Bien qu'il soit possible de s'authentifier sur un serveur VMware vCenter Server (VCSA) avec un compte d'utilisateur local (défini sur ce serveur), il est aussi possible de joindre ce serveur à un domaine Active Directory pour pouvoir s'authentifier avec un utilisateur de votre domaine Active Directory.

1. Joindre vCenter Server (VCSA) à un domaine Active Directory
2. Ajouter une source d'identité
3. Afficher la liste des utilisateurs Active Directory
4. Ajouter un membre à un groupe
5. Connexion avec un compte d'utilisateur de l'Active Directory

1. Joindre vCenter Server (VCSA) à un domaine Active Directory

Pour commencer, connectez-vous en tant que "administrator@vsphere.local" sur votre serveur VMware vCenter Server via l'adresse : https://vcsa.informatiweb.lan/ui/
Ensuite, allez dans : Menu -> Administration.

Ensuite, dans le menu de gauche, allez dans : Single Sign-On -> Configuration.
Puis, dans l'onglet "Domaine Active Directory", cliquez sur : Joindre AD.

Dans le cadre "Joindre le domaine Active Directory" qui apparait, indiquez :

• Domaine : le nom du domaine Active Directory à rejoindre
• Unité d'organisation (facultatif) : l'unité d'organisation (dossier) dans laquelle créer le compte d'ordinateur correspondant à votre serveur vCenter Server sur votre contrôleur de domaine Active Directory.
  Par exemple, si vous avez créé une unité d'organisation "ESXi_Servers" à la racine de votre domaine AD "domaine.lan", vous indiquerez ce chemin LDAP : OU=ESXi_Servers,DC=domaine,DC=lan
• Nom d'utilisateur : nom de l'utilisateur au format "[nom du compte d'utilisateur AD]@[nom du domaine AD où se trouve l'utilisateur]" qui possède les autorisations nécessaires pour joindre un ordinateur / serveur à votre domaine Active Directory.
  Dans notre cas, nous avons utilisé le compte Administrateur de notre domaine AD.
  Notez que le format "[Nom de domaine NETBIOS]\[nom d'utilisateur]" n'est PAS pris en charge.
• Mot de passe : mot de passe de cet utilisateur

Ensuite, cliquez sur : Joindre.

Important : l'utilisation d'un contrôleur de domaine en lecture seule (RODC) n'est pas supportée.

Une fois la jonction à votre domaine AD effectuée, ce message s'affichera :

Le noeud vcsa.informatiweb.lan a joint Active Directory avec succès. Redémarrez le noeud pour appliquer les modifications.

Pour redémarrer votre serveur VMware vCenter Server depuis ce vSphere Client :

• allez dans "Déploiement -> Configuration système"
• sélectionnez le serveur que vous venez de joindre à votre domaine AD
• cliquez sur : Redémarrer le noeud

Indiquez un motif pour le redémarrage du noeud et cliquez sur : Redémarrer.
Par exemple : Jonction à l'Active Directory.

Notez que le redémarrage de ce noeud aura plusieurs conséquences :

• l'arrêt des tâches en cours
• la déconnexion temporaire des utilisateurs qui y seraient connectés actuellement
• les fonctionnalités DRS (Distributed Ressource Scheduler) et vMotion (migration de VMs d'un hôte à un autre) seront temporairement indisponibles
• si un PSC est présent sur ce noeud, le SSO, la gestion de licences et les certificats présents sur celui-ci seront temporairement indisponibles

La liste des noeuds réapparait.

Si vous ouvrez la console de VCSA (vCenter Server Appliance) depuis l'interface web "VMware Host Client" de votre hôte VMware ESXi, vous verrez que l'arrêt peut prendre quelques minutes.

Plain Text

[ ***] (1 of 2) A stop job is running for VMware Service Lifecycle Manager (40s / 3min)

Une fois le redémarrage terminé, la console bleue et grise de VCSA (si applicable) réapparaitra.

Si vous tentez d'accéder trop vite à l'interface web de VCSA, vous recevrez peut-être cette erreur :

503 Service Unavailable (Failed to connect to endpoint: [N7Vmacore4Http20 NamedPipeServiceSpecE:0x0000560c737eed50] _...

Si tel est le cas, attendez encore 1 minute et réessayez, maintenant, la page de connexion "VMware vSphere" apparaitra sans problème.
Cela est simplement dû au fait que VMware vCenter Server est composé de nombreux services et que cela met donc du temps avant que tous ces services aient fini de démarrer.

Pour voir les informations concernant la jointure à votre domaine Active Directory, retournez dans : Menu -> Administration -> Single Sign-On -> Configuration -> Domaine Active Directory.
Comme vous pouvez le voir, notre serveur "vcsa.informatiweb.lan" est joint au domaine Active Directory "INFORMATIWEB.LAN" et le chemin LDAP pour l'unité d'organisation n'avait pas été indiqué.

2. Ajouter une source d'identité

Pour ajouter une source d'identité, allez dans : Menu -> Administration -> Single Sign-On -> Configuration -> Sources d'identités.
Puis, cliquez sur : Ajouter une source d'identité.

Etant donné que vous venez de lier votre serveur vCenter Server à votre domaine Active Directory, vous pouvez ajouter la source d'identité pour le même domaine Active Directory plus rapidement.

Pour cela :

• sélectionnez "Type de source d'identité : Active Directory (Authentification intégrée de Windows)".
• indiquez le nom de domaine que vous venez de rejoindre.
• sélectionnez "Utiliser un compte d'ordinateur". Cet objet AD a été créé automatiquement sur votre contrôleur de domaine lorsque vous avez joint votre serveur vCenter Server à votre domaine Active Directory.
• cliquez sur : Ajouter.

La nouvelle source d'identité de type "Active Directory (Authentification intégrée de Windows)" apparait dans la liste.

3. Afficher la liste des utilisateurs Active Directory

Comme expliqué précédemment, ajouter une source d'identité vous permet d'utiliser des comptes d'utilisateurs présents sur un contrôleur de domaine Active Directory pour vous connectez à ce vSphere Client.
Pour le vérifier, allez dans : Single Sign-On -> Utilisateurs et groupes -> Utilisateurs.

Par défaut, le domaine sélectionné et le domaine SSO créé lors du déploiement de VMware vCenter Server (ou VCSA).
Le domaine SSO par défaut étant "vsphere.local".

Si vous ouvrez la liste "Domaine", vous verrez votre domaine Active Directory apparaitre.
Si vous le sélectionnez, vous verrez que la liste des utilisateurs présents dans ce domaine Active Directory apparaitra.

Par exemple : dans notre cas, nous pouvons voir notre utilisateur "InformatiUser" apparaitre.

4. Ajouter un membre à un groupe

A titre de démonstration, nous allons ajouter un utilisateur de notre domaine Active Directory dans le groupe "Administrators" de vCenter Server.
Pour cela, allez dans l'onglet "Groupes" et cliquez sur le nom du groupe "Administrators".

Ensuite, cliquez sur le lien : Ajouter des membres.

A la ligne "Ajouter membres", sélectionnez votre nom de domaine Active Directory (ex : informatiweb.lan) dans la liste, puis tapez le nom d'un utilisateur dans la case suivante.
Dans notre cas, nous indiquons "Administrateur" et vCenter Server trouve notamment le compte d'utilisateur "Administrateur" de notre domaine Active Directory.

Cliquez sur le nom de cet utilisateur.

Le compte Administrateur apparait dans la liste des membres de ce groupe.
Cliquez sur Enregistrer.

Comme vous pouvez le voir, l'utilisateur de notre domaine Active Directory a bien été ajouté dans le groupe "Administrators" de VMware vCenter Server.

5. Connexion avec un compte d'utilisateur de l'Active Directory

Déconnectez-vous du vSphere Client (en cliquant sur votre nom d'utilisateur en haut à droite de la page), puis tentez de vous connecter avec le compte d'utilisateur Active Directory que vous venez d'ajouter au groupe "Administrators" de VMware vCenter Server.

Dans notre cas, nous indiquons donc :

• Administrateur@informatiweb.lan
• son mot de passe

Puis, nous cliquons sur Connexion.

Comme prévu, nous avons accès au vSphere Client et nous possédons autant de droits que précédemment étant donné que notre compte utilisateur fait partie du groupe "Administrators" de VMware vCenter Server.