Depuis le VMware vSphere Client de votre serveur VMware vCenter Server (VCSA), vous pouvez joindre votre hôte VMware ESXi à un domaine Active Directory pour bénéficier de l'authentification Active Directory pour cet hôte, mais également pouvoir utiliser l'authentification Kerberos dans le cas d'une banque de données NFS 4.1.
Néanmoins, la jonction d'un hôte VMware ESXi à un domaine Active Directory existant nécessite quelques pré-requis.
Pour que la jonction à un domaine puisse réussir du 1er coup et que l'authentification puisse fonctionner correctement, il est fortement recommandé de synchroniser l'horloge de votre hôte VMware ESXi avec le serveur de temps (NTP) présent par défaut sur votre contrôleur de domaine.
Important : si vous possédez plusieurs contrôleurs de domaine Active Directory, indiquez l'adresse IP du contrôleur de domaine possédant le rôle FSMO "Emulateur PDC (Emulateur de contrôleur de domaine principal)".
Pour cela, sélectionnez votre hôte VMware ESXi et allez dans "Configurer -> Système -> Configuration de l'heure".
Puis, cliquez sur : Modifier.
Dans la fenêtre "Modifier la configuration de temps" qui s'affiche :
Ensuite, cliquez sur OK.
La synchronisation de l'horloge depuis votre serveur NTP a été activée.
Si vous allez dans "Configurer -> Système -> Services", vous verrez que le service "NTP Daemon" de votre hôte VMware ESXi est en cours d'exécution et que celui-ci est configuré pour démarrer et arrêter avec l'hôte.
Pour que votre hôte puisse trouver votre domaine Active Directory, il est nécessaire que celui-ci utilise l'adresse IP de votre serveur DNS local en tant que serveur DNS favori.
Pour cela, sélectionnez votre hôte VMware ESXi et allez dans "Configurer -> Mise en réseau -> Configuration TCP/IP".
Ensuite, sélectionnez la pile TCP/IP "Par défaut" et vérifiez que :
Si ce n'est pas le cas, assurez-vous d'avoir sélectionné la pile TCP/IP "Par défaut" et cliquez sur "Modifier".
Dans la section "Configuration DNS", spécifiez :
Par défaut, tous les hôtes VMware ESXi sont configurés pour accorder des droits administrateur au groupe Active Directory "ESX Admins" (si celui-ci existe).
Pour utiliser cette option, lancez la console "Utilisateurs et ordinateurs Active Directory" sur votre contrôleur de domaine Active Directory et faites un clic droit "Nouveau -> Groupe" sur le dossier "Users".
Créez un groupe de sécurité nommé "ESX Admins".
Attention : ce nom est important. Ne le changez pas.
Une fois ce groupe créé, ajoutez les utilisateurs Active Directory souhaités à ce groupe.
Dans notre cas, nous ajoutons l'administrateur du domaine Active Directory.
Une fois les utilisateurs souhaités ajoutés à ce groupe, cliquez sur OK.
Notez que le nom du groupe Active Directory est une valeur par défaut se trouvant dans les paramètres avancés de votre hôte VMware ESXi.
Pour le voir, sélectionnez votre hôte et allez dans : Configurer -> Système -> Paramètres système avancés.
Dans la longue liste qui s'affiche, vous trouverez notamment le paramètre avancé "Config.HostAgent.plugins.hostsvc.esxAdminsGroup".
Comme vous pouvez le voir, la valeur par défaut est "ESX Admins" et ce paramètre correspond au nom du groupe Active Directory auquel des privilèges administrateur sont automatiquement affectés sur l'ESX.
Maintenant que votre hôte VMware ESXi est correctement configuré, allez dans "Configurer -> Système -> Services d'authentification" et cliquez sur : Joindre un domaine.
Dans la fenêtre "Joindre un domaine" qui apparait, indiquez le nom de domaine Active Directory que vous souhaitez rejoindre et sélectionnez "Utilisation des informations d'identification".
Ensuite, spécifiez les identifiants d'un compte autorisé à joindre des machines à votre domaine Active Directory.
Dans notre cas, nous utiliserons l'administrateur du domaine :
Patientez 30 secondes et votre serveur aura rejoint votre domaine Active Directory.
Vous verrez votre nom de domaine apparaitre dans cette section "Services d'authentification" et vous verrez également les tâches ci-dessous apparaitre dans les tâches récentes :
Si vous allez dans "Configurer -> Système -> Services", vous verrez que le service "Active Directory Services" est en cours d'exécution.
Si vous allez dans "Configurer -> Système -> Pare-feu", vous pourrez connaitre les ports utilisés par votre hôte VMware ESXi pour les connexions entrantes et sortantes avec l'Active Directory.
Sur votre contrôleur de domaine Active Directory, vous verrez qu'un nouvel objet de type ordinateur (correspondant à votre hôte VMware ESXi) a été créé.
Depuis le VMware vSphere Client, vous ne pouvez gérer que les autorisations faisant référence à des utilisateurs créés sur votre serveur VMware vCenter Server (VCSA).
Etant donné que c'est l'hôte que vous avez joint à votre domaine Active Directory, vous ne pouvez configurer les autorisations pour des utilisateurs Active Directory que depuis votre hôte VMware ESXi.
Si vous souhaitez ajouter des autorisations Active Directory sous VMware vCenter Server (VCSA), c'est le serveur VMware vCenter Server (VCSA) que vous devez joindre à votre domaine Active Directory.
Pour cela, référez-vous à notre tutoriel : VMware vSphere 6.7 - Joindre vCenter Server à un domaine Active Directory.
Connectez-vous en tant que "root" sur l'interface web de votre hôte VMware ESXi et allez dans : Hôte -> Gérer -> Sécurité et utilisateurs -> Authentification.
Comme vous pouvez le voir, votre hôte VMware ESXi est joint à votre domaine Active Directory.
Pour gérer les autorisations sur votre hôte VMware ESXi, allez dans "Hôte" et cliquez sur : Actions -> Autorisations.
Dans la fenêtre "Gérer les autorisations" qui s'affiche, vous verrez le groupe Active Directory "ESX Admins" apparaitre sous le nom "[nom NETBIOS du domaine]\esx^admins" avec un rôle "Administrateur" (si ce groupe Active Directory existe).
Comme précisé précédemment, cela vous permettra de vous connecter à l'interface web de votre hôte VMware ESXi avec un compte d'utilisateur de votre Active Directory.
Dans notre cas, le compte "Administrateur" du domaine rejoint.
Pour gérer les utilisateurs et les autorisations sur votre hôte VMware ESXi, référez-vous à l'étape "9. Configurer les autorisations pour les utilisateurs de l'Active Directory (AD)" de notre tutoriel concernant la jonction d'un hôte VMware ESXi à un domaine Active Directory.
VMware 19/10/2022
VMware 15/7/2022
VMware 8/6/2022
VMware 7/6/2024
Contenu épinglé
Contact
® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.
Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.
Vous devez être connecté pour pouvoir poster un commentaire