Als u de Directories Management-service wilt configureren voor het leveren van Kerberos-verificatie, moet u deelnemen aan het domein en Kerberos-verificatie inschakelen op de Directories Management-connector.

Voorwaarden

  • Implementeer NSX Edge in vCenter en configureer een NSX load balancer. Zie Taakverdeling voor vRealize Automation voor informatie over het instellen van een load balancer.

  • Maak uw domein lid van de hoofdtenant. U moet dit doen voordat u directoryverbindingen maakt in afzonderlijke tenants.
    1. Meld u aan bij de standaardtenant als administrator@vsphere.local.
    2. Maak een lokale gebruiker met de naam TestUser en voer TestUser in als beheerder van de tenant.
    3. Selecteer Beheer > Beheer van directory's > Connectoren.
    4. Selecteer Aan domein toevoegen voor elke applianceconnector.
    5. Aan domein toevoegen. Selecteer Aangepast domein en voer het domein in waarmee u wilt dat de tenant verbinding maakt, samen met de verificatiegegevens en de OU om verbinding te maken.
  • Stel directoryverbindingen in voor standaardtenants en voor niet-standaardtenants. Kerberos-verificatie werkt met Geïntegreerde Windows-verificatie en met Active Directory via LDAP. Zie Een koppeling configureren voor Active Directory via een LDAP/IWA en Een OpenLDAP-directoryverbinding configureren.
  • Zorg ervoor dat de hostnaam van het vRealize Automation-knooppunt overeenkomt met het Active Directory-domein waaraan dit is toegevoegd. Als vRealize Automation bijvoorbeeld wordt toegevoegd aan een Active Directory-realm met de naam COMPANY.COM, moet de hostnaam node.company.com zijn.
  • Configureer een identiteitsprovider voor de werkplek. Zorg ervoor dat alle knooppunten in uw implementatie zijn geregistreerd in de identiteitsprovider voor de werkplek en dat de naam van uw load balancer is gedefinieerd.
    1. Selecteer Beheer > Beheer van directory's > Identiteitsproviders.
    2. Selecteer de koppeling van de juiste identiteitsprovider.

      Bijvoorbeeld: WorkspaceIDP__1.

    3. Klik op de koppeling voor de identiteitsprovider en zoek de geconfigureerde IdP-hostnaam. Leg de hostnaam vast omdat u deze nodig hebt bij het configureren van uw webbrowsers.
    4. Registreer alle toepasselijke knooppunten in de identiteitsprovider voor de werkplek en voer de FQDN van de load balancer in voor de hostnaam.
    5. Klik op Opslaan.
  • Configureer de tenantdirectory voor de standaardtenant. Zie ../com.vmware.vra.install.upgrade.doc/GUID-6B4540C3-89BA-42B3-B4EB-3859BF1F17EE.html.

Procedure

  1. Ga als tenantbeheerder naar Beheer > Beheer van directory's > Connectoren.
  2. Klik op de pagina Connectoren voor de connector die wordt geconfigureerd voor Kerberos-verificatie op Aan domein toevoegen.
  3. Voer op de pagina Aan domein toevoegen de informatie in voor het Active Directory-domein.
    Optie Beschrijving

    Domein

    Voer de Fully Qualified Domain Name (volledig gekwalificeerde domeinnaam) van de Active Directory in. De domeinnaam die u invoert, moet hetzelfde Windows-domein zijn als de connectorserver.

    Domeingebruiker

    Voer de gebruikersnaam in van een account in de Active Directory dat rechten heeft om systemen aan dat Active Directory-domein toe te voegen.

    Domeinwachtwoord

    Voer het wachtwoord in dat aan de AD-gebruikersnaam is gekoppeld. Dit wachtwoord wordt niet opgeslagen door Directories Management

    .
    Klik op Opslaan.
    De pagina Aan domein toevoegen wordt vernieuwd en geeft een bericht weer dat u aan het domein bent toegevoegd.
  4. Klik in de kolom Werker voor de connector op Verificatieadapters.
  5. Klik op Kerberos-IDP-adapter
    U wordt omgeleid naar de aanmeldpagina van het identiteitsbeheer.
  6. Klik op Bewerken in de rij Kerberos-IDP-adapter en configureer de Kerberos-verificatiepagina.
    Optie Beschrijving

    Naam

    Een naam is vereist. De standaardnaam is Kerberos-IDP-adapter. U kunt dit wijzigen.

    Directory-UID-kenmerk

    Voer het accountkenmerk in dat de gebruikersnaam bevat.

    Windows-verificatie inschakelen

    Selecteer dit om verificatie-interacties uit te breiden tussen de browsers van gebruikers en Directories Management.

    NTLM inschakelen

    Selecteer dit alleen om op het NTLM-protocol (NT LAN Manager) gebaseerde verificatie in te schakelen als uw Active Directory-infrastructuur vertrouwt op NTLM-verificatie.

    Omleiden inschakelen

    Selecteer dit als round robin-DNS en load balancers geen Kerberos-ondersteuning hebben. Verificatieaanvragen worden omgeleid naar de hostnaam voor omleiding. Als dit geselecteerd is, voert u de hostnaam voor omleiding in het tekstvak Hostnaam omleiding in. Dit is doorgaans de hostnaam van de service.

  7. Klik op Opslaan.
  8. Configureer Kerberos-verificatie op alle toepasselijke knooppunten.
    1. Selecteer Beheer > Beheer van directory's > Connectoren.
      Op deze pagina worden de momenteel geconfigureerde connectoren weergegeven. Standaard wordt alleen wachtwoordverificatie geconfigureerd.
    2. Klik op de hyperlink van de werker die aan de eerste vRealize Automation-toepassing is gekoppeld.
    3. Klik op de koppeling KerberosIdpAdapter om de verificatiepagina te openen.
      Mogelijk moet u uw wachtwoord invoeren en de KerberosIdpAdapter-koppeling opnieuw starten.
    4. Geef het Directory-UID-kenmerk op en voer de standaardwaarde sAMAAccountName in.
    5. Schakel de selectievakjes Windows-verificatie inschakelen en Doorverwijzen inschakelen in.
    6. Schakel NTLM niet in, omdat dit alleen nodig is voor oudere domeincontrollers.
    7. Voer de naam in van de VA1-appliance voor de omleidingshostnaam.
    8. Klik op Opslaan.
  9. Configureer een standaardtoegangsbeleid. Kerberos-configuratie vereist drie aspecten van het toegangsbeleid: Kerberos, wachtwoord, lokaal wachtwoord.
    1. Selecteer Beheer > Beheer van directory's > Beleid.
    2. Selecteer default_access_policy_set.
    3. Klik op de waarde met de hyperlink voor het wachtwoord onder de titel Verificatiemethoden op de balk van de webbrowser.
    4. Klik op de groene +-pictogrammen om nieuwe verificatiemethoden te maken voor Kerberos, wachtwoord en wachtwoord (lokale directory).
    5. Selecteer voor elke verificatiemethode ALLE BEREIKEN als het netwerkbereik van de gebruikers en Webbrowser als de toegangsmethode voor inhoud van de gebruiker.
    6. Wijzig de eerste verificatiemethode in Kerberos en stel de failback-methode in op wachtwoord.
    7. Klik op Opslaan en klik vervolgens op OK.