Cómo agregar un servidor de virtualización con VMware ESXi 5 a un dominio Microsoft Windows Active Directory. Validación para acceso a administración de VMware ESXi mediante VMware vSphere Client usando usuario y contraseña de dominio Windows. Mostramos cómo asignar determinados permisos para administración de VMware ESXi a un usuario o grupo de seguridad del dominio Windows.
- Escenario inicial, servidor ESX/vSphere, Dominio W2008.
- Agregar ESXi a dominio Windows, establecer permisos de ESX a grupo de seguridad de Windows.
Escenario inicial, servidor ESX/vSphere, Dominio W2008
En este tutorial explicaremos cómo agregar un servidor de virtualización con VMware ESXi 5 a un dominio de Microsoft Windows (Active Directory). De esta forma, los usuarios que necesiten administrar el servidor ESXi accederán mediante VMware vSphere Client con el usuario y contraseña del dominio Windows. El dominio establecido para las pruebas de validación se realizó con un equipo con sistema operativo Microsoft Windows Server 2008.
Usaremos VMware vSphere Client para administrar el servidor servidor vSphere/ESX/ESXi y configurar la validación en dominio Windows. En el siguiente tutorial explicamos cómo instalar esta herramienta y cómo acceder a los servidores de virtualización ESX:
Es evidente que el escenario inicial es disponer de un sevidor de virtualización con VMware ESX como indicamos en el siguiente tutorial (teniendo en cuenta que VMware ESX/vSphere debe instalarse en una máquina por sí mismo, no sobre VMware Workstation):
Y un dominio de Windows establecido con al menos un servidor con Windows Server 2000/2003/2008, en los siguientes tutoriales explicamos cómo crear un dominio Windows con W2000, W2003 y W2008:
- Instalar Active Directory, promocionar controlador dominio, Windows Server 2008.
- Promocionar servidor W2003 a Controlador de Dominio (Active Directory).
- Promocionar un equipo con Windows Server 2003 a controlador de dominio.
Explicaremos también cómo asignar permisos de administración de VMware ESXi a un grupo de seguridad de usuarios del dominio Windows.
Por seguridad, siempre que realicemos un proceso de configuración en un servidor de VMware ESX/ESXi/vSphere es conveniente realizar una copia de seguridad previa de todas las máquinas virtuales. En el siguiente tutorial explicamos cómo hacer backup de una máquina virtual VMware ESX/ESXi/vSphere:
Agregar ESXi a dominio Windows, establecer permisos de ESX a grupo de seguridad de Windows
Abriremos VMware vSphere Client e iniciaremos sesión con un usuario administrador de VMware ESX (por defecto superusuario «root»):
Configuraremos en primer lugar las DNS, para ello seleccionaremos el servidor de ESXi en la parte izquierda, en la parte derecha pulsaremos en la pestaña «Configuration», en «Software» pulsaremos en «DNS and Routing»:
Pulsaremos en «Properties» en la parte superior derecha:
Introduciremos los siguientes datos en la ventana de «DNS and Routing Configuration»:
- Name: nombre de red (hostname), nombre DNS que tendrá el equipo en el dominio Windows, por ejemplo ESX001.
- Domain: nombre DNS del dominio Windows al cual queremos conectar el ESX, por ejemplo «proyectoa.local.com».
- Preferred DNS server: IP del servidor DNS preferente.
- Alternate DNS server: IP del servidor DNS secundario.
- Look for hosts in the following domains: nombre del dominio Windows, por ejemplo «proyectoa.local.com».
En la pestaña «Routing» de la ventana anterior podremos indicar la puerta de enlace (gateway) de nuestra red:
En el siguiente paso agregaremos el equipo ESX al dominio Windows, para ello pulsaremos en la pestaña «Configuration», en «Software» – «Authentication Services» pulsaremos en «Propierties», en la ventana de «Directory Services Configuration» introduciremos los siguientes datos:
- Select Directory Service Type: seleccionaremos en este desplegable la opción «Active Directory».
- Domain: introduciremos el nombre del dominio Windows al que nos conectaremos, en nuestro caso «proyectoa.local.com».
Una vez introducidos los datos pulsaremos en «Join Domain» para agregar el equipo ESX al dominio:
Si el dominio está disponible y todo es correcto nos solicitará usuario y contraseña, introduciremos un usuario y contraseña del dominio Windows con permisos suficientes para agregar un equipo a un dominio, en nuestro caso usaremos un usuario de Windows perteneciente al grupo de seguridad «Administradores»:
Por último estableceremos los permisos que queramos darles a los grupos de seguridad del dominio Windows (o a usuarios individuales) para administrar el servidor ESX, podremos indicar permisos de sólo lectura o de modificación para alarmas, datacenter, datastores (explorar, configurar, operaciones de bajo nivel, mover, eliminar, renombrar, configurar…), clúster de datastores, carpetas (crear, eliminar, mover, renombrar), extensiones, agentes, tareas programadas, sesiones, permisos, máquinas virtuales, vApp, etc. Para ello pulsaremos en la pestaña «Permissions», pulsaremos con el botón derecho del ratón y en el menú emergente seleccionaremos «Add Permission»:
Pulsaremos «Add» en la ventana de «Assign Permissions»:
En el desplegable «Domain» seleccionaremos el dominio anteriormente agregado (proyectoa.local.com), el asistente para seleccionar usuarios y grupos nos mostrará todos los usuarios y grupos de seguridad del dominio Windows, en «Users and Groups» seleccionaremos «Show Groups First», podremos buscar en la parte derecha introduciendo el nombre y pulsando en «Search», el asistente nos mostrará los grupos o usuarios que cumplan el filtro y criterio de búsqueda, seleccionaremos el que queremos y pulsaremos «Add». En nuestro caso agregaremos el grupo de seguridad «Admins. del dominio»:
En la parte derecha indicaremos los permisos que queramos establecer para este grupo de seguridad (o usuarios) del dominio Windows, estos serán los permisos que se establecerán para administrar VMware ESX. Puesto que se trata de administradores y queremos darle todos los permisos posibles para el ESX en el desplegable seleccionaremos «Administrator», automáticamente marcará la opción «All Privileges» por lo que, a partir de ahora, cualquier usuario del dominio Windows que inicie sesión (con sus credenciales de Windows) en el servidor ESX mediante VMware vSphere Client tendrá los mismos permisos que si hubiera entrado como superusuario «root». Pulsaremos «OK» para guardar los cambios:
El equipo ESX quedará agregado al dominio, podremos consultarlo en «Usuarios y equipos de Active Directory», en la unidad organizativa «Computers»: