В процессе использования vSphere 5.1 столкнулся с несколькими нюансами работы платформы с Active Directory.
vSphere 5.1 SSO и домены с доверительными отношениями.
Эпически глючная вещь в vSphere 5.1 – это сильно распиаренный Single Sign-On. На нашем предприятии развернут лес с двумя поддоменами, где “живут” учётные записи пользователей, которым требуется доступ к виртуальной инфраструктуре. Очень интересно ведёт себя SSO при недоступности доменных контроллеров доверенных доменов – он просто не даёт авторизовать в других. У меня проблемы две – временная недоступность из-за сетевой недоступности и некорректная настройка DNS.
При восстановлении сетевой доступности SSO не слишком торопится достучаться до контроллеров домена, обычно, приходится авторизоваться под учётной записью admin@system-domain и делать шаманские пляски с перепроверкой identity source.
Вторая проблема возникает при попытке заменить адреса доменных контроллеров на имя домена, то есть вместо dc-01.perm.contoso.com писать perm.contoso.com, так как фактически DNS на запрос perm.contoso.com возвращает NS-серверы, а не доменные контроллеры. В моём случае, запрос по имени доверенного домена возвращает по одному из 4 адресов не контроллер домена. Ну, это местечковые грабли. Для решения проблемы прописал “наиболее доступные” контроллеры домена.
vCenter и объекты безопасности Active Directory.
Второе “волшебное” поведение платформы – это группы и пользователи AD с назначенными разрешениями к объектам vCenter. Вы назначаете группе или учётной записи доступ к виртуальной машине, а спустя некоторое время решает привести названия групп к новому стандарту наименования. Результат впечатляет – все переименованные группы и учётные записи бесследно исчезают из разрешений. Но, как говорится, это by design.
Примечание. При создании локальной доменной группы (domain local) безопасности, добавлении в неё учётной записи из доверенного домена и назначении прав в vCenter получил негативный результат – доступ не был предоставлен. Возможно, где-то я скосячил, а может и не я.