miércoles, 10 de noviembre de 2010

VMware View 4.5: Preparando Active Directory para instalar VMware View


La instalación de VMware View es un proceso bastante sencillo, sin embargo, antes de comenzar con su instalación debemos realizar una serie de tareas para preparar Active Directory, de manera de no encontrarnos con problemas posteriores a la hora de configurar y administrar nuestra plataforma View.

Preparando Active Directory

View utiliza una infraestructura Active Directory existente para la autenticación y administración de usuarios. VMware View soporta Active Directory 2000, 2003 y 2008.

Dominios y relaciones de confianza

Se debe unir el servidor View Connection Server a un dominio Active Directory, pero en ningun caso este servidor debe ser un controlador de dominio. Los escritorios y usuarios View se deberán ubicar en el mismo dominio que el View Connection Server, o en un dominio que tenga una relación de confianza bidireccional con el dominio donde se instaló View Connection Server.
Se pueden asignar usuarios y grupos del dominio a escritorios View o grupos de escritorios (pools). También se pueden asignar usuarios y grupos del dominio para ser administradores en View Administrator.
Nota: Debido a que los servidores de seguridad no acceden a ningun servidor de autenticación, incluyendo Active Directory, estos no necesitan estar unidos a un dominio Active Directory.

Crear una OU para los escritorios View

Se recomienda crear una unidad organizacional (OU) dedicada para los escritorios View. Una OU es una subdivision en AD que contiene usuarios, grupos, computadores y otras OU's
Para evitar que las politicas de grupos sean aplicados a otros servidores o estaciones de trabajo Windows en el mismo dominio, se pueden crear politicas de grupo especificas para los escritorios View y asignarlas a la OU respectiva. Adicionalmente se podrá delegar el control de la OU a un grupo de usuarios o usuarios individuales.



Si se utilizará View Composer se debiera crear una OU en AD dedicada para los clones enlazados generados por View Composer. Los administradores de View que tienen privilegios de administración sobre dicha OU en AD, pueden provisionar clones enlazados sin tener privilegios de administración del dominio. Si las credenciales del administrador de View son cambiadas en AD, estas credenciales deben ser actualizadas en la configuración de View Composer.



Crear Grupos para usuarios View

Se recomienda crear grupos para diferentes tipos de usuarios View en Active Directory (Usuarios administradores, usuarios View, etc.)




Crear cuenta de usuario para vCenter

Se debe crear una cuenta de usuario Active Directory para usar con vCenter Server. Esta cuenta de usuario se especifica cuando se agrega una instancia de vCenter Server en View Administrator.
La cuenta de usuario debe estar en el mismo dominio que View Connection Server, o en un dominio de confianza. Si se utilizará View Composer, se debe agregar esta cuenta de usuario al grupo de administradores locales en el servidor de vCenter Server.
En vCenter Server se debe crear un rol personalizado para View Manager con los siguientes privilegios:
  • Folder
    • Create Folder
    • Delete Folder
  • Virtual Machine
    • Configuracion
      • Add or remove device
      • Advanced
      • Modify device settings
    • Interaction
      • Power Off
      • Power On
      • Reset
      • Suspend
    • Inventory
      • Create New
      • Remove
    • Provisioning
      • Customize
      • Deploy Template
      • Read Customization specifications
  • Resource
    • Assign virtual machine to resource Pool
Si se utilizará View Composer se deben agregar los siguientes privilegios al rol de View Manager:
  • Datastore
    • Allocate Space
    • Browse datastore
    • Low level file operations
  • Virtual Machine
    • Inventory (all)
    • Configuration (all)
    • State (all)
    • Provisioning
      • Clone Virtual Machine
      • Allow disk access
  • Resource
    • Assign virtual machine to resource pool
  • Global
    • Enable Methods
    • Disable Methods
    • System Tag
  • Netwotk
    • Todos



Crear una cuenta de usuario para View Composer

Si se utilizará View Composer se debe crear una cuenta de usuario en Active Directory para usar con View Composer. View Composer requiere esta cuenta para unir clones enlazados al dominio Active Directory. Por temas de seguridad, se debiera crear una cuenta separada para usar con View Composer de manera de garantizar que no tenga privilegios adicionales definidos para otros propositos.  En nuestro caso, y por temas de laboratorio usaremos la misma cuenta que creamos anteriormente para unir View con vCenter Server (VMView).
A la cuenta se le pueden dar los privilegios minimos que necesita para crear y remover objetos computador en un contenedor especifico de Active Directory. De esta manera se evita darle privilegios de administrador de dominio al usuario de View Composer.
En la OU creada para los clones enlazados, se le deben delegar los siguientes privilegios al usuario de Composer:
  • Create Computer Object
  • Delete Computer Object
  • Write All Properties
  • Read All Properties
  • Read Permissions
  • List Contents
Esta cuenta será utilizada posteriormente al momento de configurar View Composer en el View Administrator

Configurar la politica de grupos restringidos

Para ser capaz de autenticarse en un escritorio View, los usuarios deben pertenecer al grupo local "Remote Desktop Users" del escritorio View. Es posible utilizar la politica "Restricted Groups" en Active Directory para agregar usuarios o grupos al grupo local "Remote Desktop Users" de cada escritorio View que es unido al dominio
De todas maneras, los miembros del grupo de usuarios de escritorios View son siempre agregados al grupo local "Remote Desktop Users" de cada escritorio View que es unido al dominio. Cuando se agregan nuevos usuarios, solo es necesario agregarlos al grupo de usuarios de escritorios View.

Conclusiones

Con las configuraciones mencionadas y luego de cumplir los requisitos especificados en la Introducción a VMware View, podemos continuar con la instalación y configuración de VMware View en nuestra plataforma.
Para información adicional respecto al uso de Smart Cards para la autenticación, revisar la documentación oficial de VMware.

0 comentarios:

Publicar un comentario