Al iniciar sesión en un host ESXi mediante VMware Host Client, puede comprobar si están habilitadas la autenticación de Active Directory y la autenticación de tarjeta inteligente, además de unir el host a un dominio de servicio de directorio.

Unir un host ESXi a un dominio de servicio de directorio mediante VMware Host Client

Si desea utilizar un servicio de directorio para su host, se debe unir el host al dominio del servicio de directorio.

Es posible introducir el nombre de dominio con uno de los dos métodos siguientes:

  • name.tld (por ejemplo, domain.com): la cuenta se crea en el contenedor predeterminado.
  • name.tld/container/path (por ejemplo, domain.com/OU1/OU2): la cuenta se crea en una unidad organizativa (OU) en particular.

Para utilizar el servicio vSphere Authentication Proxy, consulte Seguridad de vSphere.

Procedimiento

  1. Haga clic en Administrar desde el inventario de VMware Host Client y, a continuación, haga clic en Seguridad y usuarios.
  2. Haga clic en Autenticación y, a continuación, en Unirse al dominio.
  3. Introduzca un nombre de dominio.

    Utilice el formulario name.tld o name.tld/container/path.

  4. Introduzca el nombre de usuario y la contraseña de la cuenta de usuario de servicio de directorio que tenga permisos para unir el host al dominio y, a continuación, haga clic en Unirse al dominio.
  5. (opcional) Si desea utilizar un proxy de autenticación, introduzca la dirección IP del servidor proxy y haga clic en Unirse al dominio.

Usar Active Directory para administrar usuarios de ESXi

Se puede configurar ESXi para utilizar un servicio de directorio como Active Directory con el fin de administrar usuarios.

La creación de cuentas de usuarios locales en cada host presenta desafíos para la sincronización de los nombres y las contraseñas de las cuentas en varios hosts. Conecte los hosts ESXi a un dominio de Active Directory para que no sea necesario crear y mantener cuentas de usuarios locales. La utilización de Active Directory para autenticar usuarios simplifica la configuración del host ESXi y reduce el riesgo de que ocurran problemas de configuración que podrían permitir un acceso no autorizado.

Al utilizar Active Directory, los usuarios suministran sus credenciales de Active Directory y el nombre de dominio del servidor de Active Directory cuando se agrega un host a un dominio.

Usar vSphere Authentication Proxy

Se pueden agregar hosts ESXi a un dominio de Active Directory mediante vSphere Authentication Proxy en lugar de agregarlos explícitamente al dominio de Active Directory.

Solo tiene que configurar el host de manera que conozca el nombre de dominio del servidor de Active Directory y la dirección IP de vSphere Authentication Proxy. Cuando vSphere Authentication Proxy está habilitado, automáticamente agrega hosts que se aprovisionan con Auto Deploy al dominio de Active Directory. También puede usar vSphere Authentication Proxy con hosts que no se aprovisionan mediante Auto Deploy.

Consulte la documentación de Seguridad de vSphere para obtener información sobre cómo habilitar vSphere Authentication Proxy y qué puertos de vCenter Server requiere vSphere Authentication Proxy.

Auto Deploy
Si aprovisiona hosts con Auto Deploy, puede configurar un host de referencia que apunte a Authentication Proxy. A continuación, debe configurar una regla que aplique el perfil del host de referencia a cualquier host ESXi que esté aprovisionado con Auto Deploy. vSphere Authentication Proxy almacena las direcciones IP de todos los hosts que Auto Deploy aprovisiona mediante PXE en la lista de control de acceso. Cuando el host arranca, se pone en contacto con vSphere Authentication Proxy, el cual une esos hosts, que ya están en la lista de control de acceso, al dominio de Active Directory.
Incluso si usa vSphere Authentication Proxy en un entorno que utiliza certificados aprovisionados por VMCA o certificados de terceros, el proceso funciona sin problemas si sigue las instrucciones para usar certificados personalizados con Auto Deploy.
Otros hosts ESXi
Se pueden configurar otros hosts para que usen vSphere Authentication Proxy si desea permitir que el host se una al dominio sin usar credenciales de Active Directory. Es decir, no necesita transmitir credenciales de Active Directory al host ni guardar credenciales de Active Directory en el perfil de host.
En ese caso, debe agregar la dirección IP del host a la lista de control de acceso de vSphere Authentication Proxy para que este autorice el host según su dirección IP predeterminada. Puede habilitar la autenticación del cliente para que vSphere Authentication Proxy realice la verificación del certificado del host.
Nota: No se puede utilizar vSphere Authentication Proxy en un entorno compatible solo con IPv6.