Başlangıç > VMware > 158: ESXi ve AD entegrasyonu – v2

158: ESXi ve AD entegrasyonu – v2

vSphere 4.1 zamanında, ESXi sunucularının domain entegrasyonu hakkında basit bir yazı yazmıştım. O zamanlar bazı limitasyonlar söz konusu idi. Örnek olarak;

By default, an ESX/ESXi 4.1and ESXi 5.0 host joined to an AD domain queries the domain for the “ESX Admins” group and this behavior is not configurable. If the group exists in AD, it is granted the Administrator role on the host and any user accounts in that group gets full administrative privileges on the host and can log in to the host via SSH.

Bankalar gibi güvenlik konusunda hassas bir ortamda çalışıyorsanız, detaylar çok önem kazanabiliyor. Örneğin, teftiş ekiplerinin sizlerden ilk (ve belkide en önemli) beklentisi root hesabını kullanmıyor olmanızdır. Admin hareketlerinin loglanabilir olması adına, her adminin kendine özel bir kullanıcı ile bağlantı yapması gerekmektedir. Bu kullanıcılar lokal olarak yaratılabilir ancak 100’lerce sunucunuzun olduğu durumlarda son derece can sıkıcı olacaktır. Bir aşama ileri gidip bunu bir script ile yapabilirsiniz ancak halen takibi ve şifre yönetimi çok fazla zamanınızı alacaktır. Bu durumda en iyi çözüm Active Directory entegrasyonu.

vSphere 4.1 ile bu zaten sağlanmaya başlandı ama 5.1 ile yeni özellikler kazandı ve ben de, geç de olsa, yakın zamanda bunu farkettim. Artık yukarıda bahsedildiği gibi “ESX Admins” isimli bir gruba bağlı değilsiniz. Bu advanced parametre ile değiştirilebilir bir hale getirildi, kaldı ki ilk versiyonun en çok eleştiri alan konusu bu idi. Bir konfigürasyon elemanının bu şekilde değiştirilemez olması, olası atak yüzeyini ciddi anlamda artırır ve bu yüzden değiştirmeniz tavsiye edilir.

Diğer bir sıkıntı ise, bu grubun üyelerinin istisnasız administrator haklarına sahip olması idi. Artık ihtiyaç dahilinde bu grubun yetkilerini de kısıtlayabilirsiniz. Aşağıdaki resimde yer alan ikinci parametreyi kaldırırsanız, eklediğiniz grup admin yetkilerine sahip olmayacaktır. Eklediğimiz AD grubunun, root hesabının alternatifi olarak kullanabilmesi ile admin grubuna eklenmesinin engellenmesi, bir oksimoron gibi gelebilir ancak farklı senaryolarda bu tanımlar işinize yarayabilir. Admin grubuna eklenmesinin engellenmesi ile ilgili aklıma gelen senaryo, admin işleriniz için yine root veya lokal hesaplar kullandığınız, ancak 3rd parti bazı uygulamaların (monitoring yada security scanning gibi) ESXi sunuculara erişmesi zorunluluğu doğrultusunda ekstra hesaplara ihtiyaç duyduğunuz durumlardır. Bunları domain üzerinde kolay bir şekilde yönetmek ancak admin hakkı vermek istemeyebilirsiniz.

ESXAdmins Advanced Configurations

Özet olarak parametreleri belirtmek gerekirse;

  • Config.HostAgent.plugins.hostsvc.esxAdminsGroup: Domain içerisinde hangi grubu arayacağını ve yetkilendireceğini belirtir. Önceden yaratılmış olması gerekir.
  • Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd: Seçili durumda olursa, grubu Administrator grubuna ekler. Burada dikkat edilmesi gereken konu, seçili olmadığı durumda, hiçbir gruba eklememesi (readOnly gruba bile). Bu yüzden sizin manuel olarak host’a vSphere Client ile bağlanıp, Permissions tabından, ilgili gruba en azından readOnly yetki vermeniz gerekmektedir.
  • Config.HostAgent.plugins.hostsvc.esxAdminsGroupUpdateInterval: İlgili grubu AD içerisinde sorgulama sıklığı.

Detaylı incelediğimizde bu özelliklerin halen geliştirilebilir olduğunu görüyorum. Örneğin, birden fazla grubu, farklı roller ile yetkilendirebilmek. Ya da, ikinci maddede bahsettiğim gibi, en azından readOnly gruba eklemek.

Bir sonraki yazımda, halen mevcut olan manuel operasyonları nasıl otomatize edebileceğimiz konusuna dokunmak istiyorum, örnek olarak Host Profiles ve vSphere Authentication Proxy kullanmak ve scriptlerden yardım almak gibi.

 

Kategoriler:VMware Etiketler:, ,
  1. Henüz yorum yapılmamış.
  1. No trackbacks yet.

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

w

Connecting to %s

%d blogcu bunu beğendi: