Utilisation d'Active Directory comme source d'authentification (Federation)
Découvrez comment utiliser votre serveur Active Directory comme source d'authentification pour vos utilisateurs vSphere
Découvrez comment utiliser votre serveur Active Directory comme source d'authentification pour vos utilisateurs vSphere
Dernière mise à jour le 05/12/2022
La connexion du vCenter au serveur Active Directory est réalisée via le protocole LDAPS fourni par le serveur Active Directory.
Afin de préparer la mise en place de la configuration, vous devez récupérer les informations suivantes :
Pour plus d'informations, vous pouvez vous référer à la documentation VMware à ce sujet.
En complément des informations précédentes, vous devez récupérer l'empreinte du certificat SSL (SHA1 Fingerprint) du serveur LDAPS Active Directory.
Vous pouvez récupérer cette information par la méthode de votre choix.
Get-ChildItem -Path Cert:\LocalMachine\MY | Select-Object -property FriendlyName, Subject, NotBefore, NotAfter, @{label='Thumbprint';'Expression'={$_.thumbprint -replace '(..(?!$))','$1:'}}
Ici, il s'agit de la valeur à droite du signe deux-points ( : ) :
> Thumbprint : BB:46:CA:6B:FC:92:4E:96:B4:BB:6E:44:7E:8F:AD:4C:C9:32:AB:AB
openssl s_client -connect ad.example.com:636 < /dev/null 2>/dev/null | openssl x509 -fingerprint -noout -in /dev/stdin
Ici, il s'agit de la valeur à droite du signe égal ( = ) :
> SHA1 Fingerprint=BB:46:CA:6B:FC:92:4E:96:B4:BB:6E:44:7E:8F:AD:4C:C9:32:AB:AB
Récupérez l'adresse IP de votre Hosted Private Cloud par la méthode de votre choix.
Via cette commande sur le serveur Active Directory ou une machine Windows distante :
nslookup pcc-198-51-100-121.ovh.com
Ici, il s'agit de la valeur à la fin de la dernière ligne :
> Address: 198.51.100.121
Il est également possible d'utiliser la commande suivante (depuis une machine Linux/Unix/Mac distante) :
host pcc-198-51-100-121.ovh.com
Ici, il s'agit de la valeur à la fin de la ligne :
> pcc-198-51-100-121.ovh.com has address 198.51.100.121
Utilisez cette adresse IP pour autoriser votre Hosted Private Cloud à accéder à votre serveur LDAPS Active Directory (par défaut sur le port TCP 636).
Cette opération s'effectue dans la configuration du pare-feu de votre Active Directory ou de votre entreprise.
Exemple de configuration de règle de pare-feu entrant :
Adresse IP distante (source) | Adresse IP locale (destination) | Port distant (source) | Port local (destination) | Protocole |
---|---|---|---|---|
198.51.100.121 | Toutes les adresses | Tous les ports | 636 | TCP |
Adaptez cette configuration à votre entreprise et mettez en place la règle de pare-feu.
Depuis votre espace client OVHcloud, rendez-vous dans les paramètres OVHcloud de votre infrastructure Hosted Private Cloud by VMware.
Positionnez-vous sur l'onglet Utilisateurs
et cliquez sur Ajouter un Active Directory LDAPS
dans la rubrique Active Directories (LDAPs).
Saisissez ces informations :
Cliquez ensuite sur Executer
.
Une fenêtre apparaît pour afficher l'état d'avancement, attendez d'avoir atteint 100% et cliquez sur Fermer
.
Si un paramètre n'est pas valide, la tâche sera annulée avant d'arriver à 100%. Dans ce cas, attendez quelques minutes jusqu'à ce que l'annulation soit complète avant de relancer la configuration.
Votre domaine Active Directory est relié à votre infrastructure VMware. Vous pouvez maintenant ajouter des utilisateurs et des groupes de votre annuaire Active Directory pour vous connecter à votre interface vSphere.
Depuis votre espace client OVHcloud, vous pouvez autoriser un utilisateur issu de votre serveur Active Directory à accéder à votre Hosted Private Cloud.
Cliquez sur Importer un utilisateur
Sélectionnez votre annuaire Active Directory, cliquez sur Importer un utilisateur
, saisissez votre nom d'utilisateur dans un format UPN (user@example.com) et cliquez sur Suivant
.
Une fenêtre avec l'état d'avancement de la tâche apparaît, attendez d'avoir atteint 100% et cliquez sur Fermer
.
Un nouvel utilisateur est affiché dans l'espace client, vous pouvez l'utiliser pour vous connecter à l'interface vSphere.
Par défaut, l'utilisateur ne possède aucune permission sur votre Hosted Private Cloud, il pourra uniquement se connecter à votre Hosted Private Cloud. Vous pouvez ajuster les permissions depuis l'espace client.
Vous avez la possibilité d'autoriser directement un ensemble d'utilisateurs (groupe) issu de votre serveur Active Directory à accéder à votre Hosted Private Cloud au travers de l'espace client.
Cliquez sur Importer un utilisateur
.
Sélectionnez votre annuaire Active Directory, cliquez sur Importer un groupe
, saisissez le nom de votre groupe
et cliquez sur Suivant
.
Une fenêtre avec l'état d'avancement de la tâche apparaît, attendez d'avoir atteint 100% et cliquez sur Fermer
.
Le groupe apparaît dans la liste des utilisateurs de votre cluster, les membres de ce groupe peuvent se connecter à l'interface d'administration de votre cluster.
Par défaut, le groupe ne possède aucune permission sur votre Hosted Private Cloud. Ses membres pourront se connecter à votre Hosted Private Cloud mais n'auront aucun accès. Vous pouvez ajuster les permissions depuis l'espace client.
Il est possible d'utiliser l'API OVHcloud pour effectuer les mêmes opérations (ajout d'un annuaire et autorisation d'un groupe ou d'un utilisateur à se connecter à votre interface vCenter).
Récupérez votre « serviceName » en utilisant l'appel API suivant :
Effectuez ensuite la mise en place du serveur Active Directory comme source d'authentification.
Vous devrez spécifier les informations récupérées précédemment. Ne cochez pas la case « noSsl ».
Assurez-vous que l'opération renvoyée s'effectue sans erreur. Vous pouvez la suivre depuis l'espace client OVHcloud, dans l'onglet Opérations
de votre Hosted Private Cloud.
Si les informations fournies ne sont pas valides, l'opération concernée sera annulée et un message indiquera l'erreur renvoyée.
Vous avez la possibilité d'autoriser un utilisateur issu de votre serveur Active Directory à accéder à votre Hosted Private Cloud, grâce à l'API OVHcloud.
Récupérez votre « activeDirectoryId » en utilisant l'appel API suivant :
Effectuez l'ajout de l'utilisateur issu de votre Active Directory.
Vous devrez spécifier le nom d'utilisateur « pre-Windows 2000 », tel qu'indiqué dans votre Active Directory.
Assurez-vous que l'opération renvoyée s'effectue sans erreur. Vous pouvez la suivre depuis l'espace client OVHcloud, dans l'onglet Opérations
de votre Hosted Private Cloud.
Si les informations fournies ne sont pas valides, l'opération concernée sera annulée et un message indiquera l'erreur renvoyée.
Vous avez la possibilité d'autoriser directement un ensemble d'utilisateurs (groupe) issu de votre serveur Active Directory à accéder à votre Hosted Private Cloud, grâce à l'API OVHcloud.
Récupérez votre « activeDirectoryId » en utilisant l'appel API suivant :
Effectuez l'ajout du groupe issu de votre Active Directory.
Vous devrez spécifier le nom du groupe « pre-Windows 2000 », tel qu'indiqué dans votre Active Directory.
Assurez-vous que l'opération renvoyée s'effectue sans erreur. Vous pouvez la suivre depuis l'espace client OVHcloud, dans l'onglet Opérations
de votre Hosted Private Cloud.
Si les informations fournies ne sont pas valides, l'opération concernée sera annulée et un message indiquera l'erreur renvoyée.
Échangez avec notre communauté d’utilisateurs sur https://community.ovh.com/.
N’hésitez pas à nous proposer des suggestions d’amélioration afin de faire évoluer cette documentation.
Images, contenu, structure… N’hésitez pas à nous dire pourquoi afin de la faire évoluer ensemble !
Vos demandes d’assistance ne seront pas traitées par ce formulaire. Pour cela, utilisez le formulaire "Créer un ticket" .
Merci beaucoup pour votre aide ! Vos retours seront étudiés au plus vite par nos équipes..
Accedez à votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres d'OVHcloud Community.
Echanger sur OVHcloud Community