Utilizzo di Active Directory per gestire gli utenti ESXi

È possibile configurare ESXi per l'utilizzo di un servizio di directory, ad esempio Active Directory, per gestire gli utenti.

La creazione di account utente locali in ciascun host comporta problemi durante la sincronizzazione dei nomi degli account e delle password in più host. Aggiungere host ESXi a un dominio Active Directory per eliminare la necessità di creare e gestire gli account utente locali. L'uso di Active Directory per l'autenticazione degli utenti semplifica la configurazione dell'host ESXi, e riduce il rischio di problemi di configurazione che potrebbero causare accessi non autorizzati.

Quando si utilizza Active Directory, gli utenti forniscono le credenziali di Active Directory e il nome di dominio del server di Active Directory quando aggiungono un host a un dominio.

Configurazione di un host ESXi per l'utilizzo di Active Directory

È possibile configurare un host ESXi in modo che utilizzi un servizio directory, ad esempio Active Directory, per gestire utenti e gruppi.

Quando si aggiunge un host ESXi ad Active Directory, al gruppo DOMINIO Amministratori ESX, se presente, l'accesso amministrativo completo viene assegnato all'host. Se non si desidera rendere disponibile l'accesso amministrativo completo, vedere l'articolo della Knowledge Base di VMware 1025569 per ottenere una soluzione alternativa.

Se viene eseguito il provisioning di un host con la distribuzione automatica, le credenziali di Active Directory non possono essere archiviate negli host. È possibile utilizzare vSphere Authentication Proxy per unire l'host a un dominio di Active Directory. Poiché esiste una catena di attendibilità tra il vSphere Authentication Proxy e l'host, il proxy di autenticazione può unire l'host al dominio di Active Directory. Vedere Utilizzo di vSphere Authentication Proxy.

Nota: Quando si definiscono le impostazioni dell'account utente in Active Directory, è possibile limitare i computer a cui un utente può accedere in base al nome del computer. Per impostazione predefinita, in un account utente non sono impostate restrizioni equivalenti. Se si imposta questa limitazione, le richieste di binding LDAP per l'account utente non riescono e viene visualizzato il messaggio di errore relativo al binding LDAP, anche nel caso in cui la richiesta provenga da un computer elencato. È possibile evitare l'insorgere di questo problema aggiungendo il nome netBIOS per il server Active Directory all'elenco di computer a cui l'account utente può accedere.

Prerequisiti

Verificare di disporre di un dominio di Active Directory. Vedere la documentazione del server della directory.
Verificare che il nome host di ESXi sia completo e contenga il nome di dominio della foresta di Active Directory.
nome dominio completo = nome_host.nome_dominio

Procedura

Sincronizzare l'ora tra ESXi e il sistema del servizio di directory.
Vedere Sincronizzazione di orologi ESXi con un server orario di rete o l'articolo della Knowledge base di VMware per informazioni su come sincronizzare l'ora di ESXi con un controller di dominio Microsoft.
Assicurarsi che i server DNS configurati per l'host possano risolvere i nomi host per i controller Active Directory.
1. Passare all'host nell'inventario di vSphere Client.
2. Fare clic su Configura.
3. In Sicurezza di rete, fare clic su Configurazione TCP/IP.
4. In Stack TCP/IP: predefinito, fare clic su DNS e verificare che le informazioni del nome host e del server DNS per l'host siano corrette.

Operazioni successive

Unire l'host a un dominio del servizio Directory. Vedere Aggiunta di un host ESXi in un dominio del servizio directory. Per gli host di cui viene eseguito il provisioning con la distribuzione automatica, configurare vSphere Authentication Proxy. Vedere Utilizzo di vSphere Authentication Proxy. È possibile configurare le autorizzazioni in modo che gli utenti e i gruppi del dominio Active Directory unito possano accedere ai componenti di vCenter Server. Per informazioni sulla gestione delle autorizzazioni, vedere Aggiunta di un'autorizzazione a un oggetto di inventario.

Aggiunta di un host ESXi in un dominio del servizio directory

Per fare in modo che l'host ESXi utilizzi un servizio directory, è necessario aggiungere l'host nel dominio del servizio directory.

Puoi inserire il nome del dominio in due modi:

name.tld (ad esempio, domain.com): l'account viene creato nel contenitore predefinito.
name.tld/container/path (ad esempio, domain.com/OU1/OU2): l'account viene creato in una determinata unità organizzativa.

Per utilizzare il servizio vSphere Authentication Proxy, vedere Utilizzo di vSphere Authentication Proxy.

Procedura

Cercare un host nell'inventario vSphere Client.
Fare clic su Configura.
In Sistema, selezionare Servizi di autenticazione.
Fare clic su Unisci dominio.
Immettere un dominio.

Utilizzare il formato name.tld o name.tld/container/path.
Immettere il nome utente e la password di un utente del servizio directory che disponga delle autorizzazioni per aggiungere l'host al dominio e fare clic su OK.
(Facoltativo) Se si desidera utilizzare un proxy di autenticazione, immettere l'indirizzo IP del server proxy.
Fare clic su OK per chiudere la finestra di dialogo Configurazione servizi di directory.

Operazioni successive

È possibile configurare le autorizzazioni in modo che gli utenti e i gruppi del dominio Active Directory unito possano accedere ai componenti di vCenter Server. Per informazioni sulla gestione delle autorizzazioni, vedere Aggiunta di un'autorizzazione a un oggetto di inventario.

Visualizzazione delle impostazioni del servizio directory per un host ESXi

È possibile visualizzare il tipo di server di directory, se presente, utilizzato dall'host ESXi per eseguire l'autenticazione degli utenti e le impostazioni del server di directory.

Procedura

Passare all'host nell'inventario di vSphere Client.
Fare clic su Configura.
In Sistema, selezionare Servizi di autenticazione.
Nella pagina Servizi di autenticazione vengono visualizzati il servizio di directory e le impostazioni del dominio.