• Digitální příslušenství
  • Server
  • Digitální život
  • Zásady ochrany osobních údajů
  • Kontaktujte nás
  1. Domov
  2. Server
  3. Centrálně spravujte zabezpečení účtu tím, že se připojíte k hostitelům ESXi...

Centrálně spravujte zabezpečení účtu tím, že se připojíte k hostitelům ESXi...

Rsdaa 20/12/2021 1328

Hostitelské servery VMware vyžadují pokročilý software k jejich hromadné správě. Správci mohou omezit přístup pomocí služeb AD k ověření a správě zabezpečení uživatelských účtů.

Obrázek: metamorworks, Getty Images/iStockphoto

Jak je tomu v dnešní době u většiny IT, doba ukazuje, že je třeba dělat více s méně. Méně, ale výkonnější servery, které dokážou konsolidovat velkou serverovou farmu do lehčího a efektivnějšího datového centra, je jedním z příkladů této filozofie, která se vyvinula v součást základní DNA IT. Jednoduše neexistuje dobrý důvod, proč nevyužít stávající infrastrukturu k tomu, aby její další část fungovala hladce. Jedinou výhradou je obvykle vyšší cena.

To je případ hypervizoru VMware ESXI (zdarma) a sady pro správu vSphere (není zdarma). Existují však věci, které mohou oddělení IT udělat, aby poskytla centralizovanější správu, a připojení hostitelů ESXI ke stávajícímu prostředí Microsoft AD je skvělý začátek. Využití Active Directory Domain Services (AD DS) umožňuje IT oddělením s omezeným rozpočtem posílit zabezpečení a řízení přístupu prostřednictvím centrální správy uživatelských účtů a ověřování.

VIZ: Stažení šablony zásad zabezpečení informací (Tech Pro Research)

Tento proces je naštěstí intuitivní a ESXI nativně podporuje integraci AD. I když existuje několik požadavků, které je třeba si před zahájením poznamenat:

Server se systémem Windows Server 2008 (nebo novějším) s nainstalovanými následujícími rolemi: Active Directory Domain Services DHCP DNS Služba Active Directory naplněná uživatelskými účty a objekty počítače Bare-Metal server se systémem ESXi Hypervisor v5.5 (nebo novější) Switched Network Broadband ISP (Volitelné) Doporučeno) Pověření pro správu k ESXi a práva správce domény (nebo delegovaný přístup) k Active Directory systému Windows Server

Připojte se k hostiteli ESXi k Active Directory

Přihlaste se k hostitelskému serveru ESXi a ověřte název hostitele. To by mělo být pojmenováno podle toho, jak se bude nazývat počítačový objekt v AD (obrázek A).

Obrázek A

Klikněte na Spravovat v části Hostitel v Navigátoru a poté klikněte na Zabezpečení & uživatelé | Certifikáty pro ověření názvu hostitele se shodují s názvem v prvním kroku. Musí se shodovat, jinak se proces spojování nezdaří (obrázek B).

Obrázek B

S ověřenými názvy hostitelů klikněte na Authentication | Připojte se k doméně. Budete vyzváni k zadání názvu domény a přihlašovacích údajů správce domény použitých k jejímu spojení s AD. Proces může trvat několik minut, ale po úspěšném dokončení se zobrazí název připojené domény a také všechny důvěryhodné domény, které jsou s ní spojeny (obrázek C).

Obrázek C

I když je to volitelné, zkontrolováním vlastností objektu počítače v části Uživatelé a počítače AD klikněte na kartu Operační systém. Je běžné, že se pro název i verzi zobrazí „neznámý“. Pro aktualizaci Service Pack by však mělo být uvedeno „Likewise Open 6.2.0“. Tím se ověří, že se hostitel úspěšně svázal s objektem počítače AD (obrázek D).

Obrázek D

Konfigurace ověřování Active Directory

Než hostitel ESXi zpracuje ověření z AD, musíme nejprve provést nějaké změny ve výchozím nastavení zabezpečení.

Přihlaste se k hostiteli ESXi pomocí účtu místního správce, klikněte na Spravovat a poté na kartu Systém | Pokročilé nastavení. Procházejte seznamem konfigurovatelných nastavení dolů, dokud nenajdete to s názvem Config.HostAgent.plugins.hostsvc.esxAdminsGroup. Ve výchozím nastavení bude všem skupinám Active Directory přidaným do skupiny ESX Admins automaticky poskytnut přístup k ESXi jako správce. AD však takovou skupinu neobsahuje, takže můžeme poskytnout vlastní a nakonfigurovat toto nastavení zvýrazněním nastavení a kliknutím na tlačítko volby Upravit (obrázek E).

Obrázek E

V okně, které se otevře, odstraňte výchozí skupinu a zadejte název skupiny zabezpečení obsažené v AD, která má nakonfigurované členské účty, které budou spravovat hostitele ESXi. Pokud například skupina Domain Admins bude potřebovat přístup k hostiteli ESXi, zadejte do pole název této skupiny. Lze zadat více názvů skupin oddělených čárkou. Pro uložení stiskněte tlačítko Uložit (obrázek F).

Obrázek F

Dále ověříme, zda je nastavení s názvem Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd nastaveno na hodnotu true. Toto je výchozí nastavení v novějších verzích a zajišťuje, že účty, které jsou členy skupiny zadané ve druhém kroku výše, budou správci na hostiteli ESXi (obrázek G).

Obrázek G

Naposled se odhlaste jako místní uživatel a pokuste se ověřit pomocí přihlašovacích údajů vaší domény. Uživatelé se mohou obvykle přihlásit pouze pomocí uživatelského jména a hesla, pokud se však zobrazí chyba, zkuste zadat uživatelské jméno ve formátu "uživatelské jméno"@"doména"."TLD" (obrázek H) (obrázek I).

Obrázek H

Obrázek I

Nyní byste měli být schopni se ověřit k hostiteli ESXi prostřednictvím účtů AD a výše testovaný účet by měl být také správcem. Přístup lze v případě potřeby podrobně omezit vytvořením více skupin zabezpečení v AD a odpovídajícím překonfigurováním nastavení v krocích jedna až tři.

Cybersecurity Insider Newsletter

Posilněte zabezpečení IT vaší organizace tím, že budete držet krok s nejnovějšími zprávami, řešeními a osvědčenými postupy v oblasti kybernetické bezpečnosti. Doručováno v úterý a ve čtvrtek

Přihlaš se dnes

Viz také


PREV: Jak nastavit Let's Encrypt pro více virtuálních hostitelů Apache ...

NEXT: Domény - často kladené otázky | Dokumenty Microsoft

Populární články

Žhavé články

Navigační seznamy

Zpět na začátek