Microsoft Active Directory Domain Services-Authentifizierung unter VMware vCenter Server Appliance 6
Zur Integration in Microsoft-lastige Umgebungen bietet VMware in vCenter Server entsprechende Connectoren zu Microsoft Active Directory Domain Services (AD DS):
- Native Integration: vCenter Server wird als vollwertiges Computer-Objektiv in Active Directory gepflegt
- LDAP-Anbindung zur Authentifizierung innerhalb Single-Sign-On (SSO)
Mir ist schon beim letzten Update von vCenter Server 5.x (5.5U3) aufgefallen, dass sie native Integration leider nur noch unzuverlässig funktioniert. So hatte ich häufig den Fall, dass die Authentifizierung aus unersichtlichen Gründen nicht mehr funktioniert. Auch die Protokolldateien halfen hier nicht weiter, das erneute Hinzufügen des vCenter Servers in Active Directory half manchmal dabei, das Problem zu beheben.
Das Problem scheint leider auch noch in der aktuellen vCenter Server Appliance 6.0U1 zu bestehen. Ich habe mich daher für eine LDAP-Anbindung entschieden, um Verzeichnisbenutzer für vCenter Server zu berechtigen. Die Konfiguration der entsprechenden Identitätsressource scheiterte leider trotz erfolgreichem Verbindungstest erstmal. Auch die Protokolldatei /var/log/vmware/sso/ssoAdminServer.log war hierbei leider nicht hilfreich:
1[2015-11-12T09:31:56.743Z pool-2-thread-3 opID=...] Registering a new Ldap identity source of type 'Active Directory' with name 'mycompany.mydomain.loc' and alias 'mycompany'
2[2015-11-12T09:31:56.743Z pool-2-thread-3 opID=...] Failed to probe provider connectivity [URI: ldap://mydc.mycompany.mydomain.loc:389]; ...
Nach einigen Tests habe ich herausgefunden, dass folgende Dinge bei der Konfiguration beachtet werden müssen:
- Der Benutzername muss mit der Kurzschreibweise der Domäne angegeben werden
- Es darf kein sekundärer Server angegeben werden, es darf nicht Port 389 verwendet werden
Ich kann jetzt nicht dafür sprechen, dass das für jede Umgebung beachtet werden muss. Es war zumindest in meiner Lab mit Windows Server 2008 R2 notwendig.
Die funktionierende Konfiguration für meine Umgebung (Domäne mycompany.mydomain.loc, DC mydc.mycompany.mydomain.loc) sieht wie folgt aus:
| Einstellung | Erklärung/Wert |
|---|---|
| Name | Kurzbeschreibung, z. B. Domänen-Kurzname: mydomain |
| Basis-DN für Benutzer | DC=mycompany,DC=mydomain,DC=loc |
| Domänenname | mycompany.mydomain.loc |
| Domänen-Alias | mycompany |
| Basis-DN für Gruppen | DC=mycompany,DC=mydomain,DC=loc |
| URL des primären Servers | LDAP-URL mit Port 3268 anstatt 389: ldap://mydc.mycompany.mydomain.loc:3268 |
| URL des sekundären Servers | <leer> |
| Benutzername | Service-Benutzer zum Auslesen des Verzeichnisses, Domäne in Kurzform: mycompanyusername |
| Kennwort | <Kennwort> |