Руководство по системе единого входа vCenter 5.5
Введение
Когда VMware выпустила vSphere 5.1, они также развернули единый вход (SSO), который является обязательной установкой вместе с vCenter 5.1. Идея единого входа заключалась в том, чтобы позволить пользователям входить с теми же учетными данными в другие продукты VMware и сайты vSphere. Теоретически это казалось отличной идеей, но, к сожалению, реализация оставляла желать лучшего. Первоначальный продукт SSO 5.1 был в основном продуктом RSA, который использовал базу данных SQL. Если вы сделали «Простую» установку, она установила все за вас. Если вы хотите поместить его в отдельную базу данных (как описано здесь), все становится немного сложнее. Если вы действительно хотели использовать SSO по назначению, это было еще сложнее.
Рассмотренные вопросы
Компания VMware выслушала все жалобы на SSO, а их было много, и что-то предприняла в своем последнем выпуске vCenter. Они полностью переписали продукт собственными силами, как описано в подкасте VMware Communities Roundtable Podcast (http://www.talkshoe.com/talkshoe/web/audioPop.jsp?episodeId=790682&cmd=apop). Согласно подкасту, они работали над будущим продуктом и решили применить его к SSO и ускорить его выпуск с 5.5.
Мне удалось установить vSphere 5.5 несколько раз, и я должен сказать, что с точки зрения установки она намного лучше, чем предыдущая версия. Я считаю, что одна из причин, по которой его проще и интуитивно понятнее установить, заключается в том, что он фактически использует Active Directory. В версии 5.1 для подключения нужно было использовать LDAP. Предполагалось, что эта информация будет заполняться, если вы вошли в систему как администратор домена, но у меня это редко срабатывало. Затем вам пришлось выяснить всю информацию LDAP и заполнить ее вручную. Теперь, с новой версией, даже если вы не заполняете эту информацию автоматически, вы можете просто подключиться к AD и ввести имя пользователя и пароль.
Процесс установки
Давайте рассмотрим установку SSO, чтобы вы могли лучше понять, как это изменилось. Установка SSO по-прежнему является частью установки vCenter 5.5. Вы можете либо выполнить простую установку, которая устанавливает SSO, vCenter Inventory Service и сам vCenter, либо выполнить их отдельно. В этом примере я буду выполнять только отдельную установку SSO. Обратите внимание, что вы можете обновиться с 5.1 (а также с 4.0, 4.1), даже несмотря на то, что SSO был полностью переписан.
Установка системы единого входа:
- Загрузите ISO-образ vCenter с сайта VMware.com и подключите его к своему vCenter. Запустите установку.
- На экране установщика vCenter выделите vCenter Single Sign On и нажмите кнопку «Установить».
- Нажмите «Далее» на первом экране и в лицензионном соглашении.
- На следующем экране будет показано, что он выполняет быструю проверку, чтобы убедиться, что вы устанавливаете на сервер, который присоединен к домену, и было ли успешно разрешено DNS. Если вы получите зеленые галочки на обоих, вы можете нажать «Далее».
- Следующий экран дает вам три варианта, как показано ниже:
фигура 1
Если это ваш единственный vCenter или ваш первый vCenter для среды, вам следует выбрать первый вариант, даже если вы обновляете свой сервер, а SSO уже присутствует. Выберите второй вариант, если вы устанавливаете его на том же сайте, но это не первый vCenter, на который вы его устанавливаете. Выберите третий вариант, если вы создаете новый сайт, но он находится в существующем домене. Для целей этого примера мы выберем первый вариант и нажмем «Далее».
- На следующем экране мастера запрашиваются наши учетные данные SSO. В 5.1 это было немного по-другому. Имя пользователя [email protected] больше не существует. Теперь он [email protected], как вы можете видеть на снимке экрана ниже. Введите пароль здесь и убедитесь, что вы записали его где-нибудь, где вы сможете найти его на случай, если вам когда-нибудь понадобится восстановить vCenter, а также для остальной части установки vCenter. Затем нажмите Далее.
фигура 2
- На следующем экране введите имя для вашего сайта. Вы можете оставить имя сайта по умолчанию или выбрать новое. Это несколько произвольно, вам нужно только выбрать имя, которое имеет смысл для вашей среды.
- На следующем экране вы можете выбрать порт, скорее всего, вы захотите оставить его по умолчанию. Нажмите "Далее.
- Затем выберите путь установки, который я обычно оставляю по умолчанию, если кто-то не захочет вместо этого указать диск приложения или что-то в этом роде. Нажмите "Далее.
- Проверьте свои настройки и нажмите «Установить».
Опять же, обратите внимание, что нет внешней базы данных для установки или учетных данных для указания, кроме пароля администратора единого входа. Вместо этого хранилище для хранения учетных данных встроено в саму архитектуру единого входа. В версии 5.1 VMware предложила установить SSO, Inventory Service и vCenter на разных серверах, чтобы снизить нагрузку на сервер. Однако VMware больше не предлагает этого. Теперь они говорят, что все это должно быть установлено на одном сервере, если только это не является абсолютно необходимым (например, ваша среда действительно велика). Это действительно хорошо, потому что для того, чтобы все работало правильно (и было поддерживаемой VMware конфигурацией, все компоненты должны быть одной версии, поэтому вам нужно было не забыть обновить все три. Теперь мы можем легко обновить все компоненты. на одном сервере.
Веб-клиент
Давайте посмотрим, что вы видите в веб-клиенте vSphere в новой версии. Если мы войдем в веб-клиент, затем нажмите «Администрирование», слева будет категория «Единый вход». Под ним у нас есть Пользователи и Группы, а также Конфигурация. Если мы нажмем «Конфигурация», появятся три вкладки, на которые нужно нажать: «Политики», «Идентификационные источники» и «Сертификаты». На вкладке «Политики» у нас есть политики паролей, политики блокировки и политики токенов, которые можно редактировать.
Если мы нажмем «Источники удостоверений», мы увидим источники, такие как наш домен, где мы можем добавить источники удостоверений. Как упоминалось выше, теперь это намного проще, поскольку мы не ограничены LDAP для интеграции с Active Directory. Когда вы нажмете знак +, вы увидите следующее всплывающее окно.
Рисунок 3
Здесь мы можем указать доменное имя, а затем либо использовать учетную запись компьютера, либо указать учетную запись службы, например, для синхронизации Active Directory.
Указание пользователей и групп для предоставления доступа очень похоже на предыдущую версию. Нам просто нужно щелкнуть «Пользователи и группы», выбрать «Источник удостоверений» (т. е. наш домен), а затем добавить пользователей или группы, которые должны иметь доступ, и тип доступа, который они должны получить.
Еще следует отметить, что SSO 5.5 может поддерживать vCenter 5.1. Хотя SSO 5.1 был ограничен только конфигурациями SSO, они позволили использовать SSO 5.5 для обеспечения обратной совместимости. Таким образом, хотя вы можете использовать SSO 5.5, если вы используете стабильную версию 5.1, это, вероятно, вам не поможет. Однако, если у вас многосайтовая среда и вы не можете обновить все сразу, 5.5 подойдет для всего. Дополнительную информацию об архитектуре для нескольких версий см. в блоге Криса Валя здесь.
Некоторые мысли
Новая версия SSO очень впечатляет, хотя, возможно, ей все еще не хватает некоторых вещей, таких как сторонняя интеграция, которую хотели бы видеть некоторые администраторы безопасности. Это, безусловно, шаг в правильном направлении, и, надеюсь, это только вопрос времени, прежде чем будет сделано еще больше подобных улучшений.