VCP6-DCV Objective 1.3–Enable SSO & Active Directory Integration

tarafından 28 Kasım 2015 tarihinde VMware, VMware ESXi, VMware vCenter kategorisine yazıldı.

Merhaba,

Daha önce aslında bu konu ile ilgili detaylı makaleler yazmıştım ancak bu makalede yeniden bahsedeceğim. Daha önce yazmış olduğum yazılara aşağıdaki link’lerden ulaşabilirsiniz.

vCenter 6.0 Installation Part 1- Introduction

vCenter 6.0 Installation Part 2 – Deployment Models

Active Directory Integration for ESXi

vCenter Server Appliance 6 – Join Active Directory

Configure/Manage Active Directory Authentication:

VMware vCenter kurulumunu gerçekleştirdikten sonra Single Sign On üzerinde yapacağınız her değişikliği vSphere Web Client’i kullanmanız gerekiyor. vSphere Client ile bu ayarlar yapılamıyor. Eğer bir vCenter’a Active Directory üzerinden authentication işlemini yapmak istiyorsanız bunun için Identity Source eklemeniz gerekiyor. vSphere Web Client’a girdikten sonra Home > Administration > Single Sign On > Configuration > Identity Source tab’ına giriş yapıyoruz. Burada + butonuna basarak ile yeni bir Identity Source eklememiz gerekiyor.

1

Identity Source Type olarak Active Directory (Integrated Windows Authentication) ‘ı seçiyoruz. Buradaki seçenekleri kısaca inceleyecek olursak;

  • Active Directory (Integrated Windows Authentication)Bu seçenek Windows Server 2003 ve sonrası Active directory kullananlar için geçerlidir. Eğer sizin yapınızda tek bir domain var ise bu seçeneği seçmeniz gerekmektedir. Bu seçenek tek bir noktadan Authentication yapmanıza olanak sağlar.
  • Active Directory as an LDAPEğer yapınızda birden fazla Active Directory var ise burada bu seçeneği seçmeniz gerekiyor. Çoklu noktadan LDAP bağlantısı yapmanıza olanak sağlar. Bu seçenek zaten vCenter 5.1 WebClient’da vardı. Sürekli bunu kullanıyorduk.
  • Open LDAPSSO çoklu OpenLDAP ‘ıda destekler.
  • Local OSLocal bir user oluşturmak istiyorsanız bu seçeneği seçebilirsiniz.

Configure/Manage Platform Services Controller (PSC):

vSphere 6.0 ile birlikte Platform Services Controller geldi. Bu konu ile ilgili daha önce aşağıdaki makaleleri yazmıştım. Oradanda detaylarını inceleyebilirsiniz.

vCenter 6.0 Installation Part 1 – Introduction

Platform Services Control aşağıdaki hizmetlerden oluşmaktadır.

  • vCenter Single Sign-On
  • vSphere License Service
  • VMware Certificate Authority (vSphere 6 ile birlikte)

vCenter Server 2 farklı PSC deployment’ını support ediyor. Bu topolojileri production ortamlarında kullanılması tavsiye edilir. Bunlar ve bunların avantajları dezavantajları konusunda daha detaylı bilgi vermek gerekirse;

Embedded Deployment:

Bütün servisler tek bir fiziksel makina veya virtual machine üzerine kurulur. Aslında birçok ortam için bu uygundur. Tabi burada akıllara bir soru geliyor. Embedded Deployment seçildiğinde PostgreSQL kullanmak zorundamıyız? Hayır böyle bir zorunluluk yok siz isterseniz external bir database kullanabilirsiniz.

embedded

Embedded Deployment modelinde aşağıdaki avantajlara sahip olursunuz;

  • vCenter Server ve Platform Services Controller aynı makina üzerinde olacağından aralarındaki connection’da ve isim çözümlemede herhangi bir problem yaşamazsınız.
  • Eğer vCenter Server’i Windows virtual machine veya fiziksel makina üzerine kurduysanız Windows lisans’ı konusunda avantajınız olur. Daha az lisans ihtiyacınız olur.
  • Daha az virtual machine veya fiziksel makina yöneteceksiniz.
  • Platform Services Controller ‘daki yükü dağıtmak için load balancer’a ihtiyaç olmayacaktır.

Embedded Deployment modelinde aşağıdaki dezavantajlara sahip olursunuz;

  • Birden fazla Platform Services Controller kullanmak zorunda kalabilirsiniz. Bu durumda daha fazla kaynağa sahip olmanız gerekebilir.
  • Bu model small environment’ler için uygundur.

 

External Deployment:

Platform Services Controller ve vCenter Server farklı fiziksel makinalar veya sanal makinalar üzerine deploy edilir. Bir vCenter Server’a birden fazla Platform Services Controller bağlayabilirsiniz. Platform Services Controller’ları kendi aralarında replike edebilirsiniz.

external

External Deployment modelinde aşağıdaki avantajlara sahip olursunuz;

  • Bir Platform Services Controller’a birden fazla vCenter Server hizmet edebilir.
  • Platform Services Controller tarafından daha az kaynak tüketimi ve bakım kolaylığı vardır.

External Deployment modelinde aşağıdaki dezavantajlara sahip olursunuz;

  • vCenter Server ile Platform Services Controller arasında oluşan network probleminden dolayı isim çözümlemelerinde sorun yaşayabilirsiniz.
  • Virtual machine veya Fiziksel makinalar üzerine vCenter yüklerseniz daha fazla Windows lisans’ınıza ihtiyacınız olur.
  • Daha fazla virtual machine veya fiziksel makina yönetimi gerektirir.

Configure/Manage VMware Certificate Authority (VMCA):

vSphere 6 ile birlikte artık her ESXi VMCA tarafından imzalanan sertifikayı kullanacaktır. Tabi VMCA tarafından imzalanan sertifikayı kullanabilmesi için ESXi host’un vCenter ‘a ekli olması gerekiyor. Standalone çalışan bir ESXi vCenter’a eklendiğinde üzerindeki sertifika VMCA tarafından imzalanan sertifika ile değiştirilir(yüklenir).  Eğer siz vSphere 5.5 veya önceki sürümlerinden vSphere 6’ya upgrade ediyor ve 3party sertifikalar kullanıyorsanız bu sertifikalar muhafaza edilir.

vSphere 6.x tarafından desteklenen 3 sertifika mode’u vardır. Bunlar;

VMCA: Default olarak gelendir. VMware Certificate Authority sayesinde ESXi ‘lara kolayca sertifika yükleyebilirsiniz. Bu mode’da sertifika yönetimini vSphere Web Client üzerinden yapabilirsiniz.

Custom Certificate Authority: Bazı kullanıcılar kendi external sertifika yetkilisini yönetmek için tercih edebilirler. Bu modda, kullanıcılar sertifikalarını yönetmekle sorumlu ve vSphere Web Client bunları yönetemez.

Thumbprint Mod: Daha önce kullanmış olduğunuz vSphere versiyonlarına uyumluluk için kullanılabilir. VMCA ve Custom Certificate Authority mode’larında bir sorun yaşamadığınız sürece bu modu kullanmayın. Bazı vCenter 6.0 ve sonraki servisler thumbprint mode’da düzgün çalışmayabilir.

Eğer siz Certificate mode’u değiştirmek istiyorsanız yani default VMCA mode’dan Custom veya Thumbprint mode’a geçmek istiyorsanız aşağıdaki adımları izlemeniz gerekiyor. Öncelikle vSphere Web Client’a bağlanıyoruz.

Home > Host and Clusters > vCenter Server > Manage > Settings > Advanced Settings bölümünde Edit butonuna basıyoruz.

2

Burada filter bölümüne certmgmt yazıyoruz ve sadece certificate management key’leri listeliyoruz.

3

Sayfayı biraz aşağı indirince vpxd.certmgmt.mode key’ini göreceksiniz. Burada default olarak vmca value değeri tanımlıdır. Siz isterseniz value değerini custom veya thumbprint olarak değiştirebilirsiniz. Değişikliği yaptıkdan sonra OK butonu ile buradan çıkabilirsiniz. Değişikliklerin geçerli olması için vCenter Server Service’ini restart etmeniz gerekmektedir.

Enable/Disable Single Sign-­On (SSO) Users:

Daha öncede bahsetmiştim. Single Sign On ile ilgili düzenlemeleri vSphere Web Client üzerinden yapıyoruz. vCenter ‘a SSO user’ı eklemek için öncelikle vSphere Web Client’a administrator@vsphere.local yani SSO administrator hakkına sahip user ile bağlanıyoruz.

Home > Administration > Single Sign-On > Users and Groups bölümüne giriş yapıyoruz burada + butonu ile yeni bir user ekliyoruz.

4

Gerekli bilgileri doldurduktan sonra OK butonu ile User’ı ekliyoruz. Şimdi oluşturduğumuz User’i bir group’a eklememiz gerekiyor. Bunun için Users and Groups bölümü altında bulunan Groups tab’ına giriş yapıyoruz.

5

Group name bölümünden eklemek istediğiniz group’u seçip hemen altında bulunan Group Members bölümünden Add member icon’una basıyoruz. Burada oluşturmuş olduğunuz User’ı seçip Add butonu ile ekleyebilirsiniz. Ben Administrators group’una Tayfun isimli user’ımı member ettim.

6

Single Sign On User’ini disable etmek için ise Users tab’ına giriş yapıyoruz ve disable etmek istediğimiz user’ın üzerinde sağ click Disable butonuna basıyoruz.

Umarım faydalı olmuştur.

İyi çalışmalar.

email

Bu yazı blog üzerinde Tayfun DEĞER tarafından paylaşılmıştır. 2009 yılında açılan blog kısa zaman içerisinde büyük bir izleyici kitlesine sahip olmuştur.Tayfun DEĞER danışmanlık ve eğitimler vermektedir. vExpert 2013-2015, VCP5, VCP5-DT, VCP-Cloud ve MCSE sertifikalarına sahiptir.Twitter 'dan @tayfundeger veya RSS ile sitedeki değişiklikleri takip edebilirsiniz.