Seperti yang teman-teman tahu, untuk aspek keamanan vCenter menggunakan autentikasi user dan password untuk melakukan konfigurasi. Terdapat 2 tipe user pada vCenter yang teman-teman gunakan, user local-os dan user SSO.
User local-os adalah user root, apache, dan sshd yang biasanya digunakan untuk remote vCenter via SSH. Secara default user-user ini sudah ada saat pertama kali vCenter appliance di deploy, tidak perlu ditambahkan secara manual. User-user local-os ini pun sangat jarang sekali dipakai, kecuali dalam keadaan urgent.
User SSO adalah user yang digunakan untuk melakukan hampir semua konfigurasi yang di ada di vCenter. Pola penamaan user ini adalah sebagai berikut “user@local.domain” (local.domain merupakan domain yang kita definisikan saat melakukan deploy vCenter appliance). Secara default user yang sudah otomatis terbuat saat proses deploy selesai adalah “administrator@local.domain” yang bisa digunakan untuk melakukan semua konfigurasi.
Topik yang akan saya bahas hari ini bukanlah tentang perbedaan kedua tipe user tersebut (local-os dan SSO). Yang akan saya bahas kali ini adalah bagaimana cara untuk integrasi vCenter Appliance v6.7 dengan active directory Windows Server, sehingga user yang terdaftar pada AD Windows Server bisa digunakan untuk melakukan konfigurasi vCenter.
Persiapan
- Siapkan Windows Server yang sudah disetup sebagai server Active Directory (Baca : Setup Active Directory Windows Server 2019 Core (CLI) / Setup Active Directory Windows Server 2019 Desktop (GUI))
- Catat hal-hal sebagai berikut dari server Windows Server teman-teman. Disini saya memberikan contoh sesuai dengan environment yang saya gunakan.
IP Address Windows Server : 192.168.11.19 Domain AD : raihan.net User Administrator AD : administrator User untuk testing login ke vCenter : raihan.net\colamen (colamen@raihan.net)
- Akses vCenter Appliance Management port 5480 via web browser dengan user root beserta passwordnya
- Pilih menu Networking pada bagian kiri
- Klik Edit pada bagian Network Settings
- Pilih Enter DNS settings manually dan masukkan IP address Windows Server (AD) yang teman-teman gunakan
- Akses vSphere Client (HTML5) via web browser
- Login dengan password credential administrator@local.domain
- Pilih Menu | Administration pada bagian atas kiri
- Pilih Configuration | Active Directory Domain
- Klik Join AD
- Masukkan domain AD, administrator AD beserta passwordnya
- Reboot vCenter appliance setelah ada peringatan “Reboot the node to apply changes“
- Tunggu hingga vCenter appliance up dan bisa diakses kembali
- Pada menu Administration pilih Configuration | Identity Sources. Tahapan ini dilakukan supaya user AD bisa digunakan untuk konfigurasi vCenter
- Klik Add Identity Source
- Pilih Active Directory (Windows Integrated Authentication) serta Use machine account
- Masih pada menu Administration, pilih Users and Groups serta pilih domain AD. Pastikan user AD sudah ada pada list user
- Pilih Global Permissions pada menu Administration
- Klik simbol +
- Pilih user yang akan digunakan untuk login dan pastikan beri tanda centang pada Propagate to children. Pada contoh kali ini saya menggunakan user “colamen” yang merupakan user AD sebagai administrator vCenter appliance. Teman-teman bisa menjadikan salah satu dan beberapa user AD sebagai administrator dengan full access ataupun membatasi hak user-user AD yang diperbolehkan login ke vCenter appliance
Testing Login vCenter Menggunakan User AD
- Pastikan user AD sudah tercantum di list Global Permissions
- Login menggunakan user AD tersebut dengan pola penulisan “user@local.domain“
Windows Session Authentication
Windows Session Authentication adalah metode untuk login tanpa harus memasukkan user dan password pada menu login vSphere Client (HTML5). Tapi, fitur ini hanya tersedia jika teman-teman menggunakan komputer dengan sistem operasi Windows.
Komputer yang sudah terintegrasi dengan AD bisa login tanpa harus memasukkan user dan password lagi. Tentunya, dengan catatan vCenter sudah join AD yang sama dengan AD dengan komputer bersangkutan.
Pada vCenter versi 6.5 keatas untuk mengaktifkan fitur tersebut perlu ada aplikasi tambahan pada komputer Windows, yaitu Enhanced Authentication Plug-In. Berikut langkah-langkah melakukannya.
- Pastikan komputer Windows dan vCenter sudah join AD yang sama
- Login komputer Windows dengan credential user AD
- Akses vCenter vSphere Client (HTML5) via web browser
- Klik Download Enhanced Authentication Plugin
- Tunggu hingga proses download selesai
- Jalankan file installer
- Lakukan instalasi hingga selesai
- Refresh web browser
- Setelah muncul popup, klik Open vmware-cip-launcher
- Beri tanda centang pada Use Windows session authentication
- Klik Login