Per configurare il servizio Directories Management in modo che fornisca l'autenticazione Kerberos, è necessario accedere al dominio e abilitare tale autenticazione nel connettore Directories Management.

Prerequisiti

  • Distribuire NSX Edge in vCenter e configurare un bilanciamento del carico NSX. Per informazioni sulla configurazione di un bilanciamento del carico, vedere vRealize Automation Load Balancing.

  • Unire il proprio dominio al tenant master. È necessario eseguire questa operazione prima di creare connessioni alla directory in tenant separati.
    1. Accedere al tenant predefinito come administrator@vsphere.local.
    2. Creare un utente locale TestUser e immettere TestUser come amministratore tenant.
    3. Selezionare Amministrazione > Gestione directory > Connettori.
    4. Selezionare Aggiunta a un dominio in ciascun connettore dell'appliance.
    5. In Aggiunta a un dominio selezionare Dominio personalizzato e immettere il dominio a cui si desidera connettere il tenant insieme alle credenziali e all'unità organizzativa a cui connettersi.
  • Configurare le connessioni alla directory per i tenant predefiniti e per i tenant non predefiniti. L'autenticazione Kerberos funziona sia con l'autenticazione integrata di Windows sia con Active Directory su LDAP. Vedere Configurazione di un collegamento Active Directory su LDAP/IWA e Configurazione di una connessione alla directory OpenLDAP.
  • Assicurarsi che il nome host del nodo di vRealize Automation corrisponda al dominio di Active Directory a cui si sta unendo. Ad esempio, se vRealize Automation si sta unendo a un'area di autenticazione di Active Directory denominata COMPANY.COM, il nome host deve essere node.company.com.
  • Configurare un provider di identità dell'area di lavoro. Assicurarsi che tutti i nodi della distribuzione siano registrati nel provider di identità dell'area di lavoro e che il nome del bilanciamento del carico sia definito.
    1. Selezionare Amministrazione > Gestione directory > Provider di identità.
    2. Selezionare il collegamento del provider di identità appropriato.

      Ad esempio, WorkspaceIDP_1.

    3. Fare clic sul collegamento del provider di identità e trovare il nome host del provider di identità configurato. Tenere traccia del nome perché sarà necessario quando si configurano i browser Web.
    4. Registrare tutti i nodi applicabili nel provider di identità dell'area di lavoro e immettere il nome di dominio completo del bilanciamento del carico per il nome host.
    5. Fare clic su Salva.
  • Configurare la directory del tenant per il tenant predefinito. Vedere ../com.vmware.vra.install.upgrade.doc/GUID-6B4540C3-89BA-42B3-B4EB-3859BF1F17EE.html.

Procedura

  1. In qualità di amministratore tenant, passare a Amministrazione > Gestione directory > Connettori.
  2. Nella pagina Connettori, per il connettore che si sta configurando per l'autenticazione Kerberos, fare clic su Aggiungi a dominio.
  3. Nella pagina Aggiungi a dominio immettere le informazioni del dominio Active Directory.
    Opzione Descrizione

    Dominio

    Specificare il nome di dominio completo di Active Directory. Il nome di dominio immesso deve essere lo stesso nome di dominio Windows del server del connettore.

    Utente di dominio

    Immettere il nome utente di un account dell'istanza di Active Directory che dispone delle autorizzazioni necessarie per aggiungere sistemi a tale dominio Active Directory.

    Password di dominio

    Immettere la password associata al nome utente AD. Tale password non viene archiviata in Directories Management

    .
    Fare clic su Salva.
    La pagina Aggiungi a dominio viene aggiornata e visualizza un messaggio per comunicare l'aggiunta dell'utente al dominio.
  4. Nella colonna Worker del connettore fare clic su Schede di autenticazione.
  5. Fare clic su KerberosIdpAdapter.
    Si verrà reindirizzati alla pagina di accesso di Identity Manager.
  6. Fare clic su Modifica nella riga KerberosldpAdapter e configurare la pagina di autenticazione di Kerberos.
    Opzione Descrizione

    Nome

    L'immissione del nome è obbligatoria. Il nome predefinito è KerberosIdpAdapter, ma è possibile modificarlo.

    Attributo UID di directory

    Immettere l'attributo dell'account contenente il nome utente.

    Abilita autenticazione di Windows

    Selezionare questa opzione per estendere le interazioni di autenticazione tra i browser degli utenti e Directories Management.

    Abilita NTLM

    Selezionare questa opzione per abilitare l'autenticazione basata sul protocollo NTLM (NT LAN Manager) solo se l'infrastruttura di Active Directory utilizza l'autenticazione NTLM.

    Abilita reindirizzamento

    Selezionare questa opzione se DNS round robin e i bilanciamenti del carico non dispongono del supporto Kerberos. Le richieste di autenticazione vengono reindirizzate a Reindirizza nome host. Se questa opzione è selezionata, immettere il nome host di reindirizzamento nella casella di testo Reindirizza nome host. Generalmente si tratta del nome host del servizio.

  7. Fare clic su Salva.
  8. Configurare l'autenticazione Kerberos in tutti i nodi applicabili.
    1. Selezionare Amministrazione > Gestione directory > Connettori.
      Questa pagina mostra i connettori attualmente configurati. Per impostazione predefinita, viene configurata solo l'autenticazione con password.
    2. Fare clic sul collegamento ipertestuale del Worker associato alla prima Appliance vRealize Automation.
    3. Fare clic sul collegamento KerberosIdpAdapter per aprire la pagina di autenticazione.
      Potrebbe essere necessario immettere la password e riavviare il collegamento KerberosIdpAdapter.
    4. Specificare l'attributo UID della directory e immettere il valore predefinito sAMAAccountName.
    5. Selezionare le caselle di controllo Abilita autenticazione di Windows e Abilita reindirizzamento.
    6. Lasciare NTLM deselezionato, poiché è necessario solo per i controller di dominio meno recenti.
    7. Immettere il nome dell'appliance VA1 per il nome host di reindirizzamento.
    8. Fare clic su Salva.
  9. Configurare un criterio di accesso predefinito. La configurazione di Kerberos richiede tre criteri di accesso, ovvero Kerberos, password e password locale.
    1. Selezionare Amministrazione > Gestione directory > Criteri.
    2. Selezionare default_access_policy_set.
    3. Fare clic sul valore con collegamento ipertestuale Password sotto l'intestazione Metodi di autenticazione nella riga del browser Web.
    4. Fare clic sulle icone + verdi per creare nuovi metodi di autenticazione per Kerberos, password e password (directory locale).
    5. Per ogni metodo di autenticazione, selezionare TUTTI GLI INTERVALLI come intervallo di rete degli utenti e Browser Web come metodo di accesso al contenuto dell'utente.
    6. Impostare il primo metodo di autenticazione su Kerberos e il metodo di failback su Password.
    7. Fare clic su Salva, quindi su OK.