Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Na Azure VMware Solution, o VMware vCenter Server tem uma conta de utilizador local integrada chamada CloudAdmin que está atribuída ao papel de CloudAdmin. Pode configurar utilizadores e grupos no Windows Server Active Directory com a função CloudAdmin para a sua nuvem privada. Em geral, o papel de AdminCloud cria e gere cargas de trabalho na sua nuvem privada. Mas na solução Azure VMware, o papel CloudAdmin tem privilégios no vCenter Server que são diferentes de outras soluções de nuvem VMware e implementações no local.
Importante
A conta de utilizador local CloudAdmin deve ser usada como uma conta de acesso de emergência para cenários de "quebra de vidro" na sua nuvem privada. Não se destina a ser utilizado para atividades administrativas diárias ou para integração com outros serviços.
Numa configuração local do vCenter Server e ESXi, o administrador tem acesso à conta do vCenter Server administrator@vsphere.local e à conta root do ESXi. O administrador também pode ser atribuído a mais utilizadores e grupos do Windows Server Active Directory.
Numa implementação da Solução VMware no Azure, o administrador não tem acesso à conta de utilizador Administrador ou à conta root do ESXi. No entanto, o administrador pode atribuir aos utilizadores e grupos do Windows Server Active Directory o papel de CloudAdmin no vCenter Server. A função CloudAdmin não tem permissões para adicionar uma fonte de identidade como um servidor Lightweight Directory Access Protocol (LDAP) ou Secure LDAP (LDAPS) no local ao vCenter Server. No entanto, pode utilizar comandos Run para adicionar uma fonte de identidade e atribuir a função CloudAdmin a utilizadores e grupos.
Uma conta de utilizador numa nuvem privada não pode aceder ou gerir componentes específicos de gestão que a Microsoft suporta e gere. Exemplos incluem clusters, hospedeiros, datastores e switches virtuais distribuídos.
Nota
Na Solução VMware do Azure, o domínio de logon único (SSO) vsphere.local é fornecido como um recurso gerenciado para dar suporte a operações de plataforma. Não pode usá-lo para criar ou gerir grupos locais e utilizadores, exceto os que são fornecidos por defeito com a sua nuvem privada.
Pode configurar o vCenter Server para usar um serviço de diretório externo Lightweight Directory Access Protocol (LDAP) para autenticar utilizadores. Um utilizador pode autenticar-se usando as credenciais da conta do Windows Server Active Directory ou credenciais de um servidor LDAP de terceiros. Em seguida, a conta pode ser atribuída a um papel do vCenter Server, como em um ambiente local, para fornecer acesso baseado em papéis para usuários do vCenter Server.
Neste artigo, você aprenderá a:
- Exportar um certificado para a autenticação LDAPS. (Optional)
- Carregue o certificado LDAPS para o armazenamento de blob e gere um URL de assinatura de acesso compartilhado (SAS). (Optional)
- Configure o DNS do NSX para a resolução no domínio do Active Directory do Windows Server.
- Adicionar Active Directory do Windows Server usando LDAPS (seguro) ou LDAP (não seguro).
- Adicione um grupo existente do Ative Directory do Windows Server ao grupo CloudAdmin.
- Liste todas as fontes de identidade externas existentes que são integradas ao vCenter Server SSO.
- Atribuir funções adicionais do vCenter Server a identidades do Active Directory do Windows Server.
- Remova um grupo do Ative Directory do Windows Server da função CloudAdmin.
- Remova todas as fontes de identidade externas existentes.
Nota
Os passos para exportar o certificado para autenticação LDAPS e carregar o certificado LDAPS no armazenamento de blob e gerar um URL SAS são opcionais. Se o parâmetro
SSLCertificatesSasUrlnão for fornecido, o certificado é automaticamente transferido do controlador de domínio através dos parâmetrosPrimaryUrlouSecondaryUrl. Para exportar e carregar manualmente o certificado, você pode fornecer oSSLCertificatesSasUrlparâmetro e concluir as etapas opcionais.Execute comandos um de cada vez na ordem descrita no artigo.
Prerequisites
Certifique-se de que a sua rede Windows Server Active Directory está conectada à sua cloud privada do Azure VMware Solution.
Autenticação do Ative Directory do Windows Server com LDAPS, consulte Configurar LDAPS na Solução VMware do Azure.
Configure a resolução de DNS para a Azure VMware Solution no Active Directory do Windows Server local. Configure um reencaminhador DNS no portal do Azure. Para mais informações, consulte Configurar um encaminhador de DNS para a Solução VMware do Azure.
Nota
Para mais informações sobre LDAPS e emissão de certificados, entre em contato com a equipe de segurança ou com a equipe de gestão de identidade.
Exporte o certificado para autenticação LDAPS (Opcional)
Primeiro, verifique se o certificado utilizado para LDAPS é válido. Se não tiver um certificado, complete os passos para criar um certificado para LDAPS antes de continuar.
Para verificar se o certificado é válido:
Inicie sessão num controlador de domínio no qual LDAPS está ativo, utilizando permissões de administrador.
Abra a ferramenta Correr, introduza mmc e, em seguida, selecione OK.
Selecione Ficheiro>Adicionar/Remover Snap-in.
Na lista de snap-ins, selecione Certificados e, em seguida, selecione Adicionar.
No painel do suplemento Certificados, selecione Conta de computador, e depois selecione Seguinte.
Mantenha Computador local selecionado, selecione Concluir e, em seguida, selecione OK.
No console de gestão de Certificados (Computador Local), expanda a pasta Pessoal e selecione a pasta Certificados para ver os certificados instalados.
Faça duplo clique no certificado para LDAPS. Certifique-se de que as datas do certificado Válido de e Válido até estão atuais e de que o certificado possui uma chave privada que corresponde ao certificado.
Na mesma janela, selecione o separador Caminho de Certificação e verifique se o valor para caminho de certificação é válido. Deve incluir a cadeia de certificados da CA raiz e certificados intermediários opcionais. Verifique se o estado do certificado está OK.
Selecione OK.
Para exportar o certificado:
- Na consola de Certificados, clique com o botão direito no certificado LDAPS e selecione Todas as Tarefas>Exportar. O Assistente de Exportação de Certificados abre. Selecione Avançar.
- Na secção Exportar Chave Privada, selecione Não, não exportar a chave privada e, em seguida, selecione Seguinte.
- Na secção Formato de Ficheiro de Exportação, selecione Base-64 codificado X.509(.CER), e depois selecione Seguinte.
- Na secção Ficheiro a Exportar, selecione Procurar. Selecione um local de pasta para exportar o certificado e insira um nome. Em seguida, selecione Salvar.
Nota
Se mais de um controlador de domínio estiver configurado para usar LDAPS, repita o procedimento de exportação para cada controlador de domínio adicional para exportar os respetivos certificados. Note que só pode referenciar apenas dois servidores LDAPS na ferramenta Executar. Se o certificado for um certificado curinga, como .avsdemo.net, exporte o certificado de apenas um dos controladores de domínio.
Carregue o certificado LDAPS para o armazenamento blob e gere um URL SAS (Opcional)
Em seguida, carregue o ficheiro de certificado (no formato .cer) que exportou para uma conta de Armazenamento do Azure como armazenamento de blobs. Em seguida, conceda acesso aos recursos do Azure Storage utilizando um SAS.
Se precisar de vários certificados, carregue cada um individualmente e gere um URL SAS para cada certificado.
Importante
Lembre-se de copiar todos os URLs SAS. As sequências não estão acessíveis depois de sair da página.
Tip
Um método alternativo para consolidar certificados envolve armazenar todas as cadeias de certificados num único ficheiro, conforme detalhado num artigo da base de conhecimento da VMware. Em seguida, gere um único URL SAS para o arquivo que contém todos os certificados.
Configurar DNS NSX-T para resolução de domínio no Windows Server Active Directory
Crie uma zona DNS e adicione-a ao serviço DNS. Complete os passos em Configurar um encaminhador DNS no portal do Azure.
Após concluir estes passos, verifique se o seu serviço DNS inclui a sua zona DNS.
A sua nuvem privada do Azure VMware Solution deve agora resolver adequadamente o nome de domínio do Windows Server Active Directory no local.
Adicione o Windows Server Active Directory utilizando LDAP através de SSL
Para adicionar o Windows Server Active Directory através de LDAP com SSL como uma fonte de identidade externa para usar com SSO no vCenter Server, execute o cmdlet New-LDAPSIdentitySource.
Vá para a nuvem privada da Solução VMware do Azure e selecione Executar comando>Pacotes>Microsoft.AVS.Identity>New-LDAPSIdentitySource.
Forneça os valores necessários ou modifique os valores padrão e, em seguida, selecione Run.
Name Descrição GroupName O grupo na fonte externa de identidade que concede acesso ao CloudAdmin. Por exemplo, avs-admins. SSLCertificatesSasUrl O caminho para as cadeias de SAS que contêm os certificados para autenticação na fonte do Active Directory do Windows Server. Separe múltiplos certificados com uma vírgula. Por exemplo, pathtocert1,pathtocert2. Credential O nome de utilizador de domínio e a palavra-passe para a autenticação com a fonte Windows Server Active Directory (não CloudAdmin). Utilize o formato <username@avslab.local>.BaseDNGroups O local para procurar grupos. Por exemplo, CN=group1, DC=avsldap,DC=local. É necessário um Base DN para a autenticação LDAP. BaseDNUsers O local para procurar utilizadores válidos. Por exemplo, CN=users,DC=avsldap,DC=local. É necessário um Base DN para a autenticação LDAP. PrimaryUrl O URL principal da fonte externa de identidade. Por exemplo, ldaps://yourserver.avslab.local:636.SecondaryURL O URL de recuo secundário se o primário falhar. Por exemplo, ldaps://yourbackupldapserver.avslab.local:636.DomainAlias Para as fontes de identidade do Active Directory do Windows Server, o nome NetBIOS do domínio. Adicione o nome NetBIOS do domínio do Windows Server Active Directory como um alias da fonte de identidade, tipicamente no formato avsldap\. DomainName O nome de domínio totalmente qualificado (FQDN) do domínio. Por exemplo, avslab.local. Name Um nome para a fonte de identidade externa. Por exemplo, avslab.local. Reter até O período de retenção da saída do cmdlet. O valor padrão é de 60 dias. Especificar nome para execução Um nome alfanumérico. Por exemplo, addExternalIdentity. Timeout O período após o qual um cmdlet é encerrado se não tiver terminado a execução. Para monitorizar o progresso e confirmar a conclusão bem-sucedida, verifique as Notificações ou o painel de Estado de Execução.
Importante
Se o comando Run New-LDAPSIdentitySource falhar, utilize o comando Run Debug-LDAPSIdentitySources para resolver o problema.
Adicione o Windows Server Active Directory usando LDAP
Nota
Recomendamos que utilize o método para adicionar o Active Directory do Windows Server através do LDAP utilizando SSL.
Para adicionar o Active Directory do Windows Server via LDAP como uma fonte de identidade externa para utilizar com SSO no vCenter Server, execute o cmdlet New-LDAPIdentitySource.
Selecione Comando Executar>Pacotes>Microsoft.AVS.Identity>New-LDAPIdentitySource.
Forneça os valores necessários ou modifique os valores padrão e, em seguida, selecione Run.
Name Descrição Name Um nome para a fonte de identidade externa. Por exemplo, avslab.local. Este nome aparece no Servidor vCenter. DomainName O FQDN (Nome de Domínio Completo) do domínio. Por exemplo, avslab.local. DomainAlias Para as fontes de identidade do Active Directory do Windows Server, o nome NetBIOS do domínio. Adicione o nome NetBIOS do domínio do Windows Server Active Directory como um alias da fonte de identidade, tipicamente no formato *avsldap*. PrimaryUrl O URL principal da fonte externa de identidade. Por exemplo, ldap://yourserver.avslab.local:389.SecondaryURL O URL de reserva secundário caso ocorra uma falha primária. BaseDNUsers O local para procurar utilizadores válidos. Por exemplo, CN=users,DC=avslab,DC=local. É necessário um Base DN para a autenticação LDAP. BaseDNGroups O local para procurar grupos. Por exemplo, CN=group1, DC=avslab,DC=local. É necessário um Base DN para a autenticação LDAP. Credential O nome de utilizador de domínio e a palavra-passe para a autenticação com a fonte Windows Server Active Directory (não CloudAdmin). O utilizador deve estar no formato <username@avslab.local>.GroupName O grupo na sua fonte de identidade externa que concede acesso de CloudAdmin. Por exemplo, avs-admins. Reter até O período de retenção para a saída do cmdlet. O valor padrão é de 60 dias. Especificar nome para execução Um nome alfanumérico. Por exemplo, addExternalIdentity. Timeout O período após o qual um cmdlet é encerrado se não tiver terminado a execução. Para monitorizar o progresso, verifique Notificações ou o painel Status de Execução.
Adicione um grupo existente do Active Directory do Windows Server a um grupo CloudAdmin
Importante
Grupos aninhados não são suportados. A utilização de um grupo aninhado pode causar a perda de acesso.
Utilizadores num grupo CloudAdmin têm direitos de utilizador que são iguais à função CloudAdmin (<cloudadmin@vsphere.local>) definida em vCenter Server SSO. Para adicionar um grupo existente do Ative Directory do Windows Server a um grupo do CloudAdmin, execute o cmdlet Add-GroupToCloudAdmins.
Selecione Executar comando>Pacotes>Microsoft.AVS.Identity>Add-GroupToCloudAdmins.
Introduza ou selecione os valores necessários e, em seguida, selecione Executar.
Name Descrição GroupName O nome do grupo a adicionar. Por exemplo, VcAdminGroup. Reter até O período de retenção da saída do cmdlet. O valor padrão é de 60 dias. Especificar nome para execução Um nome alfanumérico. Por exemplo, addADgroup. Timeout O período após o qual um cmdlet é encerrado se não tiver terminado a execução. Verifique as Notificações ou o painel de Status de Execução para ver o progresso.
Listar fontes externas de identidade
Para listar todas as fontes de identidade externas que já estão integradas ao vCenter Server SSO, execute o cmdlet Get-ExternalIdentitySources.
Inicie sessão no portal Azure.
Nota
Se precisar de acesso ao portal Azure para o Governo dos EUA, vá para
<https://portal.azure.us/>.Selecione Executar comando>pacotes>Microsoft.AVS.Identity>Get-ExternalIdentitySources.
Introduza ou selecione os valores necessários e, em seguida, selecione Executar.
Name Descrição Reter até O período de retenção da saída do cmdlet. O valor padrão é de 60 dias. Especificar nome para execução Um nome alfanumérico. Por exemplo, getExternalIdentity. Timeout O período após o qual um cmdlet é encerrado se não tiver terminado a execução. Para ver o progresso, verifique Notificações ou o painel Status de Execução.
Atribuir mais funções do vCenter Server às identidades do Active Directory do Windows Server
Após adicionar uma identidade externa via LDAP ou LDAPS, pode atribuir funções do vCenter Server aos grupos de segurança do Active Directory do Windows Server com base nos controlos de segurança da sua organização.
Inicie sessão em vCenter Server como CloudAdmin, selecione um item do inventário, selecione o menu Ações e, em seguida, selecione Adicionar Permissão.
Na caixa de diálogo Adicionar Permissão :
- Domínio: Selecionar a instância previamente adicionada do Windows Server Active Directory.
- Utilizador/Grupo: Insira o nome do utilizador ou do grupo, procure por ele e, em seguida, selecione-o.
- Função: Selecione a função a atribuir.
- Propagar para filhos: Opcionalmente, selecione a caixa de verificação para propagar permissões para recursos filhos.
Selecione o separador Permissões para verificar se a atribuição de permissões foi adicionada.
Os utilizadores agora podem iniciar sessão no vCenter Server usando as suas credenciais do Active Directory do Windows Server.
Remover um grupo do Active Directory do Windows Server da função CloudAdmin
Para remover um grupo específico do Active Directory do Windows Server do papel CloudAdmin, execute o cmdlet Remove-GroupFromCloudAdmins.
Selecione Executar comando>Pacotes>Microsoft.AVS.Identity>Remove-GroupFromCloudAdmins.
Introduza ou selecione os valores necessários e, em seguida, selecione Executar.
Name Descrição GroupName O nome do grupo a ser removido. Por exemplo, VcAdminGroup. Reter até O período de retenção da saída do cmdlet. O valor padrão é de 60 dias. Especificar nome para execução Um nome alfanumérico. Por exemplo, removeADgroup. Timeout O período após o qual um cmdlet é encerrado se não tiver terminado a execução. Para ver o progresso, verifique Notificações ou o painel Status de Execução.
Remover todas as fontes de identidade externas existentes
Para remover todas as fontes de identidade externa existentes de uma só vez, execute o cmdlet Remove-ExternalIdentitySources.
Selecione Executar comando>Pacotes>Microsoft.AVS.Identity>Remove-ExternalIdentitySources.
Insira ou selecione os valores necessários e, em seguida, selecione Executar:
Name Descrição Reter até O período de retenção da saída do cmdlet. O valor padrão é de 60 dias. Especificar nome para execução Um nome alfanumérico. Por exemplo, remove_ExternalIdentity. Timeout O período após o qual um cmdlet é encerrado se não tiver terminado a execução. Para ver o progresso, verifique Notificações ou o painel Status de Execução.
Alterar o nome de utilizador ou a palavra-passe de uma conta existente de uma fonte externa de identidade
Altere a palavra-passe da conta utilizada para autenticação com a fonte do Windows Server Active Directory no controlador de domínio.
Selecione Executar comando>Pacotes>Microsoft.AVS.Identity>Update-IdentitySourceCredential.
Introduza ou selecione os valores necessários e, em seguida, selecione Executar.
Name Descrição Credential O nome de utilizador e a palavra-passe de domínio usados para autenticação com a origem do Active Directory do Windows Server (não CloudAdmin). O utilizador deve estar no formato <username@avslab.local>.DomainName O FQDN do domínio. Por exemplo, avslab.local. Para ver o progresso, verifique Notificações ou o painel Status de Execução.
Aviso
Se não fornecer um valor para DomainName, todas as fontes de identidade externa serão removidas. Execute o cmdlet Atualizar-CredencialFonteIdentidade apenas depois de a palavra-passe ser alterada no controlador de domínio.
Renovar certificados existentes para a fonte de identidade LDAPS
Renove os certificados existentes nos seus controladores de domínio.
Opcional: Se os certificados estiverem armazenados nos controladores de domínio padrão, este passo é opcional. Deixe o parâmetro SSLCertificatesSasUrl em branco e os novos certificados serão descarregados dos controladores de domínio predefinidos e atualizados no vCenter automaticamente. Se optar por não usar o modo padrão, exporte o certificado para autenticação LDAPS e carregue o certificado LDAPS para armazenamento em blob e gere um URL SAS. Guarde o URL SAS para o próximo passo.
Selecione Executar comando>Pacotes>Microsoft.AVS.Identity>Update-IdentitySourceCertificates.
Forneça os valores necessários e a nova URL SAS (opcional) e selecione Executar.
Campo Value Nome de Domínio* O FQDN do domínio, por exemplo, avslab.local. SSLCertificatesSasUrl (opcional) Uma lista delimitada por vírgulas de URI de caminho SAS para certificados de autenticação. Certifique-se de que as permissões para leitura estão incluídas. Para gerar, coloque os certificados em qualquer blob da conta de armazenamento e depois clique com o botão direito no certificado e gere SAS. Se o valor deste campo não for fornecido por um utilizador, os certificados serão descarregados dos controladores de domínio predefinidos. Verifique as Notificações ou o painel de Status de Execução para ver o progresso.