Friday, March 20, 2015

Manajemen Access Control/User Privilege dan Konsep Identity Sources di VMware vCenter Server

Sekedar sharing sebelumnya mungkin ada temen-temen yang belum tau bahwa ketika kita menginstall vcenter server di windows server, pada saat instalasi bagian SSO kamu akan diminta mengisi form username & password dan setelah selesai akan terbuat domain vsphere.local. Nah domain tersebut adalah domain yg digunakan untuk super admin yang memaintain infrastruktur vmware kita dan biasanya digunakan untuk menentukan user privilege tiap2 administrator yang mengakses vcenter.
Nah saya akan coba menjelaskan 2 hal yaitu konsep identity sources dan implementasi manajemen user privilege

Sekilas Tentang Identity Resources 

Sebelumnya saya mau share sedikit arsitektur sederhana yang paling umum digunakan di dunia real.


NOTES :
Meskipun kamu bisa mengakses vcenter dengan vsphere-client namun menggunakan web-browser dan agentnya google-chrome adalah yang paling recommended,  mengapa mengapa lebih baik mengakses vcenter menggunakan web browser? Karna tab fitur yang tampil akan lebih lengkap ketimbang vsphere-client.

Nah balik lagi ke gambar diatas kamu akan mengakses vcenter namun pada proses autentikasinya sebelum kamu berhasil login sebenernya vcenter akan bertanya kepada SSO apakah user yang kamu gunakan untuk login valid atau tidak valid.

Coba perhatikan gambar dibawah ini :


Penjelasan Singkat :
Gambar diatas adalah model paling umum pada infrastruktur yang menggunakan environment vmware, terlihat terdapat 3 buah identity sources yaitu Active Directory Domain, Local User, Vsphere.local.
Nah Local User dan Vpshere.local akan tercipta secara default apabila kamu sudah berhasil menginstall vcenter.

Ketika user mengakses vcenter server, request tsb akan diteruskan ke modul yang menghandel SSO (Single Sign On). Modul inilah yang mengecek ke tiap2 identity sources apakah username dan password yang kamu masukan valid atau enggak. Apabila valid maka user akan berhasil login dan di redirect kehalaman admin home vcenter dan apabila tidak valid maka user tidak bisa login. 

Manajemen User Privilege

Nah apa sih hubungan manajemen user privilege sama identity sources ini? Sebenernya sih cuma biar temen-temen paham aja bahwa user-user yang bisa dikenali oleh vcenter ini sources itu yang paling umum adalah dari 3 tempat tersebut sehingga kamu bisa lebih mempunyai gambaran untuk menentukan privilege dari masing-masing user tsb.

OBJECT ORIENTED ENTITY RESOURCES
Nah balik lagi ke gimana cara manajemen user privilege di vcenter, kelebihan fitur vcenter dalam memanage privilege user adalah kemampuan memanage tiap-tiap resources-nya secara object oriented. Dalam artian seperti ini, ketika kamu mengakses vcenter tentu akan banyak objek contoh seperti dibawah ini :


Penjelasan singkat dari gambar diatas kira-kira seperti ini, Arif sebagai administrator junior bisa saja mengakses semua turunan resources dari Data Center Latihan, namun kita sebagai 'super administrator' juga bisa membuat arif  tidak bisa mengakses VM Prod03-2 misalnya dikarenakan sifatnya yg critical, seperti itulah kira2 gambaran yang saya maksud object oriented.

CONTOH IMPLEMENTASI

Sekarang saya coba kasih contoh manajemen privilegenya yah.
  • Setelah berhasil instalasi Vcenter coba masuk ke vcenter kamu lalu login sebagai administrator@vsphere.local

  • Setelah itu ke tab Administration -> Configuration, di tahap ini kamu bisa liat jumlah identity sources yang environment kamu miliki.





    Keliatan kan kalo di tab environment saya ada 3 identity sources hehe...
  • Setelah tau identity sources nya coba buat group, misal saya buat group namanya Bermain. Sekarang ke tab 'Users and Groups' lalu ketik tombol hijau untuk tambah group dengan nama 'Bermain'



  • Masih di tab yang sama, add member untuk group bermain, di contoh ini saya masukan user dari Identity Source Active Directory.



  • Setelah selesai sekarang saatnya memberi tahu object mana saja yang bisa dimanage oleh group bermain. Sebagai contoh dibawah ini saya akan memberi grup bermain dengan privileges administrator.

    Dari home tekan tab vCenter -> Host and Clusters akan muncul tab seperti dibawah ini, klik kanan pada object tsb. Di contoh ini karna di environment saya belum saya konfig apa2 ya saya beri grup bermain privilege administrator ke object vcenter.arifzulfikar.local









Setelah selesai klik OK maka group bermain dengan anggota arif@arifzulfikar.local dan eci@arifzulfikar.local bisa mengakses semua object di vcenter.arifzulfikar.local dengan privilage Administrator.
Semoga bermanfaat. :)

No comments:

Post a Comment