• Digitaaliset tarvikkeet
  • Palvelin
  • Digitaalinen elämä
  • Tietosuojakäytäntö
  • Ota meihin yhteyttä
  1. Home
  2. Palvelin
  3. Kuinka liittää ESXi AD:hen parantaaksesi hallintaa ja turvallisuutta

Kuinka liittää ESXi AD:hen parantaaksesi hallintaa ja turvallisuutta

Rsdaa 19/12/2021 1193

ESXi toteuttaa PAM- tai Pluggable Authentication Module -kehyksen, joka tukee useita todennusmenetelmiä, joista yksi on Active Directory (AD). Tämä tarkoittaa, että voit sisällyttää AD:n todennusmekanismiksi vSphere-ympäristöihisi. Hyötyjä on monia, mutta eniten erottuva on mahdollisuus todentaa AD-käyttäjätilin avulla ja käyttää samaa, mukaan lukien AD-suojausryhmät, lupien myöntämiseen vSphere-objekteille. Tämä poistaa tarpeen ylläpitää ja replikoida paikallisia ESXi-käyttäjiä ja ryhmiä useissa ESXi-esiintymissä. Kertakirjautuminen Windows-tunnistetiedoilla on myös hieno ominaisuus.

Käyttäjien hallinta on myös helppoa, kun AD-todennus on otettu käyttöön. Harkitse tapausta, jossa vSphere-järjestelmänvalvoja lähtee laitumelle vihreänä. AD:lla on yksinkertainen asia poistaa hänen käyttäjätilinsä käytöstä ja olet valmis. Jos toisaalta järjestelmänvalvojat jakavat ja käyttävät paikallisia root-tilejä tai vastaavia etuoikeutettuja tilejä, tämä epävarma käytäntö vaatisi salasanan vaihtamista kauttaaltaan olettaen, että arvostat turvallisuutta.

Joten tämänpäiväisessä viestissä käyn läpi ESXi 6.5:n liittämisen Active Directoryyn. Testikokoonpanoni koostuu yhdestä hallitsemattomasta ESXi 6.5 -isännästä ja Windows 2012 Domain Controllerista (DC), joka käyttää DNS:ää, yhdestä metsä-/toimialueasetuksesta ja isännöi kaikkia FSMO-rooleja.

Vaatimukset

Ajan synkronointi: ESXi-isännän ja DC:n ajan on oltava synkronoituja. Voit tehdä tämän määrittämällä molemmat käyttämään samaa NTP-lähdettä tai yksinkertaisesti määrittämällä ESXi:n NTP-palvelun käyttämään DC:tä aikalähteenä. Oletusarvoisesti DC, jolla on PDC-emulaattorirooli, vastaa myös koko metsän ajan säilyttämisestä.

DNS-resoluutio: ESXi-isännän on kyettävä ratkaisemaan toimialueen ja toimialueen ohjauskoneiden DNS-nimet. Helpoin ratkaisu tähän on lisätä IP-osoite DC:lle, joka on määritetty DNS-palvelimeksi kyseiselle toimialueelle.

Pääpääsy: Luo Active Directoryyn ryhmä nimeltä ESX Admins. Sille osoitetuille AD-käyttäjien tileille myönnetään automaattisesti pääkäyttäjän oikeudet ESXi:ssä.

Palomuurin käyttö: Varmista, että mikään palomuuri ei estä seuraavia portteja sekä UDP- että TCP-portteja:

88 – Kerberos-todennus123 – NTP135 – RPC137 – NetBIOS-nimipalvelu139 – NetBIOS-istuntopalvelu (SMB)389 – LDAP445 – Microsoft-DS Active Directory, Windows-osuudet (SMB yli TCP)464 – Kerberos – muutos/salasanan muutokset3268- Maailmanlaajuinen katalogihaku >

Active Directoryn määrittäminen

Täällä on vain vähän tehtävää. Lisää vain ESXi-isännän A- ja PTR-tietueet verkkotunnuksen DNS-vyöhykkeeseen kuvan 1 mukaisesti.

Kuva 1 – DNS-tietueiden luominen ESXi:lle Microsoftin DNS-palvelimella

Luo ADUC MMC -konsolin avulla suojausryhmä nimeltä ESX Admins ja lisää AD-käyttäjät, joille haluat antaa ESXi-pääkäyttäjän oikeudet.

Kuva 2 – ESX Admins -turvaryhmien luominen AD:ssa

Todellisuudessa voit määrittää minkä tahansa haluamasi AD-ryhmän, jos muutat Config.HostAgent.plugins.hostsvc.esxAdminsGroup-lisäasetusta kuvan 3 mukaisesti.

Kuva 3 – Vaihtoehtoisen AD ESXi -juurikäyttäjäryhmän määrittäminen sulautetusta ESXi-isäntäasiakkaasta

ESXi:n määrittäminen

Voit määrittää ESXi 6.5:n useilla tavoilla. Näitä ovat DCUI, ESXi-komentorivi, PowerCLI tai sulautetun ESXi-isännän tai paksun asiakkaan kautta.

Ota Active Directoryn palomuurisääntö käyttöön

Tätä viestiä kirjoittaessani sain tietää, että Active Directory All -palomuurisääntö ESXi:ssä on oletuksena poistettu käytöstä. Tämä tietysti haittaa AD-integraatioprosessia, koska ESXi ei pääse DC:hen. Ota palomuurisääntö käyttöön isäntäasiakkaalla kuvan 4 mukaisesti. Korosta sääntö, napsauta sitä hiiren kakkospainikkeella ja valitse Ota käyttöön.

Kuva 4 – Active Directory All -palomuurisäännön käyttöönotto ESXi:ssä

DNS-asetukset

Helppo tapa määrittää DNS-asetukset ESXi:ssä on DCUI:n tai paksun asiakkaan kautta. Tämä näkyy vastaavasti kuvissa 5 ja 6. Kirjaudu sisään DCUI:sta root-käyttäjänä, paina F2 ja siirry DNS-määritysvalikon vaihtoehtoon ja paina Enter.

Lisää DNS-määritysikkunassa DNS-palvelua käyttävän DC:n IP-osoite ensisijaiseksi tai vaihtoehtoiseksi DNS-palvelimeksi. Isäntänimi-arvon on vastattava DNS A -tietuetta, joka on luotu ESXi-isännälle toimialueen DNS-vyöhykkeellä.

Kuva 5 – DNS-asetusten määrittäminen ESXi:ssä DCUI:n avulla

Kuva 6 – DNS-asetusten määrittäminen ESXi:ssä paksun asiakkaan kautta

NTP-määritykset

Vaatimusten mukaan ESXi on aikasynkronoitu verkkotunnukseen. Yksi tapa saavuttaa tämä on lisätä PDC-roolin omistavan DC:n IP-osoite ESXi:n NTP-palvelimien luetteloon. Kuvassa 7 esitetään, kuinka tämä tehdään paksulla (C#) asiakasohjelmalla. Varmista, että NTP Client Enabled -vaihtoehto on valittuna.

Kuva 7 – NTP-palvelun hallinta ESXi:ssä paksun asiakkaan kautta

Vaihtoehtoisesti SSH to ESXi, kirjaudu sisään root-käyttäjänä ja muokkaa tiedostoa /etc/ntp.conf vi:llä. Lisää linjapalvelin x.x.x.x kuvan 8 mukaisesti, jossa x.x.x.x vastaa käytettävän NTP-palvelimen IP-osoitetta, joka minun tapauksessani sattuu olemaan itse DC. Kun olet valmis, käynnistä ntp-palvelu uudelleen suorittamalla /etc/init.d/ntpd restart kuvan 8 mukaisesti.

Kuva 8 – NTP-aikalähteen lisääminen komentorivin kautta ja NTP-daemonin käynnistäminen uudelleen

Kun SSH on siirretty ESXiin, suorita nslookup-testi nähdäksesi, voidaanko AD-verkkotunnuksen nimi selvittää. Esimerkkini mukaan AD-verkkotunnuksen nimi on gojira.local, joka selviää oikein kuvan 9 mukaisesti.

Kuva 9 – nslookupin suorittaminen tarkistaaksesi, ratkeaako AD-verkkotunnus oikein

Active Directoryyn liittyminen

Nyt kun kaikki osat ovat paikoillaan, sinun tarvitsee vain liittää ESXi verkkotunnukseen. Tätä varten olen käyttänyt sulautettua isäntäasiakasta tehdäkseni asioista hieman mielenkiintoista. Halutessasi voit kuitenkin tehdä saman ESXi-komentorivin tai paksun asiakasohjelman kautta.

Käyttämällä sulautettua isäntäasiakasta

Kuvan 10 mukaisesti kirjaudu sisään root-käyttäjänä ja valitse Navigatorista Hallinnoi. Valitse Authentication (3) Security & Käyttäjät-välilehti (2). Napsauta seuraavaksi Liity verkkotunnukseen -painiketta (4) ja kirjoita AD-verkkotunnuksen nimi (5) ja valtuustiedot (6), joilla on tarvittavat oikeudet tietokoneiden liittämiseen toimialueeseen. Varmista, että noudatat kuvakaappauksessa näkyvää muotoilua. Napsauta Liity verkkotunnukseen (7) Join Domain -ikkunasta. ESXi lisätään Active Directoryyn vihreällä korostettujen kenttien mukaisesti.

Kuva 10 – Käytä isäntäasiakasta liittääksesi ESXi Active Directoryyn

Voit poistua verkkotunnuksesta milloin tahansa napsauttamalla Poistu verkkotunnuksesta -vaihtoehtoa.

Käyttämällä ESXi-komentoriviä

ESXi:n myöhemmät versiot sisältävät domainjoin-cli cmdlet-komentopaketin likewise-open-paketista, joka sisältyy myös moniin Linux-distroihin.

ESXi 6.5:ssä komento suoritetaan hakemistosta /usr/lib/likewise/bin. Jos et ole ottanut käyttöön aiemmin mainittua AD-palomuurisääntöä, sinun on väliaikaisesti purettava ESXi-palomuuri – olettaen, että se on käytössä – jotta tämä toimisi. Jos tämä ei onnistu, saat virheilmoituksen Error: NERR_DCNotFound [code 0x00000995].

cmdlet-syntaksi on tämä: domainjoin-cli joinadministrator salasana. Voit jättää salasanan pois ja kirjoittaa sen sijaan. Kuva 11 näyttää, kuinka ensimmäinen liittymisyritys epäonnistui palomuurin takia, kun taas toinen yritys onnistui, kun palomuuri oli tilapäisesti poistettu käytöstä.

Kuva 11 – ESXin liittäminen AD:hen domainjoin-cli:n avulla

Kuten kuvasta 12, voit suorittaa domainjoin-cli kyselyn varmistaaksesi, että DC on tavoitettavissa.

Kuva 12 – Domainjoin-cli-kyselyn suorittaminen oikean AD-toiminnallisuuden tarkistamiseksi

Asioiden AD-puolella sinun pitäisi nähdä uusi ESXi:lle luotu tietokonetili Tietokoneet-kohdassa.

Kuva 13 – ESXi:n tietokonetili luodaan AD:ssa verkkotunnukseen liittymisen yhteydessä

Testauksen aika!

Kertakirjautuminen Windows-tunnistetiedoilla

Paksu (C#) vSphere-asiakas antaa sinulle mahdollisuuden kirjautua sisään tällä hetkellä kirjautuneella Windows-käyttäjällä, jos olet samassa toimialueella kuin ESXi. Valitettavasti sulautettu ESXi-isäntäasiakas ei tarjoa samoja toimintoja, ainakaan toistaiseksi. Julkaisin varmuuden vuoksi kommentin, ja yksi isäntäasiakasprojektin parissa työskentelevistä VMware-kehittäjistä tulee varmasti takaisin muutaman minuutin sisällä. Pähkinänkuoressa vahvistettiin, että VMware on "tietoinen aukosta ja tarkastelee parhaillaan, kuinka priorisoida ja saada se käyttöön". Peukut pystyssä, tämä ominaisuus tulee pian lähelläsi olevalle isännälle!

Seuraavaksi on video, joka näyttää SSO:n toiminnassa, kun käytetään vanhaa vSphere-asiakasta. Lisäksi näytän myös missä ESXi:stä liitetään ja poistetaan AD-verkkoalue.

Lupien myöntäminen vSphere-objekteille

Koska ESXi on nyt AD-resurssi, sille ja sen sisältämille vSphere-objekteille voidaan määrittää käyttöoikeuksia AD-suojausperiaatteiden avulla. Tässä seuraavassa videossa esittelen, kuinka voit myöntää järjestelmänvalvojan käyttöoikeudet yksittäisessä virtuaalikoneessa käyttäjälle nimeltä gojira\jason. Pääsy muihin vSphere-objekteihin tai -näkymiin on estetty.

Sama voidaan tehdä käyttämällä sulautettua isäntäasiakasta. Varoitus tässä on, että sinun on kirjoitettava nimenomaisesti AD-käyttäjätili tai -ryhmä, koska asiakas ei paljasta AD-resursseja, toisin kuin paksu asiakas, joka luettelee ne avattavassa ikkunassa. Tämä on jotain muuta, jota VMwaren kehitystiimi parhaillaan tutkii ja toteuttaa, jos mahdollista.

Kuva 14 – Käyttöoikeuksien myöntäminen AD-suojausperiaatteita käyttäen sulautetun ESXi-isäntäasiakkaan kautta

Johtopäätös

Tämä päättelee tämän päivän. Kuten olemme nähneet, ESXin liittämisellä Active Directoryyn on useita etuja. Se helpottaa käyttäjien hallintaa ja parantaa samalla turvallisuutta kaikkialla. Tulevassa postauksessa käyn läpi samanlaisen menettelyn tällä kertaa vCenter-palvelimelle.

[the_ad id=”4738″][the_ad id=”4796″]


PREV: Isännöi useita sivustoja yhdellä palvelimella Apache | Liquid Web

NEXT: Let's Encryptin määrittäminen useille Apache-virtuaaliisännille ...

Popular Articles

Hot Articles

Navigation Lists

Back to Top