Всем привет, сегодня натягиваем двухфакторную доменную аутентификацию Multifactor на vCenter 7. Для настройки второго фактора аутентификации потребуется установить и настроить MultiFactor LDAP Adapter.
MultiFactor Ldap Adapter — LDAP proxy сервер, разработанный и поддерживаемый компанией Мультифактор для двухфакторной аутентификации пользователей в приложениях, использующих LDAP аутентификацию.
Установка и настройка MultiFactor Ldap Adapter
Установка MultiFactor Ldap Adapter вынесена в отдельную статью.
MultiFactor Ldap Adapter — установка на Linux
Дополнительно я выделил корпоративное доменное имя, сгенерировал PFX сертификат и загрузил на свежесозданный LDAP proxy сервер.
Windows — генерация PFX (PKCS#12) сертификата с помощью подсистемы Linux
Получилось что-то вроде https://haldap.domain.local.
После этого я не поленился, и поднял второй резервный MultiFactor Ldap Adapter. Можно было бы ему выделить второе доменное имя, vCenter имеет в настройках опцию для резервного LDAPS сервера. Но потом я задумался, вдруг этот прокси сервер можно ещё для какого-нибудь сервиса использовать, например, для Zabbix? А там нет возможности указать резервный адрес. На такой случай я снова не поленился и организовал кластер keepalived из MultiFactor Ldap Adapter.
Установка и настройка keepalived на примере MultiFactor Ldap Adapter
Это не обязательно в рамках нашей задачи, но лишним не будет. Да и со вторым сертификатом возиться не нужно.
Доменная аутентификация vCenter
Ну а дальше всё просто, убеждаемся что vCenter имеет доступ к LDAPS прокси серверу:
root@vcenter01 [ ~ ]# nc -zv 10.11.12.13 636
haldap.domain.local [10.11.12.13] 636 (ldaps) open
И настраиваем доменную аутентификацию, как обычно:
vCenter 7 — доменная аутентификация
При указании LDAPS URL понадобится сгенерированный нами сертификат в BASE64 PEM формате. Или цепочка сертификатов.
