Você pode configurar o ESXi para usar um serviço de diretório, como Active Directory, para gerenciar usuários.

A criação de contas de usuários locais em cada host apresenta desafios com a necessidade de sincronizar nomes de contas e senhas em vários hosts. Associe hosts ESXi a um domínio Active Directory para eliminar a necessidade de criar e manter contas de usuários locais. O uso de Active Directory para autenticação do usuário simplifica a configuração do host ESXi e reduz o risco de problemas de configuração que podem levar a acesso não autorizado.

Quando você usa Active Directory, os usuários fornecem suas credenciais Active Directory e o nome de domínio do servidor Active Directory ao adicionar um host a um domínio.

Configurar um host ESXi a ser usado Active Directory

Você pode configurar um host ESXi para usar um serviço de diretório, como Active Directory, para gerenciar usuários e grupos.

Quando você adiciona um host ESXi a Active Directory, o grupo de DOMÍNIO ESXAdministradores recebe acesso administrativo total ao host, se ele existir. Se você não quiser disponibilizar o acesso administrativo completo, consulte o VMware artigo da Base de conhecimento 1025569 para obter uma solução alternativa.

Se um host for provisionado com o Auto Deploy, as credenciais Active Directory não poderão ser armazenadas nos hosts. Você pode usar o vSphere Authentication Proxy para ingressar o host em um domínio Active Directory. Como existe uma cadeia de confiança entre o vSphere Authentication Proxy e o host, o Proxy de Autenticação pode ingressar o host no domínio Active Directory. Consulte Usando vSphere Authentication Proxy.

Observação: Ao definir as configurações da conta de usuário em Active Directory, você pode limitar os computadores nos quais um usuário pode fazer login pelo nome do computador. Por padrão, nenhuma restrição equivalente é definida em uma conta de usuário. Se você definir essa limitação, as solicitações de Associação LDAP para a conta de usuário falharão com a mensagem A vinculação LDAP não foi bem-sucedida, mesmo se a solicitação for de um computador listado. Você pode evitar esse problema adicionando o nome netBIOS para o servidor Active Directory à lista de computadores nos quais a conta de usuário pode fazer login.

Pré-requisitos

  • Verifique se você tem um domínio Active Directory. Consulte a documentação do servidor de diretório.
  • Verifique se o nome do host de ESXi está totalmente qualificado com o nome de domínio da floresta Active Directory.

    nome de domínio totalmente qualificado = host_name.domain_name

Procedimento

  1. Sincronize o tempo entre ESXi e o sistema do serviço de diretório.
    Consulte Sincronizar ESXi relógios com um servidor de horário de rede ou a Base de Conhecimento VMware para obter informações sobre como sincronizar a hora ESXi com um Controlador de Domínio Microsoft.
  2. Certifique-se de que os servidores DNS que você configurou para o host possam resolver os nomes de host para os controladores Active Directory.
    1. Procure o host no inventário vSphere Client.
    2. Clique em Configurar (Configure).
    3. Em Rede, clique em Configuração TCP/IP (TCP/IP configuration).
    4. Em Pilha TCP/IP: Padrão, clique em DNS e verifique se o nome do host e as informações do servidor DNS para o host estão corretos.

O que Fazer Depois

Ingresse o host em um domínio de serviço de diretório. Consulte Adicionar um host ESXi a um domínio de serviço de diretório. Para hosts provisionados com o Auto Deploy, configure o vSphere Authentication Proxy. Consulte Usando vSphere Authentication Proxy. Você pode configurar permissões para que usuários e grupos do domínio Active Directory associado possam acessar os componentes vCenter Server. Para obter informações sobre como gerenciar permissões, consulte Adicionar uma permissão a um objeto de inventário.

Adicionar um host ESXi a um domínio de serviço de diretório

Para que seu host ESXi use um serviço de diretório, você deve associar o host ao domínio do serviço de diretório.

Você pode inserir o nome de domínio de duas maneiras:

  • name.tld (por exemplo, domain.com): a conta é criada no contêiner padrão.
  • name.tld/container/path (por exemplo, domain.com/OU1/OU2): a conta é criada em uma determinada unidade organizacional (UO).

Para usar o serviço vSphere Authentication Proxy, consulte Usando vSphere Authentication Proxy.

Procedimento

  1. Procure um host no inventário vSphere Client.
  2. Clique em Configurar (Configure).
  3. Em Sistema, selecione Serviços de autenticação (Authentication Services).
  4. Clique em Ingressar no domínio (Join Domain).
  5. Digite um domínio.

    Use o formulário name.tld ou name.tld/container/path.

  6. Digite o nome de usuário e a senha de um usuário do serviço de diretório que tenha permissões para ingressar o host no domínio e clique em OK.
  7. (Opcional) Se você pretender usar um proxy de autenticação, digite o endereço IP do servidor proxy.
  8. Clique em OK para fechar a caixa de diálogo Configuração dos Serviços de Diretório.

O que Fazer Depois

Você pode configurar permissões para que usuários e grupos do domínio Active Directory associado possam acessar os componentes vCenter Server. Para obter informações sobre como gerenciar permissões, consulte Adicionar uma permissão a um objeto de inventário.

Exibir as configurações do serviço de diretório para um host ESXi

Você pode visualizar o tipo de servidor de diretório, se houver, que o host ESXi usa para autenticar usuários e as configurações do servidor de diretório.

Procedimento

  1. Procure o host no inventário vSphere Client.
  2. Clique em Configurar (Configure).
  3. Em Sistema, selecione Serviços de autenticação (Authentication Services).
    A página Serviços de Autenticação exibe as configurações do serviço de diretório e do domínio.

O que Fazer Depois

Você pode configurar permissões para que usuários e grupos do domínio Active Directory associado possam acessar os componentes vCenter Server. Para obter informações sobre como gerenciar permissões, consulte Adicionar uma permissão a um objeto de inventário.