Dans l’article d’aujourd’hui, je vais expliquer comment vous pouvez modifier le domaine SSO de VMware vCenter Server Appliance (VCSA) de tout ce qui est actuellement configuré vers un nouveau domaine.
Un de mes clients m’a demandé d’intégrer vCenter Server Appliance à son domaine Active Directory (AD) afin que les administrateurs puissent s’authentifier sur vCenter à l’aide de leurs informations d’identification Active Directory au lieu de partager l’administrateur par défaut @ « Domaine SSO VCSA ».
Lors de l’évaluation des exigences de changement, j’ai immédiatement réalisé que le domaine VCSA SSO est exactement le même que le domaine Active Directory. Supposons que le nom de domaine AD soit lunar.cd et que le domaine SSO actuel soit également lunar.cd.
J’ai vérifié en ligne et je n’ai pas vraiment trouvé d’article de blog expliquant le processus de modification du domaine SSO local sur VCSA de la valeur actuelle à une nouvelle valeur sans pointer le VCSA vers un VCSA existant dans ce domaine, etc. mais ne répond pas directement à mon besoin actuel. C’est pourquoi j’aimerais partager mon expérience personnelle.
Cet article de blog est donc une tentative d’expliquer comment j’ai procédé pour changer mon domaine SSO. Veuillez noter que mon environnement est constitué de la version vCenter suivante :
Vous trouverez ci-dessous les étapes que j’ai suivies pour mettre à jour le domaine SSO de « vsphere.local » vers « vsphere.lab » à titre d’exemple :
01/ Activer SSH sur vCenter Server à l'aide de l'interface de gestion d'application (AMI) de vCenter
Connectez-vous à votre interface VCSA AMI à l’aide de l’adresse IP ou du FQDN de vCenter à l’aide du port 5480 tel que : https://192.168.10.211:5480/ (Utilisez l’ID utilisateur : root et le mot de passe correspondant pour vous connecter.)
02/ Activer le service SSH (s'il n'est pas déjà activé)
Vérifiez que le service SSH est en cours d’exécution sur le VCSA. Cliquez sur Accès dans le menu de gauche, comme indiqué ci-dessous :
Si le service de connexion SSH n’est pas activé, cliquez sur « Modifier » et activez ce service pour que vous puissiez accéder à votre VCSA via CLI.
03/ Connectez-vous à votre VCSA via SSH
À l’aide de votre programme Terminal préféré tel que Putty, Secure CRT, etc., connectez-vous à VCSA via SSH en utilisant l’adresse IP ou le nom de domaine complet de VCSA. Vous utiliserez l’ID utilisateur « root » pour vous authentifier et obtenir l’accès.
Par défaut, une fois authentifié via SSH, vous devriez atterrir sur une invite de terminal comme celle-ci :
connectez-vous en tant que : root
Message de bannière de pré-authentification du serveur :
|
| VMware vCenter Server 7.0.3.01400
|
| Type : vCenter Server avec un Platform Services Controller intégré
|
Fin du message bannière du serveur
Invites d’authentification interactives au clavier du serveur :
| Mot de passe:
Fin des invites interactives au clavier du serveur
Connecté au service
* Liste des API : « liste des API d’aide »
* Liste des plugins : « liste d’aide pi »
* Lancer BASH : « shell »
Commande>
Activez BASH Shell en entrant la commande « shell » comme indiqué ci-dessous. Veuillez remarquer comment l’invite change :
Commande> shell
L’accès au shell est accordé à root
root@CD-VCSA-01 [ ~ ]#
04/ Modifier le nom de domaine SSO
Entrez la commande suivante pour mettre à jour le domaine SSO de la valeur actuelle vers la nouvelle valeur. Dans mon exemple, le domaine SSO actuel est « vsphere.local » et la nouvelle valeur est « vsphere.lab » sur la même appliance.
root@CD-VCSA-01 [ ~ ]# cmsso-util domain-repoint -m execute –src-emb-admin Administrator –dest-domain-name vsphere.lab
Entrez le mot de passe administrateur de vCenter Server intégré source :
L’opération de repointage de domaine exportera les données de licence, de balises et d’autorisation.
avant le repointage et importer après le repointage.
AVERTISSEMENT : Les autorisations globales pour le système vCenter Server source seront perdues. L'administrateur du domaine cible doit ajouter manuellement les autorisations globales. Les utilisateurs et groupes du domaine source seront perdus après l'opération Repoint. L'utilisateur « Administrator@vsphere.lab » se verra attribuer le rôle d'administrateur sur le système vCenter Server source.
Le mode de résolution par défaut pour les conflits de balises et d'autorisation est Copier, sauf remplacement dans les fichiers de conflit générés lors de la pré-vérification.
Les solutions et plug-ins enregistrés auprès de vCenter Server doivent être réenregistrés.
Avant d'exécuter l'opération Repoint, vous devez sauvegarder tous les nœuds. Vous pouvez utiliser des sauvegardes basées sur des fichiers pour restaurer en cas d'échec. En utilisant l'outil Repoint vous acceptez de prendre la responsabilité de créer des sauvegardes, sinon vous devez annuler cette opération.
Informations sur le nœud de repointage :
Source vCenter Server intégré : cd-vcsa-01.lunar.cd
Tous les paramètres de configuration Repoint sont corrects ; procéder? [O|o|N|n] : Oui
05/ Connectez-vous à vCenter à l'aide du nouveau domaine SSO
Une fois le changement de nom de domaine SSO terminé, vous devriez pouvoir vous connecter à vCenter en utilisant le nouveau nom de domaine comme « Administrateur@vsphere.lab » dans mon exemple. Vous devriez voir le nouveau nom de domaine reflété dans l’interface de gestion d’application (AMI) de vCenter et l’interface utilisateur d’administration de vCenter :
REMARQUE : Une fois le domaine SSO modifié avec la nouvelle valeur qui n'entrait pas en conflit avec le domaine Active Directory, j'ai pu joindre le VCSA au domaine Active Directory et configurez-le comme source d'identité. Les administrateurs système peuvent désormais se connecter à vCenter à l'aide de leurs informations d'identification Windows Active Directory.
Je suis curieux de savoir si vous avez rencontré le même problème et comment avez-vous procédé… veuillez laisser un commentaire ci-dessous et laissez-nous la conversation commencer.