تنظیمات و پیکربندی LDAP در VMware vSphere

تنظیمات و پیکربندی LDAP در VMware vSphere، در این مقاله قصد داریم به معرفی پروتکل LDAP و نحوه استفاده از آن در محیط VMware vSphere بپردازیم.

تنظیمات و پیکربندی LDAP در VMware vSphere

فهرست مطالب

1. LDAP چیست
2. کاربرد LDAP
3. راه اندازی LDAP در ویندوز سرور
4. تنظیمات VMware vSphere

LDAP چیست

Lightweight Directory Access Protocol یا به اختصار LDAP یک پروتکل نرم‌افزاری است که این امکان را فراهم می کند تا افراد داده‌ های مربوط به سازمان ‌ها، و منابع دیگر مانند فایل ‌ها و تجهیزات یک شبکه را چه در اینترنت عمومی یا یک شبکه Local بیابند. LDAP یک نسخه سبک از Directory Access Protocol (DAP) است که بخشی از X.500، استانداردی برای خدمات دایرکتوری در یک شبکه می باشد.LDAP به دلیل استفاده از مقادیر کمتری کد نسبت به سایر پروتکل ها سبک (Lightweight) نامیده شده است.

سرویس دایرکتوری به کاربر می گوید که چه چیزی در کجای شبکه قرار دارد. LDAP به کاربر این امکان را می‌دهد که بدون اینکه بداند در کجا قرار دارد، به جستجوی فردی بپردازد، هرچند باید در نظر داشت که اطلاعات اضافی (به عنوان مثال رکورد های DNS) به جستجو کمک خواهد نمود.

کاربرد LDAP

متداول ترین کاربرد LDAP فراهم نمودن یک سیستم مرکزی جهت احراز هویت است، به این معنی که نام کاربری و رمز عبور را ذخیره می نماید. سپس LDAP می تواند در برنامه ها یا خدمات مختلف برای تایید اعتبار کاربران استفاده شود. به عنوان مثال، LDAP می تواند برای تایید نام کاربری و رمز عبور با سرورهای Docker، Jenkins، Kubernetes، OpenVPN و Linux Samba مورد استفاده قرار گیرد. LDAP در اکتیو دایرکتوری مایکروسافت استفاده می شود اما می تواند برای مثال در ابزارهای دیگری مانند OpenLDAP، Red Hat Directory Server و IBM Security Directory Server نیز استفاده شود. OpenLDAP نیز یک برنامه LDAP منبع باز (Open Source) است که در دسترس کاربران قرار گرفته است. این ابزار امکان مرور، جستجو، حذف، ایجاد و تغییر داده ‌هایی را که در یک سرور LDAP ظاهر می‌شوند را به کاربران خواهد داد. همچنین OpenLDAP به کاربران اجازه می دهد رمزهای عبور را مدیریت نمایند.

Red Hat Directory Server ابزاری است که برای مدیریت چندین سیستم با یک سرور LDAP در محیط یونیکس استفاده می گردد. این ابزار کاربران را قادر می سازد تا اطلاعات کاربری را در سرور ذخیره نمایند. این ابزار همچنین دسترسی ایمن و محدود به داده های دایرکتوری، عضویت در گروه و دسترسی از راه دور و همچنین دسترسی از طریق رویه های اعتبار سنجی (validation) را برای کاربران فراهم می نماید. همچنین در ویندوز سرور این امکان وجود دارد تا با فعال سازی و نصب LDAP بتوان به قابلیت های این ابزار دست یافت و از این سرویس دایرکتوری با سایر Vendor های شبکه موجود در بازار از جمله مجازی ساز VMware vSphere به صورت یک زبان استاندارد ارتباط بر قرار نمود و از قابلیت های احراز هویت نیز بهره برد. در این مقاله نیز قصد داریم نحوه استفاده از LDAP در ویندوز سرور در محیط مجازی سازی VMware vSphere بررسی نماییم.

یکی از مزایای استفاده از یک سرویس جانبی مانند LDAP به عنوان سیستم احراز هویت این است که نیاز نیست تعداد زیادی نام کاربری و رمز عبور جدید درون محیط VMware vSphere ایجاد نماییم. به عنوان مثال با بهره گیری از نام کاربری و رمز عبور های موجود در اکتیو دایرکتوری و استفاده از سرویس LDAP جهت دسترسی به آن ها می توان به راحتی از این نام کاربری و رمز عبور ها جهت احراز هویت در محیط VMware vSphere استفاده نمود.

راه اندازی LDAP در ویندوز سرور

جهت فعال سازی و پیکربندی LDAP در ویندوز سرور در پنجره Server Manager بر روی گزینه manage کلیک و گزینه Add Roles and Features را انتخاب می کنیم. در صفحه در دسترس چندین بار با انتخاب تنظیمات پیش فرض بر روی گزینه Next کلیک و در قسمت Server Roles گزینه Active Directory Lightweight Directory Service را فعال نموده و بر روی Next کلیک می کنیم.

در ادامه تمامی موارد را به صورت پیش فرض ادامه داده و در نهایت بر روی install کلیک می کنیم. پس از اتمام فرایند نصب می بایست در قسمت Notification در Server Manager ادامه پیکربندی LDAP را انجام دهیم. به همین منظور بر روی Run the Active Directory Lightweight Directory Service Setup Wizard کلیک نموده و در پنجره باز شده بر روی Next کلیک می کنیم. در مرحله بعدی با انتخاب گزینه A Unique Instance به فرایند ادامه خواهیم داد.

در مراحل بعدی کلیه تنظیمات پیش فرض را قبول و بر روی Next کلیک می کنیم تا پیکربندی انجام گرفته و در نهایت بر روی Finish کلیک خواهیم نمود.

تنظیمات VMware vSphere

جهت بهره گیری از LDAP در محیط VMware vSphere می بایست در منوی کنسول مدیریتی vCenter گزینه administration را انتخاب و در قسمت Single Sign On گزینه Configuration را انتخاب کنیم. در پنجره در دسترس در تب Identity Provider گزینه Add را انتخاب می کنیم. در پنجره باز شده در قسمت Identity Source Type گزینه Active Directory over LDAP را انتخاب می کنیم.

در قسمت Identity Source name یک نام به صورت دلخواه در نظر می گیریم. در قسمت Base distinguished name for users آدرس دهی با فرمت Active Directory و محل موجودیت نام های کاربری را وارد می نماییم که در این سناریو به صورت cn=users,dc=msp,dc=local می باشد. این آدرس پیش فرض قرار گیری User ها در اکتیو دایرکتوری سناریو ما می باشد. همین آدرس را مجدد در قسمت Base distinguished name for groups وارد می نماییم. در قسمت Domain name می بایست نام دامنه در اکتیو دایرکتوری (در این سناریو MSP.Local می باشد) را مقدار دهی نماییم.

همچنین در قسمت Domain alias نیز نام Alias که در این سناریو MSP می باشد وارد می نماییم. در قسمت Username می بایست نام کاربری و در قسمت Password رمز عبور را وارد نماییم. باید دقت داشت vSphere با استفاده از این نام کاربری به سرور LDAP دسترسی پیدا خواهد نمود. در محیط های سازمانی پیشنهاد می شود از نام کاربری Administrator استفاده نگردد اما به دلیل اینکه ما این کار را در محیط آزمایشی انجام می دهیم بنابراین در این قسمت از حساب کاربری Administrator استفاده گردید. در قسمت Connect to نیز گزینه Specific Domain controllers را انتخاب می کنیم و در قسمت Primary Server URL آدرس سرور LDAP را به صورت ldap://192.168.1.100 وارد نموده و در نهایت بر روی Add کلیک می کنیم.

چنانچه پیکربندی به درستی انجام شده باشد اکنون LDAP مورد نظر به عنوان یک Identity Source در تب Identity Provider اضافه خواهد شد. در مرحله بعدی قصد داریم یک گروه در اکتیو دایرکتوری ایجاد نموده و تعدادی کاربر به آن اضافه نماییم و در نهایت در vCenter با اشاره به گروه ایجاد شده در Active Directory  دسترسی Full Access به این کاربران بدهیم تا بتوانند در محیط VMware vSphere لاگین و امکان پیکربندی و ایجاد تغییرات در محیط vCenter را داشته باشند. جهت انجام این کار ابتدا در Active Directory یک گروه با نام VM Admins ایجاد نمودیم و در ادامه یک کاربر با نام test ایجاد و به عضویت گروه ایجاد شده در آمده است. در نظر داشته باشید که ایجاد گروه و کاربر Test از پیش انجام گرفته و به دلیل اینکه خارج از بحث این مقاله می باشد تنها به تنظیمات قسمت VMware vSphere خواهیم پرداخت. با توجه به سناریو مطرح شده اکنون می بایست گروه VM Admins که در اکتیو دایرکتوری ایجاد نمودیم را عضوی از Administrators در محیط VMware vSphere نماییم که با انجام این کار کلیه نام کاربری های موجود در گروه VM Admins در اکتیو دایرکتوری که شامل کاربر Test نیز می باشد دسترسی کامل (Full Access) به کنسول مدیریتی vCenter خواهند داشت.

برای انجام این کار بر روی administration در منوی vCenter کلیک و در قسمت Single Sign On گزینه Users and Groups را انتخاب می نماییم. در این قسمت در تب Groups بر روی administrators کلیک نموده و با انتخاب Add Members یک پنجره جدید در دسترس قرار خواهد گرفت. در این پنجره قسمت Add Members دامنه Active Directory را انتخاب و در قسمت Search نام گروه ایجاد شده در اکتیو دایرکتوری را جستجو می نماییم.

با کلیک بر روی Save تغییرات مورد نظر اعمال خواهد گردید. اکنون مشاهده می کنیم که گروه VM Admins که درون اکتیو دایرکتوری ایجاد نموده بودیم عضوی از گروه Administrators در VMware vSphere گردیده. حال اگر با حساب کاربری Test به کنسول مدیریتی vCenter لاگین نماییم با دسترسی کامل (Administrator) امکان استفاده از vCenter را خواهیم داشت. در نظر داشته باشید که می توان حساب های کاربری با دسترسی های محدود تری را نیز ایجاد نمود بدین صورت که حساب های کاربری را عضو گروه هایی با دسترسی های محدود تری نمود یا حتی از Role های جدید با سطح دسترسی های شخصی سازی شده نیز استفاده نمود.