Чтобы настроить службу Directories Management для обеспечения проверки подлинности с помощью Kerberos, необходимо присоединиться к домену и включить проверку подлинности с помощью Kerberos на соединителе Directories Management.

Необходимые условия

  • Разверните NSX Edge в vCenter и настройте подсистему балансировки нагрузки NSX. Дополнительные сведения о настройке подсистемы балансировки нагрузки см. в разделе Балансировка нагрузки в vRealize Automation.

  • Присоедините домен к главному арендатору. Это необходимо сделать до создания подключений к каталогу в отдельных арендаторах.
    1. Войдите в арендатор по умолчанию под именем administrator@vsphere.local.
    2. Создайте локального пользователя TestUser и укажите его в качестве администратора арендатора.
    3. Выберите Администрирование > Управление каталогами > Соединители.
    4. Выберите «Присоединиться к домену» на каждом соединителе устройства.
    5. В разделе «Присоединиться к домену» выберите «Другой домен» и укажите домен, к которому должен подключиться арендатор. Также укажите учетные данные и организационное подразделение, к которому следует подключиться.
  • Настройте подключения к каталогу для арендаторов по умолчанию и арендаторов, не используемых по умолчанию. Проверка подлинности Kerberos работает как со встроенной проверкой подлинности Windows, так и с Active Directory через LDAP. См. Настройка ссылки Active Directory по LDAP/IWA и Настройка подключения к каталогу OpenLDAP.
  • Убедитесь, что имя узла vRealize Automation совпадает с доменом Active Directory, к которому он присоединяется. Например, если vRealize Automation присоединяется к области Active Directory с именем COMPANY.COM, имя узла должно иметь вид node.company.com.
  • Настройте поставщик удостоверений рабочей области. Убедитесь, что все узлы в развертывании зарегистрированы в поставщике удостоверений рабочей области и задано имя подсистемы балансировки нагрузки.
    1. Выберите Администрирование > Управление каталогами > Поставщики удостоверений.
    2. Выберите соответствующую ссылку поставщика удостоверений.

      Например, WorkspaceIDP_1.

    3. Щелкните ссылку поставщика удостоверений и найдите настроенное имя узла поставщика удостоверений. Запишите имя узла, так как оно понадобится при настройке веб-браузеров.
    4. Зарегистрируйте все необходимые узлы в поставщике удостоверений рабочей области и укажите в качестве имени узла полное доменное имя подсистемы балансировки нагрузки.
    5. Нажмите кнопку Сохранить.
  • Настройте каталог для арендатора по умолчанию. См. раздел ../com.vmware.vra.install.upgrade.doc/GUID-6B4540C3-89BA-42B3-B4EB-3859BF1F17EE.html.

Процедура

  1. В качестве администратора арендатора выберите Администрирование > Управление каталогами > Соединители
  2. На странице «Соединители» для соединителя, настраиваемого для проверки подлинности с помощью Kerberos, нажмите Присоединить к домену.
  3. На странице «Присоединение к домену» введите информацию для домена Active Directory.
    Параметр Описание

    Домен

    Введите полное доменное имя Active Directory. Введенное доменное имя должно быть в том же домене Windows, что и сервер соединителя.

    Пользователь домена

    Введите имя пользователя учетной записи в Active Directory, который имеет разрешение на присоединение к этому домену Active Directory.

    Доменный пароль

    Введите пароль пользователя Active Directory. Этот пароль не сохраняется в Directories Management

    .
    Нажмите кнопку Сохранить.
    Страница «Присоединение к домену» обновится, и будет выведено сообщение, что в данный момент вы присоединены к домену.
  4. В столбце «Рабочий процесс» для соединителя нажмите Адаптеры проверки подлинности.
  5. Нажмите KerberosIdpAdapter
    Вы будете перенаправлены на страницу входа диспетчера удостоверений.
  6. Нажмите Изменить в строке KerberosldpAdapter и настройте страницу проверки подлинности Kerberos.
    Параметр Описание

    Имя

    Имя должно быть задано. По умолчанию используется имя KerberosIdpAdapter. Его можно изменить.

    Атрибут UID каталога

    Введите атрибут учетной записи, который содержит имя пользователя.

    Включить проверку подлинности Windows.

    Выберите этот параметр, чтобы расширить взаимодействие по проверке подлинности между браузерами пользователей и Directories Management.

    Включить NTLM

    Выберите этот параметр, чтобы включить функцию проверки подлинности только на основе протокола NT LAN Manager (NTLM), если инфраструктура Active Directory использует проверку подлинности NTLM.

    Включить перенаправление

    Выберите этот параметр, если карусельный DNS и подсистема балансировки нагрузки не поддерживают Kerberos. Запросы на проверку подлинности перенаправляются на узел, указанный в поле «Имя узла для перенаправления». Если этот флажок установлен, введите имя узла для перенаправления в текстовом поле Имя узла для перенаправления. Это, как правило, имя узла, на котором запущена служба.

  7. Нажмите кнопку Сохранить.
  8. Настройте проверку подлинности Kerberos на всех необходимых узлах.
    1. Выберите Администрирование > Управление каталогами > Соединители.
      На этой странице отображаются настроенные в настоящее время соединители. По умолчанию настроена только проверка подлинности с помощью пароля.
    2. Щелкните гиперссылку рабочего процесса, связанную с первым Устройство vRealize Automation.
    3. Щелкните ссылку KerberosIdpAdapter, чтобы открыть страницу проверки подлинности.
      Возможно, потребуется ввести пароль и заново открыть ссылку KerberosIdpAdapter.
    4. Укажите атрибут UID каталога и введите значение по умолчанию sAMAAccountName.
    5. Установите флажки Включить проверку подлинности Windows и Включить перенаправление.
    6. Флажок NTLM должен быть снят, так как он необходим только для контроллеров домена старых версий.
    7. Введите имя устройства VA1 в качестве имени узла перенаправления.
    8. Нажмите кнопку Сохранить.
  9. Настройте политику доступа по умолчанию Для конфигурации Kerberos требуются три политики доступа: Kerberos, пароль, локальный пароль.
    1. Выберите Администрирование > Управление каталогами > Политики.
    2. Выберите default_access_policy_set.
    3. Щелкните связанное с гиперссылкой значение «Пароль» под заголовком «Методы проверки подлинности» в адресной строке веб-браузера.
    4. Щелкните зеленые значки «+», чтобы создать новые методы проверки подлинности для Kerberos, пароля и Пароля (локальный каталог).
    5. Для каждого метода проверки подлинности выберите ВСЕ ДИАПАЗОНЫ в качестве сетевого диапазона пользователей, а в качестве средства доступа к содержимому пользователя укажите веб-браузер.
    6. Измените первый метод проверки подлинности на Kerberos, а в качестве метода возврата в основную среду укажите пароль.
    7. Щелкните Сохранить, а затем — OK.