VMware ESXi Host’un Active Directory Ortamına Dahil Edilmesi

Bu makalede, bir Active Directory etki alanına bir ESXi ana bilgisayarı eklemek için adımlar sağlar.

VMware ESXi host’unuzu, Active Directory (AD) olmak üzere çeşitli kimlik doğrulama yöntemlerini destekleyen PAM veya Pluggable Authentication Module çerçevesi uygular. Bu, ActiveDirectory’nin vSphere ortamlarınıza bir kimlik doğrulama mekanizması olarak dahil edebileceğiniz anlamına gelir. Bu yöntem ile kullanmanın avantajları oldukça çoktur, ancak en çok öne çıkan kullanımda; bir Actrive Directory kullanıcı hesabını kullanarak kimlik doğrulaması yapabilmek ve bunu, Active Directory güvenlik grupları da dahil olmak üzere, vSphere nesnelerine izin vermek için kullanmaktır. Bu yöntemde, yerel ESXi kullanıcılarını ve gruplarını ESXi’nin çoklu örnekleri arasında koruma ve çoğaltma ihtiyacını ortadan kaldırır. Windows kimlik bilgilerini kullanarak ESXi hostları üzerinde oturum açmak pratik ve kontrolü sağlanabilir olacaktır. Active Directory kimlik doğrulaması aktif edildiğinde; kullanıcı yönetimi de kolaylaşacaktır. Örneğin; Active Directory ile, kullanıcı hesabını devre dışı bırakmak basit bir işlemdir ve sonrasında bu kullanıcı hesabının tanımlı olduğu her bir sistem üzerinde devre dışı bırakılması ile uğraşmanızda da gerek kalmayacaktır. Öte yandan, sistem yöneticilerinin root veya benzer şekilde ayrıcalıklı hesapların bilgilerini de paylaşıyor ve kullanıyorlarsa, bu güvensiz yöntem ile; güvenliğin önem verdiğiniz bir şey olduğunu varsayarak, size ek olarak parola değişikliği iş yükünü de gerektirecektir.

Bir ESXi hostunu, salt okunur bir etki alanı denetleyicisine (RODC) sahip bir Active Directory etki alanına dahile dilmesi desteklenmez. Bir ESXi hostu yalnızca yazılabilir bir etki alanı denetleyicisine sahip bir Active Directory etki alanına dahil edebilirsiniz.

ESXi Hostlarının Domain Ortamına Dahil Edilmeden Önce Yapılaması Gerekenler;

  1. ESXi NTP Yapılandırması:

Active Directory ile ESXi Host sunucusu arasındaki zaman senkronizasyonu oldukça önemlidir. ESXi ana bilgisayarındaki ve DC’deki saat senkronize olmalıdır. Bunu yapmak için de her iki sisteminde de aynı NTP kaynağını kullanacak şekilde yapılandırın yada ESXi Hostunuzun NTP servisini Domain Controller gibi bir NTP kaynağı olarak kullanacak şekilde yapılandırınız. Varsayılan ayarlarda; PDC Emulator rolüne sahip bir Domain Controller sunucusu, tüm forest içinde zamanı tutmaktan da sorumlu bir roldür.

Bu gereksinime göre, ESXi host’unun, Active Directory ile zaman eşitlenmelidir. Bunun yapılması için de; PDC rolünü üstlenen Domain Controller sunucusunun IP adresini ESXi Server’da NTP sunucuları listesine eklemektir.

NTP yapılandırması tamamlandıktan sonra ntpd servisini başlatınız.  

  • ESXi DNS Yapılandırması

ESXi hostunun, Domain Adını ve Active Directory sunucularının adlarını DNS üzerinden çözebilmelidir. Bunun en kolay çözümü, DNS sunucusu olarak Active Directory sunucularının kullanılması olacaktır. Diğer bir DNS gereksinimde ESXi sunucularının host adlarının DNS sunucuları üzerinde A ve PTR kayıtlarının olması gerekmektedir.

Bu gereksinime göre önce; Active Directory üzerindeki DNS sunucusunda ESXi host için A ve PTR kayıtlarını oluşturunuz.

DNS sunucusu üzerinde “A” ve “PTR” kaydı oluşturulduktan sonra ESXi Host üzerinde DNS, domain adı ve hostname tanımlamasını yapınız. Aşağıdaki resimlerde bu gereksinim için; ESXi host üzerinde yapılması gereken ayarlara ait ekran görüntüsü yer almaktadır.

  • Firewall Erişim Kuralları:

ESXi hostlarınızı Active Directory ortamına dahil edebilmek için UDP ve TCP portlarının güvenlik duvarı tarafından engellenmediğin emin olunuz. ESXi sunucuları ile Active Directory sunucuları arasında açık olması gereken portlar aşağıdaki tabloda yer almaktadır.

Port NoProtokol Adı
53DNS
88Kerberos
123NTP
135RPC
137NetBIOS
139NetBIOS – SMB
389LDAP
443Microsoft-DS Active Directory, SMB ove TCP
445Server Message Block (SMB)
464Kerberos
3268Global Catalog
7476VMware vSphere Authentication Proxy 
  • Active Directory’de ESXi Yöneticileri için Security Group Oluşturulması

Active Directory Users and Computers yönetim konsolunu kullanarak “ESX Admins” adında bir güvenlik grubu oluşturun ve bu gruba Active Directory’de hesabı olan ve ESXi sunucularında root yetkisine sahip olmasını istediğiniz kullanıcılarını ekleyiniz.

Not: ESXi hostunuzun Active Directory ‘de oluşturduğumuz “ESX Admins” security grubunun yada istediğiniz herhangi bir Active Directory grubunu belirtebilirsiniz. Bu işlem “Config.HostAgent.plugins.hostsvc.esxAdminsGroup” daki “ESX Admins” grup adını değiştirerek tanımlayabilirsiniz.

ESXi hostunuz domaine dahil edilmesi tamamlandıktan sonra “ESX Admins” grubu ESXi Host üzerinde “Adminstrator” yetkisine sahip olacaktır.

  • ESXi Firewall Yapılandırması

VMware ESXi üzerindeki “Active Directory All” güvenlik duvarı kuralının varsayılan olarak devre dışı bırakılmıştır. Bu, durum elbette, ESXi ile Domain Controller’in erişemeyeceği için Active Directory entegrasyon sürecine sorunlara neden olacaktır. ESXi sunucu üzerinde bu işlemi yapabilmek için güvenlik duvarı kuralını etkinleştirilmesi gerekiyor. Bu işlem için ilgili kural üzerinde sağ tıklayınız ve “Enable” ‘i seçiniz.

Gerekli olan hazırlıkları tamamlandıktan sonra ESXi sunucularınızı Active Directory üyesi yapmak için;

  • ESXi Host Client’ da root hesabı ile oturum açınız.
  • Açılan ESXi Host Client’da sırasıyla; “Manage” -> “Security & users” ve “Authentication” adresine gidininiz.
  • Açılan “Authentication” adımında “Join Domain” butonuna basınız. Domaine dahil etmek için domain adı ve yetkili bir hesaba ait kullanıcı adı ve parola bilgisini giriniz.

ESXi sunucunuzun domain’e dahil olma başarılı olarak tamamlandığında aşağıdaki örnek ekran görüntüsündeki gibi; dahil olduğu domain bilgisi ve durumuna ait bilgiler gelecektir.

Active Directory tarafında, Computers dizini altında ESXi için oluşturulan yeni bir bilgisayar hesabı eklenecektir.