的用户帐户是使用 Azure 门户或 Azure AD PowerShell cmdlet 在 Azure AD 目录中创建的帐户。 此类用户帐户不会从本地目录同步。
如果要从本地 Active Directory 同步密码,请按照 Active Directory 文档中的步骤作。
根据 为 Azure AD 域服务托管域配置安全 LDAP(LDAPS)中所述,在 Azure Active Directory 域服务上配置安全 LDAP。
- 上传供安全 LDAP 使用的证书,如 Azure 主题中所述 ,获取安全 LDAP 的证书。 CloudSimple 建议使用证书颁发机构颁发的签名证书,以确保 vCenter 可以信任证书。
- 为 Azure AD 域服务托管域启用安全 LDAP(LDAPS),如 启用安全 LDAP (LDAPS) for an Azure AD Domain Services managed ___domain 中所述。
- 将证书的公共部分(不使用私钥)保存为.cer格式,以便在配置标识源时与 vCenter 一起使用。
- 如果需要 Internet 访问 Azure AD 域服务,请启用“允许通过 Internet 安全访问 LDAP”选项。
- 为 TCP 端口 636 的 Azure AD 域服务 NSG 添加入站安全规则。
在私有云 vCenter 上设置标识源
提升 私有云 vCenter 的权限。
收集设置标识源所需的配置参数。
选择 描述 名字 标识源的名称。 用户的基本 DN 用户的基准识别名称。 对于 Azure AD,请使用:示例: OU=AADDC Users,DC=<___domain>,DC=<___domain suffix>OU=AADDC Users,DC=cloudsimplecustomer,DC=com。域名 域名的完全限定域名(FQDN),例如 example.com。 不要在此文本框中提供 IP 地址。 域别名 (可选) 域 NetBIOS 名称。 如果使用 SSPI 身份验证,请将 Active Directory 域的 NetBIOS 名称添加为标识源的别名。 组的基本 DN 组的基准可分辨名称。 对于 Azure AD,请使用:示例: OU=AADDC Users,DC=<___domain>,DC=<___domain suffix>OU=AADDC Users,DC=cloudsimplecustomer,DC=com主服务器 URL 域的主域控制器 LDAP 服务器。
使用格式ldaps://hostname:port。 对于 LDAPS 连接,端口通常为 636。
在主或辅助 LDAP URL 中使用ldaps://时,需要为 Active Directory 服务器的 LDAPS 终结点建立信任的证书。辅助服务器 URL 用于故障转移的辅助域控制器 LDAP 服务器的地址。 选择证书 如果要将 LDAPS 与 Active Directory LDAP 服务器或 OpenLDAP 服务器标识源一起使用,请在键入 ldaps://URL 文本框后显示“选择证书”按钮。 不需要辅助 URL。用户名 域中至少对用户和组的 Base DN 具有只读访问权限的用户的 ID。 密码 由用户名指定的用户的密码。 升级特权后登录到私有云 vCenter。
按照上一步骤中的值在 vCenter 上添加标识源 中的说明,将 Azure Active Directory 设置为标识源。
如 VMware 主题“ 将成员添加到 vCenter 单一 Sign-On 组”中所述,将用户/组从 Azure AD 添加到 vCenter 组。
谨慎
必须将新用户添加到 Cloud-Owner-Group、Cloud-Global-Cluster-Admin-Group、Cloud-Global-Storage-Admin-Group、Cloud-Global-Network-Admin-Group 或 Cloud-Global-VM-Admin-Group。 添加到 管理员 组的用户将自动删除。 只有服务帐户才能添加到 管理员 组。