Intégration SSO vSphere 5.5 avec Active Directory

Par défaut

Authentification Active Directory et vCenter SSO 5.5

Comment intégrer Active Directory avec Single-Sign-On (SSO) composant du vCenter 5.5. Cette intégration est assez simple dans son ensemble, je vous propose de suivre cette procédure qui pourra vous guider dans cette mise en place d’authentification.

Le composant SSO a été complètement réécrit avec la version VMware vSphere 5.5, ainsi la base de donnée RSA a été supprimé ce qui a permis d’éliminer une certaine complexité du composant. La version vCenter 5.5 a introduit également un nouveau type d’identification (Authentification intégrée à Windows).SSO_vCenter

Procédure

Pré-requis:

Assurez-vous que la résolution et le reverse DNS fonctionnent correctement et que votre Appliance vCSA est bien synchronisée à l’Active Directory (NTP).

vCenter_SSO_01Une des exigences pour l’intégration de vSphere SSO dans l’Active Directory est de disposer d’un nom principal de service SPN dans AD. Pour définir un SPN :

  • Créer un compte de service pour SSO : SSOvCenter
  • Prenez garde aux paramètres d’expiration du mot de passe attribués au compte.
  • Une fois que le compte de service est créé, ouvrez une invite de commande en tant qu’administrateur sur le contrôleur de domaine et exécutez la commande suivante: setspn -S sts/[DOMAIN] [SERVICEACCOUNTNAME]

vcenter_SSO_02.pg

Des sources d’identité vous permettent de joindre un ou plusieurs domaines au SSO du vCenter.

  1. Ouvrez le  vSphere Web Client (https://<ADDRESS>:9443/vsphere-client)
  2. Renseignez les crédentiels:  administrator@vsphere.local
    Password (Windows)
  3. Naviguez vers Administration > Single Sign-On > Configuration

Utilisez le signe + pour ajouter votre nom de domaine en tant que nouvelle source d’identité. Sélectionnez Active Directory (authentification Windows intégrée) et renseignez les champs suivants comme décrit ci-dessous:

Nom de domaine, nom principal de service (SPN), le nom d’utilisateur principal (UPN) et le mot de passe que vous avez défini avec votre compte créé dans la console AD « Utilisateurs et ordinateurs ».

vCenter_SSO_03

 

Si tous les champs ne sont plus encadrés en rouge, vous avez terminé la configuration avec succès et vous pouvez cliquer OK. A présent vous avez une source d’identité supplémentaire dans votre environnement VMware.

vCenter_SSO_04

 

Restez connecté avec le compte administrator@vsphere.local; puis accédez à la section de la configuration sur le côté gauche « Utilisateurs et groupes », sélectionnez l’onglet Groupes et mettre en évidence le groupe Administrateurs comme dans l’image ci-dessous. Près du bas de la page cliquez sur le bouton « Ajouter un membre ». Vous pouvez désormais rajouter des groupes utilisateurs ou des utilisateurs en tant que membre du groupe Administrators de votre environnement VMware.

vCenter_SSO_06

 

Ci-dessous quelques KB répertoriés concernant le module SSO du vCenter:

KB 2033742: Troubleshooting Single Sign-On and Active Directory domain authentication with the vCenter Server Appliance (2033742)

KB 2033880: Troubleshooting VMware Single Sign-On configuration and installation issues in a Windows server (2033880)

KB 2035934: Adding a vCenter Single Sign On Active Directory Identity Source fails with the LDAP error: The server requires binds to turn on integrity checking (2035934)

KB 2058298: Creating and using a Service Principal Account in vCenter Single Sign-On 5.5(2058298)

KB 2058796: Logging into the vSphere Web Client 5.5 fails with the error: Provided credentials are not valid. (2058796)

KB 2058919: Adding an Active Directory identity source in vCenter Single Sign-On 5.5 fails with the error: The host is required to join to domain [domain.local] but joined to [null](2058919)

Share This...Buffer this pageShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePin on PinterestShare on Facebook

Mise à niveau vCenter 5.1b

Par défaut

Mise à niveau vCenter 5.1b

La mise à niveau vers vCenter Server 5.1 inclut une mise à niveau du schéma de base de données et du logiciel vCenter Server.

Dans ce post, nous allons essayer de balayer une grande partie de cette mise à jour.

Bon à savoir avant la mise à jour…

La mise à niveau de vCenter 5.1b ne prend en charge uniquement les systèmes 64 bits de vCenter Server 4.x et vCenter Server 5.0.x.
Remarque : Vous ne pouvez pas mettre à niveau une instance de vCenter Server 4.x exécutée sous Windows XP Édition x64 professionnelle vers vCenter Server 5.1.

L’installeur de vCenter Server détectera si un vCenter Server existe déjà.
vCenter Server 5.1 ne supporte pas directement la migration d’un serveur vCenter Server existant vers une nouvelle machine lors d’une mise à niveau de 5.1.

vCenter Server 5.1 peut gérer les hôtes ESX/ESXi 4.x et ESXi 5.0.x dans le même cluster avec des hôtes ESXi 5.1, les hôtes provenant des versions ESX 2.x ou 3.x ne sont pas gérés par vCenter Server 5.1.

vSphere 5.1 introduit une nouvelle fonctionnalité le service « vCenter Single Sign On« , désormais ce service fait parti intégrante de la suite vCenter Server.


Lors de la mise à jour de vCenter Server 5.1, le processus de mise à jour commence dans un premier temps à installer le composant vCenter Single Sign On, puis effectue les mises à jour du vCenter Server. Vous devez installer ou mettre à jour les composants suivants et dans cet ordre:

  • vCenter Single Sign On
  • Inventory Service
  • vCenter Server

Cette modification aura un impact sur la mise à niveau ou l’installation et l’utilisation du vCenter.

A propos de l’installation du vCenter Server 5.1

Dans les versions de vSphere antérieures à vSphere 5.1, vCenter Server s’installait en une seule opération, et des composants comme VMware vCenter Inventory Service s’installait de manière silencieuse sur la même machine hôte.

A présent, dans l’interface du Programme d’installation de vCenter Installer, on nous propose l’option « vCenter Server Simple Install« , qui permet d’installer vCenter Single Sign-On, Inventory Service et vCenter Server sur la même machine virtuelle ou le même hôte (voir la capture ci-contre). 


Schéma représentant le mode d’installation vSphere Single Install.



Sinon, si vous souhaitez personnaliser l’emplacement et la configuration de chaque composant dans le cadre d’architecture plus complexe, vous pouvez installer les différents composants séparément en sélectionnant les options d’installation individuelle dans l’ordre suivant : 
vCenter Single Sign-On, Inventory Service et vCenter Server. 
Vous pouvez installer chaque composant sur une machine virtuelle différente ou un hôte différent.
 

A quoi ça sert l’outil de vérification de pré-mise à niveau de l’agent hôte vCenter?

 

L’outil de vérification de pré-mise à niveau de l’agent hôte vCenter produit un rapport montrant les problèmes connus pouvant empêcher la réussite de la mise à niveau du logiciel de l’agent hôte vCenter.





Démarrez le programme d’installation de vCenter Server autorun.exe et sélectionnez « Outil de
vérification de pré-mise à niveau de l’agent hôte vCenter« .



Sélectionnez le DSN du système vCenter Server à partir duquel vous procédez à la mise à niveau et
sélectionnez les informations d’identification de connexion appropriées pour ce DSN.


Sélectionnez une option pour scanner tous les hôtes ou des hôtes spécifiques.
Sélectionnez [Mode standard] et cliquez sur Suivant.
Cette option permet de scanner tous les hôtes gérés par le vCenter Server, l’autre option permet uniquement de sélectionner des hôtes spécifiques.

Cliquez sur [Exécuter la vérification préalable].

L’outil prend à peu près 40 secondes pour chaque hôte.

Une fois la vérification terminée cliquez sur Terminé.

Consultez les rapports de pré-mise à niveau.

Pour afficher le rapport d’un hôte particulier, cliquez sur le lien à côté du nom de l’hôte.

Pour voir un rapport résumé de tous les hôtes, cliquez sur [Voir le rapport].


A partir de ce rapport, il est possible de résoudre les problèmes de chaque hôte grâce aux articles KB VMware concernés.

Vous trouverez sur le lien ci-dessous un PDF qui résume toutes les tâches à respecter et l’ordre de ces tâches.
http://www.vmware.com/files/pdf/techpaper/VMware-vSphere-50-Upgrade-Checklists.pdf

vCenter Single Sign On

Si vous installez vCenter SSO sur un serveur qui ne fait parti d’un domaine Active Directory ou OpenLDAP, ne soyez pas surpris!!! C’est un pré-requis, votre serveur doit être associé à un domaine, en effet avec vCenter 5.1 les utilisateurs s’authentifient via vCenter SSO.
(Cf. capture d’écran Message erreur vCenter SSO)

Message erreur vCenter SSO
  • Définissez un mot de passe pour le compte d’administrateur vCenter Single Sign-On:  Vous devez utiliser le même nom d’utilisateur et le même mot de passe vCenter Single Sign On lorsque vous installez vCenter Single Sign On, et lorsque vous installez ou mettez à niveau Inventory Service, vCenter Server et vSphere Web Client. Le compte par défaut est admin@SystemDomain
admin@SystemDomain
  • Puis, sélectionnez le type de base de données pour vCenter Single Sign-On.
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 




Share This...Buffer this pageShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePin on PinterestShare on Facebook