Definir uma fonte de identidade externa para o vCenter Server

No Azure VMware Solution, o VMware vCenter Server tem uma conta de usuário local interna chamada CloudAdmin à qual é atribuída a função CloudAdmin. Você pode configurar usuários e grupos no Ative Directory do Windows Server com a função CloudAdmin para sua nuvem privada. Em geral, a função CloudAdmin cria e gerencia cargas de trabalho em sua nuvem privada. Mas no Azure VMware Solution, a função CloudAdmin tem privilégios de vCenter Server que são diferentes de outras soluções de nuvem VMware e implantações locais.

Importante

A conta de usuário local do CloudAdmin deve ser usada como uma conta de acesso de emergência para cenários de "quebra de vidro" em sua nuvem privada. Não se destina a ser usado para atividades administrativas diárias ou para integração com outros serviços.

• Em uma implantação local do vCenter Server e ESXi, o administrador tem acesso à conta do vCenter Server administrator@vsphere.local e à conta raiz ESXi. O administrador também pode ser atribuído a mais usuários e grupos do Ative Directory do Windows Server.

• Em uma implantação da Solução VMware do Azure, o administrador não tem acesso à conta de usuário Administrador ou à conta raiz ESXi. Mas o administrador pode atribuir aos usuários do Ative Directory do Windows Server e agrupa a função CloudAdmin no vCenter Server. A função CloudAdmin não tem permissões para adicionar uma fonte de identidade como um servidor LDAP (Lightweight Directory Access Protocol) ou LDAP seguro (LDAPS) local ao vCenter Server. No entanto, você pode usar os comandos Executar para adicionar uma fonte de identidade e atribuir a função CloudAdmin a usuários e grupos.

Uma conta de usuário em uma nuvem privada não pode acessar ou gerenciar componentes de gerenciamento específicos que a Microsoft oferece suporte e gerencia. Os exemplos incluem clusters, hosts, datastores e comutadores virtuais distribuídos.

Nota

Na Solução VMware do Azure, o domínio de logon único (SSO) vsphere.local é fornecido como um recurso gerenciado para dar suporte a operações de plataforma. Você não pode usá-lo para criar ou gerenciar grupos e usuários locais, exceto aqueles que são fornecidos por padrão com sua nuvem privada.

Você pode configurar o vCenter Server para usar um serviço de diretório externo LDAP (Lightweight Directory Access Protocol) para autenticar usuários. Um usuário pode entrar usando suas credenciais de conta do Ative Directory do Windows Server ou credenciais de um servidor LDAP de terceiros. Em seguida, a conta pode receber uma função do vCenter Server, como em um ambiente local, para fornecer acesso baseado em função para usuários do vCenter Server.

Neste artigo, vai aprender a:

• Exporte um certificado para autenticação LDAPS. (Opcional)
• Carregue o certificado LDAPS para o armazenamento de blob e gere uma URL de assinatura de acesso compartilhado (SAS). (Opcional)
• Configure o NSX DNS para resolução para o domínio do Ative Directory do Windows Server.
• Adicione o Ative Directory do Windows Server usando LDAPS (seguro) ou LDAP (não seguro).
• Adicione um grupo existente do Ative Directory do Windows Server ao grupo CloudAdmin.
• Liste todas as fontes de identidade externas existentes que são integradas ao vCenter Server SSO.
• Atribua funções adicionais do vCenter Server às identidades do Ative Directory do Windows Server.
• Remova um grupo do Ative Directory do Windows Server da função CloudAdmin.
• Remova todas as fontes de identidade externas existentes.

Nota

• As etapas para exportar o certificado para autenticação LDAPS e carregar o certificado LDAPS para armazenamento de blob e gerar uma URL SAS são opcionais. Se o SSLCertificatesSasUrl parâmetro não for fornecido, o certificado será baixado do controlador de domínio automaticamente por meio dos PrimaryUrl parâmetros or SecondaryUrl . Para exportar e carregar manualmente o certificado, você pode fornecer o SSLCertificatesSasUrl parâmetro e concluir as etapas opcionais.

• Execute comandos um de cada vez na ordem descrita no artigo.

Pré-requisitos

• Certifique-se de que sua rede do Ative Directory do Windows Server esteja conectada à nuvem privada da Solução VMware do Azure.

• Para autenticação do Ative Directory do Windows Server com LDAPS:

  1. Obtenha acesso ao controlador de domínio do Ative Directory do Windows Server com permissões de Administrador.

  2. Habilite LDAPS em seus controladores de domínio do Ative Directory do Windows Server usando um certificado válido. Você pode obter o certificado de uma Autoridade de Certificação (CA) dos Serviços de Certificados do Ative Directory ou de uma CA pública ou de terceiros.

  3. Para obter um certificado válido, conclua as etapas em Criar um certificado para LDAP seguro. Certifique-se de que o certificado atende aos requisitos listados.

     Nota

     Evite usar certificados autoassinados em ambientes de produção.

  4. Opcional: Se você não fornecer o SSLCertificatesSasUrl parâmetro, o certificado será baixado automaticamente do controlador de domínio por meio dos PrimaryUrl parâmetros ou SecondaryUrl . Como alternativa, você pode exportar manualmente o certificado para autenticação LDAPS e carregá-lo em uma conta de Armazenamento do Azure como armazenamento de blob. Em seguida, conceda acesso aos recursos do Armazenamento do Azure usando uma SAS.

• Configure a resolução de DNS para a Solução VMware do Azure para o Ative Directory do Windows Server local. Configure um encaminhador DNS no portal do Azure. Para obter mais informações, consulte Configurar um encaminhador DNS para a solução VMware do Azure.

Nota

Para obter mais informações sobre LDAPS e emissão de certificados, entre em contato com sua equipe de segurança ou com sua equipe de gerenciamento de identidade.

Exportar o certificado para autenticação LDAPS (Opcional)

Primeiro, verifique se o certificado usado para LDAPS é válido. Se você não tiver um certificado, conclua as etapas para criar um certificado para LDAPS antes de continuar.

Para verificar se o certificado é válido:

1. Entre em um controlador de domínio no qual o LDAPS está ativo usando permissões de administrador.

2. Abra a ferramenta Executar, digite mmc e selecione OK.

3. Selecione Arquivo>Adicionar/Remover Snap-in.

4. Na lista de snap-ins, selecione Certificados e, em seguida, selecione Adicionar.

5. No painel de snap-in Certificados, selecione Conta de computador e, em seguida, selecione Avançar.

6. Mantenha Computador local selecionado, selecione Concluir e, em seguida, selecione OK.

7. No console de gerenciamento Certificados (Computador Local), expanda a pasta Pessoal e selecione a pasta Certificados para exibir os certificados instalados.

   

8. Clique duas vezes no certificado para LDAPS. Certifique-se de que a data do certificado Valid from e Valid to é atual e que o certificado tem uma chave privada que corresponde ao certificado.

   

9. Na mesma caixa de diálogo, selecione a guia Caminho de certificação e verifique se o valor de Caminho de certificação é válido. Ele deve incluir a cadeia de certificados da autoridade de certificação raiz e certificados intermediários opcionais. Verifique se o status do certificado está OK.

   

10. Selecione OK.

Para exportar o certificado:

1. No console Certificados, clique com o botão direito do mouse no certificado LDAPS e selecione Todas as tarefas>de exportação. O Assistente para Exportação de Certificados é aberto. Selecione Seguinte.
2. Na secção Exportar Chave Privada, selecione Não, não exportar a chave privada e, em seguida, selecione Seguinte.
3. Na seção Formato de arquivo de exportação, selecione X.509(. CER) e, em seguida, selecione Seguinte.
4. Na seção Arquivo a ser exportado, selecione Procurar. Selecione um local de pasta para exportar o certificado e insira um nome. Em seguida, selecione Guardar.

Nota

Se mais de um controlador de domínio estiver definido para usar LDAPS, repita o procedimento de exportação para cada controlador de domínio adicional para exportar seus certificados correspondentes. Observe que você pode fazer referência a apenas dois servidores LDAPS na New-LDAPSIdentitySource ferramenta Executar. Se o certificado for um certificado curinga, como .avsdemo.net, exporte o certificado de apenas um dos controladores de domínio.

Carregue o certificado LDAPS para o armazenamento de blob e gere uma URL SAS (opcional)

Em seguida, carregue o arquivo de certificado (no formato .cer ) que você exportou para uma conta de Armazenamento do Azure como armazenamento de blob. Em seguida, conceda acesso aos recursos do Armazenamento do Azure usando uma SAS.

Se precisar de vários certificados, carregue cada um individualmente e gere um URL SAS para cada certificado.

Importante

Lembre-se de copiar todas as cadeias de caracteres de URL SAS. As cadeias de caracteres não ficam acessíveis depois que você sai da página.

Gorjeta

Um método alternativo para consolidar certificados envolve o armazenamento de todas as cadeias de certificados em um arquivo, conforme detalhado em um artigo da base de conhecimento VMware. Em seguida, gere uma única URL SAS para o arquivo que contém todos os certificados.

Configurar o DNS NSX-T para resolução de domínio do Ative Directory do Windows Server

Crie uma zona DNS e adicione-a ao serviço DNS. Conclua as etapas em Configurar um encaminhador DNS no portal do Azure.

Depois de concluir estas etapas, verifique se o serviço DNS inclui a zona DNS.

Sua nuvem privada do Azure VMware Solution agora deve resolver corretamente seu nome de domínio do Ative Directory do Windows Server local.

Adicionar o Ative Directory do Windows Server usando LDAP via SSL

Para adicionar o Ative Directory do Windows Server sobre LDAP com SSL como uma fonte de identidade externa a ser usada com SSO no vCenter Server, execute o cmdlet New-LDAPSIdentitySource.

1. Vá para a nuvem privada da Solução VMware do Azure e selecione Executar pacotes>de comando>New-LDAPSIdentitySource.

2. Forneça os valores necessários ou modifique os valores padrão e selecione Executar.

   Nome	Descrição
   Nome do Grupo	O grupo na fonte de identidade externa que concede acesso ao CloudAdmin. Por exemplo, avs-admins.
   SSLCertificatesSasUrl	O caminho para cadeias de caracteres SAS que contêm os certificados para autenticação na origem do Ative Directory do Windows Server. Separe vários certificados com uma vírgula. Por exemplo, pathtocert1,pathtocert2.
   Credencial	O nome de usuário e a senha do domínio para autenticação com a fonte do Ative Directory do Windows Server (não CloudAdmin). Use o <username@avslab.local> formato.
   BaseDNGroups	A localização para procurar grupos. Por exemplo, CN=group1, DC=avsldap,DC=local. O DN base é necessário para autenticação LDAP.
   BaseDNUsers	O local para procurar usuários válidos. Por exemplo, CN=users,DC=avsldap,DC=local. O DN base é necessário para autenticação LDAP.
   PrimárioUrl	A URL principal da fonte de identidade externa. Por exemplo, ldaps://yourserver.avslab.local:636.
   URL secundário	A URL de fallback secundária se a primária falhar. Por exemplo, ldaps://yourbackupldapserver.avslab.local:636.
   DomainAlias	Para fontes de identidade do Ative Directory do Windows Server, o nome NetBIOS do domínio. Adicione o nome NetBIOS do domínio Ative Directory do Windows Server como um alias da fonte de identidade, normalmente no formato avsldap\ .
   Nome de Domínio	O nome de domínio totalmente qualificado (FQDN) do domínio. Por exemplo, avslab.local.
   Nome	Um nome para a fonte de identidade externa. Por exemplo, avslab.local.
   Reter até	O período de retenção da saída do cmdlet. O valor padrão é 60 dias.
   Especificar nome para execução	Um nome alfanumérico. Por exemplo, addExternalIdentity.
   Tempo limite	O período após o qual um cmdlet é encerrado se não tiver terminado a execução.

3. Para monitorar o progresso e confirmar a conclusão bem-sucedida, verifique Notificações ou o painel Status da Execução da Execução.

Importante

Se o comando Executar New-LDAPSIdentitySource falhar, utilize o comando Executar Debug-LDAPSIdentitySources para solucionar o problema.

Adicionar o Ative Directory do Windows Server usando LDAP

Nota

Recomendamos que você use o método para adicionar o Ative Directory do Windows Server sobre LDAP usando SSL.

Para adicionar o Ative Directory do Windows Server sobre LDAP como uma fonte de identidade externa a ser usada com SSO no vCenter Server, execute o cmdlet New-LDAPIdentitySource.

1. Selecione Executar pacotes>de comando>New-LDAPIdentitySource.

2. Forneça os valores necessários ou modifique os valores padrão e selecione Executar.

   Nome	Descrição
   Nome	Um nome para a fonte de identidade externa. Por exemplo, avslab.local. Esse nome aparece no vCenter Server.
   Nome de Domínio	FQDN do domínio. Por exemplo, avslab.local.
   DomainAlias	Para fontes de identidade do Ative Directory do Windows Server, o nome NetBIOS do domínio. Adicione o nome NetBIOS do domínio do Ative Directory do Windows Server como um alias da fonte de identidade, normalmente no formato *avsldap* .
   PrimárioUrl	A URL principal da fonte de identidade externa. Por exemplo, ldap://yourserver.avslab.local:389.
   URL secundário	A URL de fallback secundária se houver uma falha primária.
   BaseDNUsers	O local para procurar usuários válidos. Por exemplo, CN=users,DC=avslab,DC=local. O DN base é necessário para autenticação LDAP.
   BaseDNGroups	A localização para procurar grupos. Por exemplo, CN=group1, DC=avslab,DC=local. O DN base é necessário para autenticação LDAP.
   Credencial	O nome de usuário e a senha do domínio para autenticação com a fonte do Ative Directory do Windows Server (não CloudAdmin). O usuário deve estar no <username@avslab.local> formato.
   Nome do Grupo	O grupo em sua fonte de identidade externa que concede acesso ao CloudAdmin. Por exemplo, avs-admins.
   Reter até	O período de retenção para a saída do cmdlet. O valor padrão é 60 dias.
   Especificar nome para execução	Um nome alfanumérico. Por exemplo, addExternalIdentity.
   Tempo limite	O período após o qual um cmdlet é encerrado se não tiver terminado a execução.

3. Para monitorar o progresso, verifique Notificações ou o painel Status da Execução da Execução.

Adicionar um grupo existente do Ative Directory do Windows Server a um grupo do CloudAdmin

Importante

Não há suporte para grupos aninhados. Usar um grupo aninhado pode causar perda de acesso.

Os usuários em um grupo CloudAdmin têm direitos de usuário iguais à função CloudAdmin (<cloudadmin@vsphere.local>) definida no vCenter Server SSO. Para adicionar um grupo existente do Ative Directory do Windows Server a um grupo do CloudAdmin, execute o cmdlet Add-GroupToCloudAdmins.

1. Selecione Executar o comando>Packages>Add-GroupToCloudAdmins.

2. Introduza ou selecione os valores necessários e, em seguida, selecione Executar.

   Nome	Descrição
   Nome do Grupo	O nome do grupo a ser adicionado. Por exemplo, VcAdminGroup.
   Reter até	O período de retenção da saída do cmdlet. O valor padrão é 60 dias.
   Especificar nome para execução	Um nome alfanumérico. Por exemplo, addADgroup.
   Tempo limite	O período após o qual um cmdlet é encerrado se não tiver terminado a execução.

3. Verifique Notificações ou o painel Status da Execução para ver o progresso.

Listar fontes de identidade externas

Para listar todas as fontes de identidade externas que já estão integradas ao SSO do vCenter Server, execute o cmdlet Get-ExternalIdentitySources.

1. Inicie sessão no portal do Azure.

   Nota

   Se precisar de aceder ao portal do Azure para o Governo dos EUA, aceda a <https://portal.azure.us/>.

2. Selecione Executar pacotes>de comando>Get-ExternalIdentitySources.

   

3. Introduza ou selecione os valores necessários e, em seguida, selecione Executar.

   

   Nome	Descrição
   Reter até	O período de retenção da saída do cmdlet. O valor padrão é 60 dias.
   Especificar nome para execução	Um nome alfanumérico. Por exemplo, getExternalIdentity.
   Tempo limite	O período após o qual um cmdlet é encerrado se não tiver terminado a execução.

4. Para ver o progresso, verifique Notificações ou o painel Status da Execução da Execução.

   

Atribuir mais funções do vCenter Server a identidades do Ative Directory do Windows Server

Depois de adicionar uma identidade externa sobre LDAP ou LDAPS, você pode atribuir funções do vCenter Server a grupos de segurança do Ative Directory do Windows Server com base nos controles de segurança da sua organização.

1. Entre no vCenter Server como CloudAdmin, selecione um item do inventário, selecione o menu Ações e selecione Adicionar permissão.

   

2. Na caixa de diálogo Adicionar Permissão:

   1. Domínio: Selecione a instância adicionada anteriormente do Ative Directory do Windows Server.
   2. Utilizador/Grupo: introduza o nome do utilizador ou grupo, pesquise-o e, em seguida, selecione-o.
   3. Função: selecione a função a ser atribuída.
   4. Propagar para filhos: opcionalmente, marque a caixa de seleção para propagar permissões para recursos filho.

   

3. Selecione a guia Permissões e verifique se a atribuição de permissão foi adicionada.

   

Os usuários agora podem entrar no vCenter Server usando suas credenciais do Ative Directory do Windows Server.

Remover um grupo do Ative Directory do Windows Server da função CloudAdmin

Para remover um grupo específico do Ative Directory do Windows Server da função CloudAdmin, execute o cmdlet Remove-GroupFromCloudAdmins.

1. Selecione Executar pacotes de comando>>Remove-GroupFromCloudAdmins.

2. Introduza ou selecione os valores necessários e, em seguida, selecione Executar.

   Nome	Descrição
   Nome do Grupo	O nome do grupo a ser removido. Por exemplo, VcAdminGroup.
   Reter até	O período de retenção da saída do cmdlet. O valor padrão é 60 dias.
   Especificar nome para execução	Um nome alfanumérico. Por exemplo, removeADgroup.
   Tempo limite	O período após o qual um cmdlet é encerrado se não tiver terminado a execução.

3. Para ver o progresso, verifique Notificações ou o painel Status da Execução da Execução.

Remover todas as fontes de identidade externas existentes

Para remover todas as fontes de identidade externas existentes de uma só vez, execute o cmdlet Remove-ExternalIdentitySources.

1. Selecione Executar o comando>Packages>Remove-ExternalIdentitySources.

2. Insira ou selecione os valores necessários e, em seguida, selecione Executar:

   Nome	Descrição
   Reter até	O período de retenção da saída do cmdlet. O valor padrão é 60 dias.
   Especificar nome para execução	Um nome alfanumérico. Por exemplo, remove_ExternalIdentity.
   Tempo limite	O período após o qual um cmdlet é encerrado se não tiver terminado a execução.

3. Para ver o progresso, verifique Notificações ou o painel Status da Execução da Execução.

Alternar o nome de usuário ou a senha de uma conta de origem de identidade externa existente

1. Gire a senha da conta usada para autenticação com a fonte do Ative Directory do Windows Server no controlador de domínio.

2. Selecione Executar pacotes de comando>>Update-IdentitySourceCredential.

3. Introduza ou selecione os valores necessários e, em seguida, selecione Executar.

   Nome	Descrição
   Credencial	O nome de usuário e a senha de domínio usados para autenticação com a fonte do Ative Directory do Windows Server (não CloudAdmin). O usuário deve estar no <username@avslab.local> formato.
   Nome de Domínio	O FQDN do domínio. Por exemplo, avslab.local.

4. Para ver o progresso, verifique Notificações ou o painel Status da Execução da Execução.

Aviso

Se você não fornecer um valor para DomainName, todas as fontes de identidade externas serão removidas. Execute o cmdlet Update-IdentitySourceCredential somente depois que a senha for girada no controlador de domínio.

Renovar certificados existentes para a origem de identidade LDAPS

1. Renove os certificados existentes nos controladores de domínio.

2. Opcional: Se os certificados forem armazenados em controladores de domínio padrão, esta etapa será opcional. Deixe o parâmetro SSLCertificatesSasUrl em branco e os novos certificados serão baixados dos controladores de domínio padrão e atualizados no vCenter automaticamente. Se você optar por não usar a maneira padrão, exporte o certificado para autenticação LDAPS e carregue o certificado LDAPS para o armazenamento de blob e gere uma URL SAS. Salve a URL SAS para a próxima etapa.

3. Selecione Executar o comando>Packages>Update-IdentitySourceCertificates.

4. Forneça os valores necessários e a nova URL SAS (opcional) e selecione Executar.

   Campo	Valor
   Nome de Domínio*	O FQDN do domínio, por exemplo avslab.local.
   SSLCertificatesSasUrl (opcional)	Uma lista delimitada por vírgulas do URI do caminho SAS para Certificados para autenticação. Verifique se as permissões de leitura estão incluídas. Para gerar, coloque os certificados em qualquer blob de conta de armazenamento e, em seguida, clique com o botão direito do mouse no certificado e gere SAS. Se o valor desse campo não for fornecido por um usuário, os certificados serão baixados dos controladores de domínio padrão.

5. Verifique Notificações ou o painel Status da Execução para ver o progresso.

Conteúdos relacionados

• Criar uma política de armazenamento
• Arquitetura de identidade da solução VMware do Azure
• Definir uma fonte de identidade externa para o NSX
• Documentação do produto VMware