Utilisation d'Active Directory pour gérer des utilisateurs ESXi

Vous pouvez configurer l'hôte ESXi afin qu'il utilise un service d'annuaire tel qu'Active Directory pour gérer les utilisateurs.

La création de comptes utilisateurs locaux sur chaque hôte pose des difficultés de synchronisation du nom et du mot de passe des comptes parmi plusieurs hôtes. Intégrez les hôtes ESXi à un domaine Active Directory pour éliminer la nécessité de créer et de maintenir des comptes utilisateurs locaux. L'utilisation d'Active Directory pour l'authentification des utilisateurs simplifie la configuration de l'hôte ESXi et réduit le risque de problèmes de configuration qui pourraient entraîner des accès non autorisés.

Lorsque vous utilisez Active Directory, les utilisateurs entrent les informations d'identification Active Directory et le nom de domaine du serveur Active Directory lorsqu'ils ajoutent un hôte à un domaine.

Configurer un hôte ESXi pour utiliser Active Directory

Vous pouvez configurer un hôte ESXi pour utiliser un service d'annuaire comme Active Directory afin de gérer les groupes de travail et les utilisateurs.

Lorsque vous ajoutez un hôte ESXi à Active Directory, le groupe DOMAIN ESX Admins obtient un accès administratif complet à l'hôte s'il existe. Si vous ne voulez pas rendre disponible l'accès administratif complet, consultez l'article 1025569 de la base de connaissances VMware pour une solution.

Si un hôte est provisionné avec Auto Deploy, les informations d'identification Active Directory ne peuvent pas être stockées sur les hôtes. Vous pouvez utiliser vSphere Authentication Proxy pour joindre l'hôte à un domaine Active Directory. Comme une chaîne d'approbation existe entre vSphere Authentication Proxy et l'hôte, Authentication Proxy peut joindre l'hôte au domaine Active Directory. Reportez-vous à la section Utiliser vSphere Authentication Proxy.

Note : Lorsque vous définissez des paramètres de comptes d'utilisateurs dans Active Directory, vous pouvez limiter les ordinateurs auxquels un utilisateur peut se connecter en fonction du nom de ces ordinateurs. Par défaut, aucune restriction équivalente n'est définie pour un compte utilisateur. Si vous définissez cette limitation, les demandes Bind LDAP pour le compte d'utilisateur échouent avec le message LDAP binding not successful, même si la demande provient d'un ordinateur référencé. Vous pouvez éviter ce problème en ajoutant le nom netBIOS du serveur Active Directory à la liste des ordinateurs auxquels le compte utilisateur peut se connecter.

Conditions préalables

Vérifiez que vous disposez d'un domaine Active Directory. Reportez-vous à la documentation de votre serveur d'annuaire.
Assurez-vous que le nom d'hôte d'ESXi est complet et inclut le nom de domaine de la forêt Active Directory.
nom de domaine complet = nom_hôte.nom_domaine

Procédure

Synchronisez l'heure entre ESXi et le système de service d'annuaire.
Consultez la base des connaissances Synchroniser les horloges ESXi avec un serveur de temps réseau ou la base des connaissances VMware pour plus d'informations sur la synchronisation de l'heure ESXi avec un contrôleur de domaine Microsoft.
Assurez-vous que les serveurs DNS que vous avez configurés pour l'hôte peuvent résoudre les noms d'hôtes des contrôleurs Active Directory.
1. Accédez à l'hôte dans l'inventaire de vSphere Client.
2. Cliquez sur Configurer.
3. Sous Mise en réseau, cliquez sur Configuration TCP/IP.
4. Sous Pile TCP/IP : par défaut, cliquez sur DNS et vérifiez que le nom d'hôte et les informations relatives au serveur DNS de l'hôte sont correctes.

Que faire ensuite

Joignez l'hôte à un domaine de service d'annuaire. Reportez-vous à Ajouter un hôte ESXi à un domaine de service d'annuaire. Pour les hôtes provisionnés avec Auto Deploy, configurez vSphere Authentication Proxy. Reportez-vous à Utiliser vSphere Authentication Proxy. Vous pouvez configurer les autorisations afin que des utilisateurs et des groupes du domaine Active Directory joint puissent accéder aux composants de vCenter Server. Pour plus d'informations sur la gestion des autorisations, reportez-vous à Ajouter une autorisation à un objet d'inventaire.

Ajouter un hôte ESXi à un domaine de service d'annuaire

Pour que votre hôte ESXi utilise un service d'annuaire, vous devez joindre l'hôte au domaine du service d'annuaire.

Vous pouvez entrer le nom de domaine de l'une des deux façons suivantes :

name.tld (par exemple, domain.com) : le compte est créé sous le conteneur par défaut.
name.tld/container/path (par exemple, domain.com/OU1/OU2) : le compte est créé sous une unité d'organisation (OU) précise.

Pour utiliser le service vSphere Authentication Proxy, consultez Utiliser vSphere Authentication Proxy.

Procédure

Accédez à un hôte dans l'inventaire de vSphere Client.
Cliquez sur Configurer.
Sous Système, sélectionnez Services d'authentification.
Cliquez sur Joindre le domaine.
Entrez un domaine.

Utilisez le format name.tld ou name.tld/container/path.
Entrez le nom d'utilisateur et le mot de passe d'un utilisateur service d'annuaire autorisé à lier l'hôte au domaine, puis cliquez sur OK.
(Facultatif) Si vous avez l'intention d'utiliser un proxy d'authentification, entrez l'adresse IP du serveur proxy.
Cliquez sur OK pour fermer la boîte de dialogue Configuration des services d'annuaire.

Que faire ensuite

Vous pouvez configurer les autorisations afin que des utilisateurs et des groupes du domaine Active Directory joint puissent accéder aux composants de vCenter Server. Pour plus d'informations sur la gestion des autorisations, reportez-vous à Ajouter une autorisation à un objet d'inventaire.

Afficher les paramètres du service d'annuaire pour un hôte ESXi

Vous pouvez afficher le type de serveur d'annuaire, le cas échéant, que l'hôte ESXi utilise pour authentifier les utilisateurs et les paramètres du serveur d'annuaire.

Procédure

Accédez à l'hôte dans l'inventaire de vSphere Client.
Cliquez sur Configurer.
Sous Système, sélectionnez Services d'authentification.
La page Services d'authentification affiche le service d'annuaire et les paramètres du domaine.