使用Windows Active Directory组控制vSpere管理权限
VMware性能监控与优化,本文学习如何创建一个Windows AD组,以及如何在vSpere中使用这个组控制虚拟基础架构的管理人员。

Windows管理员在实际操作中发现最好能够在安装服务器之后配置该服务器,从而可以使用户以非Windows管理员的身份登录。在VMware vSpere管理过程中也会遇到同样的问题:在vCente服务器设置、运行,并且合理配置之后,用户应该可以不以Windows管理员登录那样登录到vSpere客户端。但是为了达到这个目的,就需要使用Windows Active Directory(AD)连接vSpere。在本文中,TechTarget中国的特约虚拟化专家David Davis将会介绍如何创建一个Windows AD组,以及如何在vSpere中使用这个组控制虚拟基础架构的管理人员。
  为什么不能够使用管理员账号管理vSpere?
  和用户不希望每一个人都可以以“域管理员”或者甚至是“本地管理员”身份登录到自己的Windows PC机一样,用户也同样不希望所有VMware管理员以域管理员身份(或者是用户所创建的其他具有完全访问权限的管理员账号)登录到vSpere。下面列出的是若干个真正原因:
  • 可追踪性:每个用户使用相同的用户名,那么如果虚拟基础架构出问题的话,怎么定位该有谁来负责?如果每个用户都以自己的账号登录,这样就可以在账号身份下记录该用户做的所有更改,而不是记录在一个统一的账号下。
  • 认证:如果每个用户都以管理员身份登录,如何定位知道网络上的恶意***者。因为每个用户看起来都一样。
  • 授权:需要限制对虚拟基础架构的访问,读者是否听说过最小特权原则?根据该原则,应该是只给员工授权对完成其自身任务所必需的公司资源的访问权限。这样的话,每个用户都应该以其自身的身份登录到系统,并且可以限制在虚拟基础架构中特定区域和任务,这是其完成工作所必需的。
  为vSpere管理工作创建一个Windows AD组
  Windows Active Directory很可能是网络上认证信息(用户名和口令)的一个单独存储池。用户希望使用Windows AD而同时又不需要再另外创建一个认证信息存储池。幸运的是,VMware内置了这项功能,并且也可以很方便地使AD和VMware协调工作。
  即使在网络上只有一个VMware管理员,还是需要首先创建一个名字为“vSpere Admins”的Windows组。最初该组可能只有一个账户,但是之后可以新增其他账户。也可以创建其他组,然后为其命名,如“vSphere Desktop VM admins”或者“vSphere Web Server admins”。这些组内的账户没有完全控制权限,但是可以管理该区域内的特定VMware虚拟机。也可以更具体点,如创建一个命名为“vSphere Support Techs”的组,只给该组内的账户对特定虚拟机开机和关机权限。
  下面创建“vSphere Admins”组:首先需要进入Windows DC界面,运行Active Directory Users and Computer(或者远程运行)。
  Active Directory Users and Computer运行之后,在Windows AD内创建一个新的全局安全组,命名为“vSphere Admins”,如下图所示:
  下一步,把自己和其他vSpere管理员账户添加到这个组内,如下图所示:
  上面都是从Windows AD的角度看,下面介绍一下在vSpere内需要做的工作。
  配置vSpere可以使其使用Windows组控制管理权限
  创建Windows AD组并且把用户账号加入该组后,需要告诉vSpere使用这个Windows组。假定计划给予这些组内的用户完全的vSpere管理员权限,点击“主机和集群目录”中目录树的最高级别就可以了,这个应该是虚拟基础架构的vCenter服务器。
  点击vCenter服务器,然后点击“权限许可(Permission)”标签页。可以看到管理员组拥有完全访问权限,如下图所示:
  接下来需要做的是创建一个新vSpere管理组,移除当前组。当然在增加新组之前用户不希望移除当前组,否则就会失去任何访问权限。为了增加新组,在权限许可标签页的空白处单击右键,选择“新增权限许可(Add Permissions)”,如下图所示:
  然后就可以看到“指定权限许可”窗口,在这个对话框上,点击“添加”就可以增加新用户和组,如下图所示:
  此时出现的是“选择用户和组”对话框。选择将要用来覆盖用户和组的域。在实施过程中,我们选择了“WIREDBRAINCOFFEE”域,因为有很多用户和组都在这个列表中,因此我使用搜索选项寻找vSpere。在此仅仅看到新创建的vSpere管理组,所以选择这个组,然后点击“添加”,如下图所示:
  现在点击“完成”就可以了。回到“指定许可权限”对话框就可以看到新增的vSpere管理组,但是该组在默认状态下只有只读权限。在右边,我使用“指定角色”的下拉菜单,找到“管理员”选项,如下图所示:
  接下来,点击“完成”使这个管理员角色指定到vSe管理组操作生效。现在就拥有两个不同的组,这两个组都可以对vSpere做管理性的修改。
  现在需要移除默认的管理员组,右键点击该组,选择“删除”。在弹出的确认删除的消息框中,点击“是”。然后需要立刻取消vSpere客户端,因为此时是以管理员身份登录的,对吧?
  测试新Windows AD和vSpere安全配置
  为了充分测试,需要连接到vSpere客户端。以自己的身份登录到系统,可以使用在Windows AD中为自己定义的任何用户名和口令。如果已经使用Windows AD登录到PC机中,该登录和新vSpere管理组中的Windows AD登录相同。点击“使用Windows会话认证信息”,看来并不是必须输入用户名或者口令才可以建立连接。
  如果在PC机上没有登录到该域中,输入Windows的域名和口令,如下图所示:
  成功了!
  成功地以“ddavis”(那个是我的用户名)身份登录到vSpere客户端,而不用必须以Windows域管理员的身份登录。
  最后回到vSpere vCenter服务器的权限许可标签页,验证名字为“vSphere Admins”的WiredBrainCoffee.com域用户是否能够登录和控制该虚拟基础架构。