Одним из методов аутентификации в vCenter – является доменная авторизация Active Directory.

Задача: у нас есть VMware ESXi и vCenter в домене, нам необходимо конфигурация ролей пользователей Active Directory, через vCenter для их аутентификации на ESXi серверах.

Версия vSphere Client: version 6.7.0.42000

Версия VMware ESXi: 6.7.0 Update 3 (Build 15160138)

Основная проблема – получение ошибки “Permission to perform this operation was denied.” при попытке авторизации на ESXi сервере пользователем из Active Directory.

При этом учётная запись добавлена и успешно авторизуется в vSphere:

Причина возникновения ошибки, что пользователи/группы из Active Directory добавленные в vCenter с выставленными им ролями, распространяются только на сам vCenter, но не на ESXi сервера.

Существует WorkAround для авторизации пользователей из Active Directory, изменением конфига ESXi сервера.

В пункте конфигурации ESXi сервера (Host -> Manage -> Advanced settings)

Строка:
 

Config.HostAgent.plugins.hostsvc.esxAdminsGroup

По умолчанию строка имеет значение ESX Admins.
ESX Admins – это группа AD с полным с полным административным доступом на ESXi. Мы можем заменить её на нужную нам группу, но она также будет иметь административный доступ на ESXi сервера.

К сожалению, vCenter не предоставляет управления ролями в рамках ESXi с помощью Active Directory.

Для создания политик аутентификации - используйте локальные группы созданные в vCenter с последующей установкой им ролей.