[21.12.24] vCenter ActiveDirectory domain Join

참고

 

https://stz.co.kr/lecture_view.php?LectureStep1=146&LectureSeq=87 

재미있는 IT 강좌 - STZ

 

 

목적

 

https://nouu94.tistory.com/91

[21.12.19] VCSA 6.7U3 Esxi01 물리 호스트에 설치

 

위의 링크 글 중에서 vCenter를 윈도우 도메인에 조인하여 계정을 만들어 vSphere에 접속이 가능하다고 설명했다. 해당 부분을 실습을 하여 정말 AD(ActiveDirectory)를 이용하여 vSphere의 도메인을 변경하여 로그인 되는지 실습해보자. 

 

 

 

 

 

 

 

현재 VCSA 설치 과정에서 등록된 도메인 VSPHRE.LOCAL 도메인이 있다. default로 지정되며 해당 도메인은 관습적으로 사용한다. 하지만 default 도메인을 쓰고 싶지 않고 싶고 같은 브로드캐스트 LAN 영역에 윈도우 서버 AD가 있다면 vCenter와 AD를 조인시켜 AD에서 인증과 권한을 받아 vCenter 환경을 제어할 수 있다. (사실 vCenter에 AD를 조인시키지 않을거라면 도메인 컨트롤러를 구축할 필요 없이 DNS 구축만 하여 정방향, 역방향 설정만 하면 되지만 필자는 해당 실습을 통해 vCenter의 원리 전체를 이해하고 싶어 실습을 진행했다.)

 

 

 

 

과정

 

1. vSphere 클라이언트에서 관리를 클릭한다.

 

 

2. 관리를 클릭한다면 아래와 같은 화면이 나올 것 이다. 여기서 사용자 및 그룹을 클릭한다. 

 

 

그럼 아래와 같은 화면이 나올 것이다. 도메인을 보면 vsphere.local이 나온다. 이것은 우리가 흔히 vSphere 클라에 접속하고 로그인 할 때 입력하는 도메인이며, 이 중 Administrator는 vsphere.com의 호스트 이다. (vsphere.com의 관리자 계정이라는 이야기이다.) 

 

 

 

반면 도메인을 localos로 둔다면 여러 개의 계정이 보이며, 특히 root 계정도 보일 것 이다. 이것은 vCenter 서버 매니징 도메인이며, 포톤 리눅스 기반의 vCenter 서버 사용자 계정들이다. 우리가 흔히 5480 포트에 접속하여 들어가서 로그인 하는 그 계정 말이다.

 

 

4. 본격적으로 윈도우 도메인 컨트롤에 조인 시켜보자 SSO 카테고리에 '구성'을 클릭한다. 그리고 Active Directory 도메인을 클릭한다.

 

 

5. Active Directory 도메인 아래에 있는 AD 가입을 누르면 아래와 같이 Active Directory 도메인 가입란이 나온다. 우리는 해당 인터페이스를 통해 Active Directory 조인을 하게 된다. 딸깍 딸각 몇개 눌러서 vCenter와 AD를 연동하다니 참 직관적이지 않은가?

 

시나리오를 가정해보자. 내가 차린 회사가 있다. 이 회사는 사내 전산망에 윈도우 서버 AD가 있고, 이 AD를 이용해 사내 전용 도메인을 만들었다. 참고로 필자의 사내 전용 도메인은 nouu.local이다. 사내망 내 가상으로 있는 vSphere에 있는 default 도메인인 vsphere.local을 쓰기 보다는 윈도우 서버에 구축 된 사내 전용 도메인인 nouu.local을 쓰고 싶을 때 사용하는 것이다.

 

필자의 윈도우 AD는 다음과같이 nouu.local로 되어 있어 이렇게 구축했다.

 

 

그럼 아래의 그림과 같이 조인이 완료되었다!

 

 

 

6. 시스템 재부팅을 하라는 알림이 뜰 것이다. 배포>시스템 구성 카테고리에 가서 노드 재부팅을 눌러주자.

 

Esxi에 들어가면 요렇게 재부팅이 뜨는 것을 볼 수 있다. ㅋㅋ

 

 

 

7. 하지만 아직 조인을 했다고 끝난 것이 아니다. 조인을 한 계정에 대해 권한이 아무것도 없기 때문에 로그인이 되지 않을 것이다. administrator@vsphere.local 계정@도메인으로 들어가서 권한을 부여해야된다.

 

권한이 없어서 로그인이 되지 않는다.

 

 

 

8. 로그인을 하였으면 관리 카테고리를 눌러 SSO>구성>ID소스>소스 추가를 누른다. 소스 추가를 누른다면 윈도우 서버 AD에 조인한 도메인이 나온다. 이것을 추가하면 된다.

 

 

 

9. 이제 SSO>사용자 및 그룹 항목에 간다. 그러면 도메인을 선택하는 창에 nouu.local이 새로 추가가 된 것을 볼 수 있을 것이다. 윈도우 도메인이 등록됐고 계정도 나열 되었다. 필자가 등록한 사용자 Administrator도 보인다. 이 administrator 계정을 vCenter 모든 객체를 제어하는 권한을 부여해 볼 것이다.

 

 

 

10. 호스트 클러스터를 클릭한다. 

 

그럼 다음과 같이 호스트 및 클러스터 화면이 뜬다. 맨 위에 있는 vc.nouu.local 즉, vCenter FQDN 클라 호스트를 클릭하면 사용권한이 보일 것 이다.

사용 권한이 보인다!

 

아래의 그림과 같이 사용 권한 + UI를 클릭하면 우리가 만든 administrator@nouu.local 계정@윈도우도메인에 권한을 부여할 수 있다.

 

 

사용 권한 추가를 누르고 사용자는 nouu.local 도메인을 선택, 돋보기에는 우리가 등록한 Administrator, 마지막으로 역할은 관리자를 선택하고 하위 항목으로 전파를 체크하면 완료된다.

 

 

 

 

추가 완료

 

 

 

 

11. 이제 administrator@nouu.local로 로그인을 해보자. 잘 접속이 될 것이다.

Administrator@nouu.local 계정이 잘 접속되는 모습

 

 

 

 

 

 

 

이제 다음 할 일은 무엇인가?

 

 

administrator@nouu.local 계정에 모든 권한을 주어봤다. 이제 역할을 하나 하나 축소 시켜 vCenter의 계정 Authorization에 대한 개념을 잡아야 해당 원리를 더 파고들 수 있을 것 같다.