Joindre l'hyperviseur VMware ESXi 6.7 à un domaine Active Directory
- VMware
- 28 septembre 2022 à 16:55
-
- 2/2
6. Configurer le serveur DNS
Pour pouvoir accéder à votre hyperviseur VMware ESXi depuis son nom de domaine "esxi.informatiweb.lan", vous devrez configurer l'enregistrement DNS "A" ou "AAAA" correspondant sur votre serveur DNS local.
Pour cela, lancez le programme "DNS" (Gestionnaire DNS) et sélectionnez votre zone de recherche directe.
Ensuite, dans la partie droite, faites un clic droit "Nouvel hôte (A ou AAAA)" dans l'espace vide.
Dans la fenêtre "Nouvel hôte" qui s'affiche :
- indiquez le nom d'hôte (nom court) de votre hyperviseur VMware ESXi
- le nom de domaine pleinement qualifié (FQDN) sera mis à jour en temps réel et correspondra au nom de domaine complet de votre hyperviseur VMware ESXi
- indiquez l'adresse IP de votre hyperviseur VMware ESXi
- cochez la case "Créer un pointeur d'enregistrement PTR associé"
- puis, cliquez sur : Ajouter un hôte
L'enregistrement d'hôte esxi.informatiweb.lan a été créé correctement.
Votre nouvel enregistrement DNS apparaitra dans votre zone de recherche directe.
Et son pointeur associé apparaitra dans la zone de recherche inversée.
Depuis un PC client configuré avec l'adresse IP de votre serveur DNS comme serveur DNS principal, vous pourrez donc accéder aussi à votre hyperviseur en tapant l'adresse "https://esxi.informatiweb.lan/ui".
7. Créer le groupe Active Directory "ESX Admins" (facultatif)
Par défaut, VMware ESXi est configuré pour accorder les droits "Administrateur" aux membres du groupe Active Directory "ESX Admins" si celui-ci existe.
Sur votre contrôleur de domaine Active Directory, ouvrez la console "Utilisateurs et ordinateurs Active Directory" et faites un clic droit "Nouveau -> Groupe" sur le dossier "Users" (ou sur n'importe quelle unité d'organisation).
Notez que ce groupe peut être créé avant ou après la jonction de votre hyperviseur VMware ESXi à un Active Directory.
En effet, une fois joint à votre Active Directory, votre hyperviseur VMware ESXi vérifiera périodiquement la présence de ce groupe "ESX Admins" sur votre infrastructure Active Directory.
Indiquez "ESX Admins" pour le nom du groupe et assurez-vous de créer un groupe de type "Sécurité".
Comme indiqué précédemment, VMware ESXi cherche un groupe nommé "ESX Admins".
Néanmoins, vous pourrez modifier ce nom dans les paramètres avancés de votre hyperviseur VMware ESXi si vous le souhaitez.
Pour cela, allez dans : Hôte -> Gérer -> Système -> Paramètres avancés.
Indiquez "esxAdminsGroup" dans la case de recherche et appuyez sur Enter.
Dans les paramètres avancés qui apparaissent, sélectionnez le paramètre "plugins.hostsvc.esxAdminsGroup".
Comme vous pouvez le voir dans la description de ce paramètre avancé, ce paramètre permet de définir le nom du groupe Active Directory auquel des privilèges administrateur sont automatiquement affectés sur l'ESX.
Et comme vous pouvez le voir, la valeur par défaut (ou autrement dit le nom de ce groupe) est "ESX Admins".
Faites un double clic sur le groupe créé et allez dans l'onglet "Membres".
Ensuite, cliquez sur : Ajouter.
Indiquez le nom de l'utilisateur que vous souhaitez ajouter en tant qu'administrateur de votre hyperviseur VMware ESXi et cliquez sur OK.
Si plusieurs noms sont trouvés sur votre serveur Active Directory, sélectionnez le bon et cliquez sur OK.
Cet utilisateur a été ajouté au groupe Active Directory "ESX Admins" et possèdera des droits administrateur sur votre hyperviseur VMware ESXi.
Ajoutez d'autres utilisateurs à ce groupe si vous le souhaitez, puis cliquez sur OK.
8. Joindre VMware ESXi à un domaine Active Directory
Pour joindre votre hyperviseur VMware ESXi à un domaine Active Directory, allez dans : Hôte -> Gérer -> Sécurité et utilisateurs -> Authentification.
Ensuite, cliquez sur : Joindre un domaine.
Dans la fenêtre "Joindre un domaine" qui apparait, indiquez :
- Nom de domaine : le nom du domaine Active Directory à rejoindre
- Nom d'utilisateur : le nom du compte Administrateur de votre domaine
- Mot de passe : le mot de passe de ce compte
Note : l'option "Utiliser le proxy d'authentification" permet d'utiliser un serveur vSphere Authentication Proxy pour l'authentification plutôt que d'utiliser les identifiants (nom d'utilisateur / mot de passe).
Si les informations indiquées sont correctes, le message "L'hôte a rejoint le domaine [nom du domaine AD]" apparaitra.
Sur votre contrôleur de domaine, vous verrez un nouvel objet ordinateur apparaitre avec le nom de votre serveur VMware ESXi.
Dans la liste des services, vous verrez que le service "lwsmd" (Service Active Directory) est démarré.
Pour le pare-feu de votre hyperviseur VMware ESXi, vous verrez que la règle "Active Directory - Tout" a été activée.
9. Configurer les autorisations pour les utilisateurs de l'Active Directory (AD)
Comme expliqué dans notre tutoriel "VMware ESXi 6.7 - Gérer les rôles, les utilisateurs et les autorisations", vous pouvez gérer les autorisations sur différents objets (hôte, machines virtuelles, stockage, ...) de votre hyperviseur VMware ESXi.
Dans ce cas-ci, nous allons gérer les autorisations sur l'hôte en lui-même.
Pour cela, faites un clic droit "Autorisations" sur l'hôte.
Si vous avez créé le groupe "ESX Admins" au préalable sur votre contrôleur de domaine Active Directory, vous verrez que les membres de ce groupe "esx^admins" possèderont par défaut le rôle "Administrateur".
Ce qui permet de leur accorder un accès complet à votre hyperviseur VMware ESXi.
Pour ajouter une autorisation pour un utilisateur ou un groupe Active Directory, cliquez sur : Ajouter un utilisateur.
Comme vous pouvez le voir, dans cette interface web, VMware ESXi ne liste que les utilisateurs locaux.
Contrairement au client lourd "VMware vSphere Client" qui affichait ces informations auparavant, mais qui n'existe plus à l'heure actuelle étant donné qu'il a été remplacé par ce client HTML 5 (VMware Host Client).
Sur notre contrôleur de domaine, nous avons créé un utilisateur "InformatiUser".
Pour ajouter des autorisations à un utilisateur ou un groupe de votre Active Directory, vous devrez indiquer son nom complet en utilisant le format "[nom NETBIOS du domaine Active Directory]\[nom d'utilisateur]".
Dans notre cas, cela donne : INFORMATIWEB\InformatiUser.
Ensuite, sélectionnez le rôle que vous souhaitez lui attribuer pour l'objet concerné.
Dans notre cas, nous avons sélectionné le rôle "VM_manager" que nous avions créé dans notre précédent tutoriel : VMware ESXi 6.7 - Gérer les rôles, les utilisateurs et les autorisations.
Note : si il s'agit d'un groupe Active Directory, cochez la case "Ajouter en tant que groupe".
Ensuite, cliquez sur : Ajouter un utilisateur.
L'autorisation pour votre utilisateur ou groupe Active Directory apparait.
10. Test des autorisations
Déconnectez-vous et connectez-vous avez un compte qui se trouve dans le groupe "ESX Admins".
Dans notre cas, nous nous connectons avec le compte Active Directory : INFORMATIWEB\Administrateur.
Comme prévu, nous avons accès à notre hyperviseur VMware ESXi grâce à ce compte d'utilisateur.
Comme vous pouvez le vérifier en haut de la page.
Déconnectons-nous et connectons-nous avec l'utilisateur à qui nous avons accordé manuellement des autorisations grâce à notre rôle personnalisé "VM_manager".
Comme prévu, nous avons aussi accès à notre hyperviseur VMware ESXi. Mais avec des droits limités.
Comme notre rôle personnalisé nous permet de gérer les machines virtuelles, nous avons le droit d'afficher la liste des machines virtuelles présentes sur cet hyperviseur VMware ESXi.
Ainsi que de gérer celles-ci.
Partager ce tutoriel
A voir également
-
VMware 17/2/2023
VMware ESXi 6.7 - Configurer les paramètres des machines virtuelles
-
VMware 2/6/2023
VMware ESXi 6.7 - Connecter un lecteur de cartes à puce à une VM
-
VMware 19/10/2022
VMware ESXi 6.7 - DirectPath I/O (PCI passthrough)
-
VMware 7/4/2023
VMware ESXi 6.7 - Fonctionnement de la gestion de la mémoire (RAM)
Pas de commentaire