Depuis le VMware vSphere Client de votre serveur VMware vCenter Server (VCSA), vous pouvez joindre votre hôte VMware ESXi à un domaine Active Directory pour bénéficier de l'authentification Active Directory pour cet hôte, mais également pouvoir utiliser l'authentification Kerberos dans le cas d'une banque de données NFS 4.1.
Néanmoins, la jonction d'un hôte VMware ESXi à un domaine Active Directory existant nécessite quelques pré-requis.

1. Synchroniser la date et l'heure de l'hôte VMware ESXi grâce au protocole NTP
2. Changer le serveur DNS favori de l'hôte VMware ESXi
3. Créer le groupe Active Directory "ESX Admins" (facultatif)
4. Joindre l'hôte VMware ESXi à votre domaine Active Directory
5. Configurer les autorisations pour les utilisateurs de l'Active Directory depuis l'hôte VMware ESXi

1. Synchroniser la date et l'heure de l'hôte VMware ESXi grâce au protocole NTP

Pour que la jonction à un domaine puisse réussir du 1er coup et que l'authentification puisse fonctionner correctement, il est fortement recommandé de synchroniser l'horloge de votre hôte VMware ESXi avec le serveur de temps (NTP) présent par défaut sur votre contrôleur de domaine.

Important : si vous possédez plusieurs contrôleurs de domaine Active Directory, indiquez l'adresse IP du contrôleur de domaine possédant le rôle FSMO "Emulateur PDC (Emulateur de contrôleur de domaine principal)".

Pour cela, sélectionnez votre hôte VMware ESXi et allez dans "Configurer -> Système -> Configuration de l'heure".
Puis, cliquez sur : Modifier.

Dans la fenêtre "Modifier la configuration de temps" qui s'affiche :

• sélectionnez "Utiliser Protocole NTP (Active client NTP)"
• indiquez l'adresse IP de votre contrôleur de domaine Active Directory pour le serveur NTP.
• cochez la case "Démarrer le service NTP" à la ligne "Statut du service NTP"
• sélectionnez "Démarrer et arrêter avec l'hôte" pour la règle de démarrage du service NTP.
  Ainsi, même si vous redémarrez votre hôte, celui-ci continuera de synchroniser régulièrement son horloge avec celle de votre contrôleur de domaine Active Directory.

Ensuite, cliquez sur OK.

La synchronisation de l'horloge depuis votre serveur NTP a été activée.

• Client NTP : Activé.
• Statut du service NTP : En cours d'exécution.
• Serveurs NTP : 10.0.0.10 (adresse IP du contrôleur de domaine).

Si vous allez dans "Configurer -> Système -> Services", vous verrez que le service "NTP Daemon" de votre hôte VMware ESXi est en cours d'exécution et que celui-ci est configuré pour démarrer et arrêter avec l'hôte.

2. Changer le serveur DNS favori de l'hôte VMware ESXi

Pour que votre hôte puisse trouver votre domaine Active Directory, il est nécessaire que celui-ci utilise l'adresse IP de votre serveur DNS local en tant que serveur DNS favori.
Pour cela, sélectionnez votre hôte VMware ESXi et allez dans "Configurer -> Mise en réseau -> Configuration TCP/IP".

Ensuite, sélectionnez la pile TCP/IP "Par défaut" et vérifiez que :

• le domaine spécifié correspond au domaine Active Directory que vous souhaitez rejoindre.
• l'adresse IP du serveur DNS favori correspond à l'adresse IP de votre serveur DNS local (en général, il s'agit de l'adresse IP de votre contrôleur de domaine Active Directory).

Si ce n'est pas le cas, assurez-vous d'avoir sélectionné la pile TCP/IP "Par défaut" et cliquez sur "Modifier".

Dans la section "Configuration DNS", spécifiez :

• Nom d'hôte : le nom court de votre hôte (si besoin).
• Domaine : le nom de domaine Active Directory que vous souhaitez rejoindre.
• Serveur DNS favori : l'adresse IP de votre contrôleur de domaine Active Directory.
• Serveur DNS secondaire : rien. Utile uniquement si vous possédez plusieurs contrôleurs de domaine locaux pour un même domaine Active Directory.
  Ce qui devrait être le cas en entreprise, étant donné qu'il faut au minimum 2 contrôleurs de domaine par domaine et par site pour des raisons de tolérance de panne.
• Domaines de recherche : le nom de domaine Active Directory que vous souhaitez rejoindre.
  Ceci permet de résoudre le nom court en adresse IP en tentant de résoudre le nom de domaine DNS associé.
  Par exemple, résoudre le nom court "esxi1" avec le domaine de recherche "informatiweb.lan" revient à résoudre le nom de domaine "esxi1.informatiweb.lan" grâce au serveur DNS spécifié ci-dessus.

3. Créer le groupe Active Directory "ESX Admins" (facultatif)

Par défaut, tous les hôtes VMware ESXi sont configurés pour accorder des droits administrateur au groupe Active Directory "ESX Admins" (si celui-ci existe).
Pour utiliser cette option, lancez la console "Utilisateurs et ordinateurs Active Directory" sur votre contrôleur de domaine Active Directory et faites un clic droit "Nouveau -> Groupe" sur le dossier "Users".

Créez un groupe de sécurité nommé "ESX Admins".

Attention : ce nom est important. Ne le changez pas.

Une fois ce groupe créé, ajoutez les utilisateurs Active Directory souhaités à ce groupe.

Dans notre cas, nous ajoutons l'administrateur du domaine Active Directory.

Une fois les utilisateurs souhaités ajoutés à ce groupe, cliquez sur OK.

Notez que le nom du groupe Active Directory est une valeur par défaut se trouvant dans les paramètres avancés de votre hôte VMware ESXi.
Pour le voir, sélectionnez votre hôte et allez dans : Configurer -> Système -> Paramètres système avancés.

Dans la longue liste qui s'affiche, vous trouverez notamment le paramètre avancé "Config.HostAgent.plugins.hostsvc.esxAdminsGroup".
Comme vous pouvez le voir, la valeur par défaut est "ESX Admins" et ce paramètre correspond au nom du groupe Active Directory auquel des privilèges administrateur sont automatiquement affectés sur l'ESX.

4. Joindre l'hôte VMware ESXi à votre domaine Active Directory

Maintenant que votre hôte VMware ESXi est correctement configuré, allez dans "Configurer -> Système -> Services d'authentification" et cliquez sur : Joindre un domaine.

Dans la fenêtre "Joindre un domaine" qui apparait, indiquez le nom de domaine Active Directory que vous souhaitez rejoindre et sélectionnez "Utilisation des informations d'identification".
Ensuite, spécifiez les identifiants d'un compte autorisé à joindre des machines à votre domaine Active Directory.

Dans notre cas, nous utiliserons l'administrateur du domaine :

• Nom d'utilisateur : Administrateur@informatiweb.lan.
• Mot de passe : son mot de passe.

Patientez 30 secondes et votre serveur aura rejoint votre domaine Active Directory.
Vous verrez votre nom de domaine apparaitre dans cette section "Services d'authentification" et vous verrez également les tâches ci-dessous apparaitre dans les tâches récentes :

• Répertorie les ancres d'approbation par carte à puce.
• Joindre le domaine Windows.

Si vous allez dans "Configurer -> Système -> Services", vous verrez que le service "Active Directory Services" est en cours d'exécution.

Si vous allez dans "Configurer -> Système -> Pare-feu", vous pourrez connaitre les ports utilisés par votre hôte VMware ESXi pour les connexions entrantes et sortantes avec l'Active Directory.

Sur votre contrôleur de domaine Active Directory, vous verrez qu'un nouvel objet de type ordinateur (correspondant à votre hôte VMware ESXi) a été créé.

5. Configurer les autorisations pour les utilisateurs de l'Active Directory depuis l'hôte VMware ESXi

Depuis le VMware vSphere Client, vous ne pouvez gérer que les autorisations faisant référence à des utilisateurs créés sur votre serveur VMware vCenter Server (VCSA).
Etant donné que c'est l'hôte que vous avez joint à votre domaine Active Directory, vous ne pouvez configurer les autorisations pour des utilisateurs Active Directory que depuis votre hôte VMware ESXi.

Si vous souhaitez ajouter des autorisations Active Directory sous VMware vCenter Server (VCSA), c'est le serveur VMware vCenter Server (VCSA) que vous devez joindre à votre domaine Active Directory.
Pour cela, référez-vous à notre tutoriel : VMware vSphere 6.7 - Joindre vCenter Server à un domaine Active Directory.

Connectez-vous en tant que "root" sur l'interface web de votre hôte VMware ESXi et allez dans : Hôte -> Gérer -> Sécurité et utilisateurs -> Authentification.
Comme vous pouvez le voir, votre hôte VMware ESXi est joint à votre domaine Active Directory.

Pour gérer les autorisations sur votre hôte VMware ESXi, allez dans "Hôte" et cliquez sur : Actions -> Autorisations.

Dans la fenêtre "Gérer les autorisations" qui s'affiche, vous verrez le groupe Active Directory "ESX Admins" apparaitre sous le nom "[nom NETBIOS du domaine]\esx^admins" avec un rôle "Administrateur" (si ce groupe Active Directory existe).

Comme précisé précédemment, cela vous permettra de vous connecter à l'interface web de votre hôte VMware ESXi avec un compte d'utilisateur de votre Active Directory.
Dans notre cas, le compte "Administrateur" du domaine rejoint.

Pour gérer les utilisateurs et les autorisations sur votre hôte VMware ESXi, référez-vous à l'étape "9. Configurer les autorisations pour les utilisateurs de l'Active Directory (AD)" de notre tutoriel concernant la jonction d'un hôte VMware ESXi à un domaine Active Directory.