Para configurar o serviço Directories Management para fornecer autenticação Kerberos, você deve ingressar no domínio e habilitar a autenticação Kerberos no conector Directories Management.

Pré-requisitos

  • Implante um NSX Edge no seu VCenter e configure um balanceador de carga do NSX. Consulte Balanceamento de carga do vRealize Automation para obter informações sobre como configurar um balanceador de carga.

  • Associe seu domínio ao tenant mestre. Você deve fazer isso antes de criar conexões de diretório em tenants separados.
    1. Faça login no tenant padrão como administrator@vsphere.local.
    2. Crie um usuário local TestUser e insira TestUser como administrador de tenant.
    3. Selecione Administração > Gerenciamento de Diretórios > Conectores.
    4. Selecione Ingressar no Domínio em cada conector do dispositivo.
    5. Em Ingressar no Domínio. Selecione Domínio Personalizado e insira o domínio ao qual deseja que o tenant se conecte junto com as credenciais e OU a se conectar.
  • Configure as conexões do diretório para tenants padrão e para tenants não padrão. A autenticação Kerberos funciona com a autenticação Integrada do Windows e com o Active Directory sobre LDAP. Consulte Configurar um Active Directory sobre um Link LDAP/IWA e Configurar uma conexão OpenLDAP Directory.
  • Certifique-se de que o nome do host do nó vRealize Automation corresponda ao domínio do Active Directory que está ingressando. Por exemplo, se o vRealize Automation estiver ingressando em um território do Active Directory chamado COMPANY.COM, o nome do host deverá ser node.company.com.
  • Configure um provedor de identidade do espaço de trabalho. Verifique se todos os nós na sua implantação estão registrados no seu provedor de identidade do espaço de trabalho e se o nome do balanceador de carga está definido.
    1. Selecione Administração > Gerenciamento de Diretórios > Provedores de Identidade.
    2. Selecione o link do Provedor de Identidade apropriado.

      Por exemplo, WorkspaceIDP_1.

    3. Clique no link do Provedor de Identidade e encontre o nome do host IdP configurado. Registre o nome do host conforme necessário ao configurar os navegadores da Web.
    4. Registre todos os nós aplicáveis no IdP do espaço de trabalho e insira o FQDN do balanceador de carga para o nome do host.
    5. Clique em Salvar.
  • Configure o diretório do tenant para o tenant padrão. Consulte ../com.vmware.vra.install.upgrade.doc/GUID-6B4540C3-89BA-42B3-B4EB-3859BF1F17EE.html.

Procedimento

  1. Como um administrador de tenant, navegue por Administração > Gerenciamento de Diretórios > Conectores.
  2. Na página Conectores, para o conector que está sendo configurado para autenticação Kerberos, clique em Ingressar no domínio.
  3. Na página Ingressar no domínio, digite as informações do domínio do Active Directory.
    Opção Descrição

    Domínio

    Digite o nome do domínio totalmente qualificado do Active Directory. O nome de domínio digitado deve ser o mesmo domínio do Windows que o do servidor de conector.

    Usuário do domínio

    Digite o nome de usuário de uma conta no Active Directory que tem permissões para ingressar sistemas nesse domínio do Active Directory.

    Senha do domínio

    Digite a senha associada ao nome de usuário do Active Directory. Esta senha não é armazenada por Directories Management

    .
    Clique em Salvar.
    A página Ingressar no domínio é atualizada e exibe uma mensagem informando que você ingressou no domínio.
  4. Na coluna Trabalhador do conector, clique em Adaptadores de autenticação.
  5. Clique em KerberosIdpAdapter
    Você é redirecionado para a página de login do Identity Manager.
  6. Clique em Editar na linha KerberosldpAdapter e configure a página de autenticação Kerberos.
    Opção Descrição

    Nome

    O nome é obrigatório O nome padrão é KerberosIdpAdapter. Você pode alterar isso.

    Atributo de UID de diretório

    Digite o atributo de conta que contém o nome de usuário.

    Habilitar Autenticação do Windows

    Selecione essa opção para estender as interações de autenticação entre navegadores dos usuários e Directories Management.

    Habilitar NTLM

    Selecione essa opção para ativar a autenticação com base em protocolo NT LAN Manager (NTLM) apenas se a sua infraestrutura do Active Directory depender da autenticação NTLM.

    Habilitar redirecionamento

    Selecione essa opção se o DNS de round-robin e os balanceadores de carga não tiverem suporte para Kerberos. As solicitações de autenticação são redirecionadas para o nome de host de redirecionamento. Se essa opção for selecionada, digite o nome do host de redirecionamento na caixa de texto Nome de host de redirecionamento. Normalmente, é o nome do host do serviço.

  7. Clique em Salvar.
  8. Configure a autenticação Kerberos em todos os nós aplicáveis.
    1. Selecione Administração > Gerenciamento de Diretórios > Conectores.
      Esta página mostra os conectores configurados atualmente. Por padrão, somente a autenticação de senha é configurada.
    2. Clique no hiperlink de trabalhador associado ao primeiro Appliance do vRealize Automation.
    3. Clique no link do KerberosIdpAdapter para abrir a página de autenticação.
      Talvez você precise inserir sua senha e reiniciar o link do KerberosIdpAdapter.
    4. Forneça o atributo de UID do Diretório e insira o valor padrão sAMAAccountName.
    5. Marque as caixas de seleção Habilitar Autenticação do Windows e Habilitar Redirecionamento.
    6. Deixe NTLM desmarcado, pois ele é necessário apenas para controladores de domínio mais antigos.
    7. Insira o nome do dispositivo VA1 para o Nome do host do Redirecionamento.
    8. Clique em Salvar.
  9. Configure uma política de acesso padrão. A configuração do Kerberos requer três políticas de acesso: Kerberos, senha e senha local.
    1. Selecione Administração > Gerenciamento de Diretórios > Políticas.
    2. Selecione default_access_policy_set.
    3. Clique na Senha do valor de hiperlink no título Métodos de Autenticação na linha do navegador da Web.
    4. Clique nos ícones de + verdes para criar novos métodos de autenticação para Kerberos, senha e Senha (diretório local).
    5. Para cada método de autenticação, selecione ALL RANGES como o intervalo de rede dos usuários e Navegador da Web como o método de acesso ao conteúdo do usuário.
    6. Altere o primeiro método de autenticação para Kerberos e defina o método de failback como senha.
    7. Clique em Salvar e em OK.