Wenn Sie sich mit dem VMware Host Client bei einem ESXi-Host anmelden, können Sie überprüfen, ob Active Directory und Smartcard-Authentifizierung aktiviert sind. Des Weiteren können Sie den Host mit einer Verzeichnisdienst-Domäne verknüpfen.

Verbinden eines ESXi-Hosts mit einer Verzeichnisdienst-Domäne mit dem VMware Host Client

Für die Verwendung eines Verzeichnisdienstes müssen Sie den Host mit der Verzeichnisdienst-Domäne verbinden.

Sie können den Domänennamen auf zwei Arten eingeben:

  • name.tld (Beispiel: domain.com): Das Konto wird unter dem Standardcontainer erstellt.
  • name.tld/container/path (Beispiel: domain.com/OU1/OU2): Das Konto wird unter der angegebenen Organisationseinheit (Organizational Unit, OU) erstellt.

Informationen zur Verwendung des vSphere Authentication Proxy-Diensts finden Sie unter vSphere-Sicherheit.

Prozedur

  1. Klicken Sie in der VMware Host Client-Bestandsliste auf Verwalten und anschließend auf Sicherheit und Benutzer.
  2. Klicken Sie auf Authentifizierung und anschließend auf Domäne beitreten.
  3. Geben Sie einen Domänennamen ein.

    Verwenden Sie das Fomular name.tld oder name.tld/container/path.

  4. Geben Sie den Benutzernamen und das Kennwort eines Verzeichnisdienst-Benutzerkontos ein, das über die Berechtigung verfügt, den Host mit der Domäne zu verbinden, und klicken Sie auf Domäne beitreten.
  5. (Optional) Wenn Sie einen Authentifizierungs-Proxy verwenden möchten, geben Sie die IP-Adresse des Proxy-Servers ein und klicken Sie auf Domäne beitreten.

Verwenden von Active Directory zum Verwalten von ESXi-Benutzern

Sie können ESXi so konfigurieren, dass es einen Verzeichnisdienst, wie z. B. Active Directory, zur Benutzerverwaltung verwendet.

Das Erstellen von lokalen Benutzerkonten auf jedem Host stellt Herausforderungen beim Synchronisieren von Kontonamen und Kennwörtern über mehrere Hosts hinweg dar. Weisen Sie ESXi-Hosts eine Active Directory-Domäne zu, damit Sie lokale Benutzerkonten weder erstellen noch pflegen müssen. Durch die Verwendung von Active Directory für die Authentifizierung von Benutzern wird die Konfiguration des ESXi-Hosts vereinfacht und das Risiko von Konfigurationsproblemen, die einen unbefugten Zugriff ermöglichen, reduziert.

Wenn Sie Active Directory verwenden, geben Benutzer beim Hinzufügen eines Hosts zu einer Domäne die Active Directory-Anmeldedaten und den Domänennamen des Active Directory-Servers an.

Verwenden des vSphere Authentication Proxy

Statt Hosts explizit zur Active Directory-Domäne hinzuzufügen, können Sie mithilfe von vSphere Authentication Proxy ESXi-Hosts zu einer Active Directory-Domäne hinzufügen.

Sie müssen den Host nur so einrichten, dass er den Domänennamen des Active Directory-Servers und die IP-Adresse von vSphere Authentication Proxy kennt. Wenn vSphere Authentication Proxy aktiviert ist, werden Hosts, die mit Auto Deploy bereitgestellt werden, automatisch zur Active Directory-Domäne hinzugefügt. Sie können vSphere Authentication Proxy auch mit Hosts verwenden, die nicht mithilfe von Auto Deploy bereitgestellt werden.

In der Dokumentation vSphere-Sicherheit wird beschrieben, wie Sie vSphere Authentication Proxy aktivieren und welche vCenter Server-Ports für vSphere Authentication Proxy erforderlich sind.

Auto Deploy
Wenn Sie Hosts mithilfe von Auto Deploy bereitstellen, können Sie einen Referenzhost einrichten, der auf Authentication Proxy verweist. Sie richten dann eine Regel ein, die das Profil des Referenzhosts auf jeden mithilfe von Auto Deploy bereitgestellten ESXi-Host anwendet. vSphere Authentication Proxy speichert in der Zugriffssteuerungsliste (Access Control List, ACL) die IP-Adressen aller Hosts, die Auto Deploy mithilfe von PXE bereitstellt. Wenn der Host gestartet wird, kontaktiert er vSphere Authentication Proxy, und vSphere Authentication Proxy sorgt dafür, dass diese Hosts, die bereits in der ACL aufgeführt werden, der Active Directory-Domäne beitreten.
Auch dann, wenn Sie vSphere Authentication Proxy in einer Umgebung verwenden, die von VMCA bereitgestellten Zertifikate oder Zertifikate von Drittanbietern verwendet, funktioniert der Prozess nahtlos, wenn Sie die Anweisungen für die Verwendung von benutzerdefinierten Zertifikaten mit Auto Deploy befolgen.
Andere ESXi-Hosts
Sie können andere Hosts für die Verwendung von vSphere Authentication Proxy einrichten, wenn Sie möchten, dass der Host der Domäne ohne Verwendung der Active Directory-Anmeldedaten beitreten kann. Dies bedeutet, dass Sie keine Active Directory-Anmeldeinformationen an den Host übertragen und sie nicht im Hostprofil speichern müssen.
In diesem Fall fügen Sie die IP-Adresse des Hosts zur ACL von vSphere Authentication Proxy hinzu und vSphere Authentication Proxy autorisiert den Host standardmäßig anhand dessen IP-Adresse. Sie können die Clientauthentifizierung so konfigurieren, dass vSphere Authentication Proxy das Zertifikat des Hosts überprüft.
Hinweis: Sie können vSphere Authentication Proxy nicht in einer Umgebung verwenden, die nur IPv6 unterstützt.