Usar Active Directory para administrar usuarios de ESXi

Se puede configurar ESXi para utilizar un servicio de directorio como Active Directory con el fin de administrar usuarios.

La creación de cuentas de usuarios locales en cada host presenta desafíos para la sincronización de los nombres y las contraseñas de las cuentas en varios hosts. Conecte los hosts ESXi a un dominio de Active Directory para que no sea necesario crear y mantener cuentas de usuarios locales. La utilización de Active Directory para autenticar usuarios simplifica la configuración del host ESXi y reduce el riesgo de que ocurran problemas de configuración que podrían permitir un acceso no autorizado.

Al utilizar Active Directory, los usuarios suministran sus credenciales de Active Directory y el nombre de dominio del servidor de Active Directory cuando se agrega un host a un dominio.

Configurar un host ESXi para utilizar Active Directory

Si desea administrar usuarios y grupos, puede configurar un host ESXi para el uso de un servicio de directorio como Active Directory.

Cuando agrega un host ESXi en Active Directory, el grupo DOMAIN ESX Admins recibe acceso administrativo completo al host si este existe. Si no desea que quede disponible el acceso administrativo completo, consulte el artículo 1025569 de la base de conocimientos de VMware para encontrar una solución alternativa.

Si se aprovisiona un host con Auto Deploy, las credenciales de Active Directory no pueden almacenarse en los hosts. Puede usar vSphere Authentication Proxy para unir el host a un dominio de Active Directory. Dado que existe una cadena de confianza entre vSphere Authentication Proxy y el host, Authentication Proxy puede unir el host al dominio de Active Directory. Consulte Usar vSphere Authentication Proxy.

Nota: Al momento de definir la configuración de la cuenta de usuario en Active Directory, es posible definir un límite para los equipos en los que un usuario puede iniciar sesión por el nombre de equipo. De forma predeterminada, no se establecen restricciones similares en una cuenta de usuario. Si se establece dicho límite, las solicitudes de enlaces LDAP de la cuenta de usuario generan errores y muestran el mensaje Error en el enlace LDAP, incluso si la solicitud proviene de un equipo que figura en la lista. Para evitar este problema, agregue el nombre netBIOS en el servidor de Active Directory a la lista de equipos en los cuales se puede iniciar sesión con la cuenta de usuario.

Requisitos previos

Compruebe que tenga un dominio de Active Directory. Consulte la documentación del servidor del directorio.
Compruebe que el nombre de host ESXi esté completo con el nombre de dominio del bosque de Active Directory.
nombre de dominio completo = host_name.domain_name

Procedimiento

Sincronice el tiempo entre ESXi y el sistema de servicio del directorio.
Consulte Sincronización de los relojes de ESXi con un servidor horario de red o la base de conocimientos de VMware para obtener información sobre cómo sincronizar la hora de ESXi con una controladora de dominio de Microsoft.
Asegúrese de que los servidores DNS que configuró en el host puedan resolver los nombres de host en las controladoras de Active Directory.
1. Desplácese hasta el host en el inventario de vSphere Client.
2. Haga clic en Configurar.
3. En Redes, haga clic en Configuración de TCP/IP.
4. En Pila de TCP/IP: Predeterminada, haga clic en DNS y compruebe que el nombre de host y la información del servidor DNS del host sean correctos.

Qué hacer a continuación

Una el host a un dominio de servicio de directorio. Consulte Agregar un host ESXi a un dominio de servicio de directorio. En los hosts que se aprovisionan con Auto Deploy, configure vSphere Authentication Proxy. Consulte Usar vSphere Authentication Proxy. Puede configurar permisos para que los usuarios y los grupos del dominio de Active Directory puedan acceder a los componentes de vCenter Server. Para obtener información sobre cómo administrar permisos, consulte Agregar un permiso a un objeto de inventario.

Agregar un host ESXi a un dominio de servicio de directorio

Para que el host ESXi utilice un servicio de directorio, se debe conectar el host al dominio de servicio de directorio.

Es posible introducir el nombre de dominio con uno de los dos métodos siguientes:

name.tld (por ejemplo, domain.com): la cuenta se crea en el contenedor predeterminado.
name.tld/container/path (por ejemplo, domain.com/OU1/OU2): la cuenta se crea en una unidad organizativa (OU) en particular.

Para utilizar el servicio vSphere Authentication Proxy, consulte Usar vSphere Authentication Proxy.

Procedimiento

Desplácese hasta un host en el inventario de vSphere Client.
Haga clic en Configurar.
En Sistema, seleccione Servicios de autenticación.
Haga clic en Unir dominio.
Introduzca un dominio.

Utilice el formulario name.tld o name.tld/container/path.
Introduzca el nombre de usuario y la contraseña de un usuario de servicio de directorio que tenga permisos para unir el host al dominio y, a continuación, haga clic en Aceptar.
(opcional) Si desea utilizar un proxy de autenticación, introduzca la dirección IP del servidor proxy.
Haga clic en Aceptar para cerrar el cuadro de diálogo Configuración de servicios de directorio.

Qué hacer a continuación

Puede configurar permisos para que los usuarios y los grupos del dominio de Active Directory puedan acceder a los componentes de vCenter Server. Para obtener información sobre cómo administrar permisos, consulte Agregar un permiso a un objeto de inventario.

Ver la configuración del servicio de directorio para un host ESXi

Puede ver el tipo de servidor de directorio (si lo hubiera) que utiliza el host ESXi para autenticar usuarios y su respectiva configuración.

Procedimiento

Desplácese hasta el host en el inventario de vSphere Client.
Haga clic en Configurar.
En Sistema, seleccione Servicios de autenticación.
En la página Servicios de autenticación se muestra el servicio del directorio y la configuración del dominio.