Hochverfügbare SSO-Server sorgen für eine robustere vSphere-Umgebung

Wenn das Single Sign-On ausfällt, werden viele wichtige Unternehmensprozesse ausgebremst. Mit einem hochverfügbaren SSO-Server beugen Sie dem vor.

Wie die meisten VMware-Admins wissen dürften, wurde der SSO-Server (Single Sign-On) mit vSphere 5.1 eingeführt....

Für kleinere Bereitstellungen ist der Umgang mit VMware SSO recht unproblematisch möglich, da VMwares Single-Sign-On-Lösung hier ohne großen Konfigurationsaufwand vom Fleck weg funktioniert. Bei größeren und damit komplexeren Installationen wird dagegen ein tieferes Verständnis von der Arbeitsweise von SSO benötigt.

Vor vSphere 5.1 gab es keine offiziell unterstützte Möglichkeit, andere Authentifizierungsdienste als Microsoft Active Directory bereitzustellen, aus heutiger Sicht und tatsächlich auch damals schon durchaus eine große Einschränkung. Der begrenzte Authentifikationsmechanismus einer vCenter Server Appliance konnte sich nur allzu leicht als Problempunkt erweisen. Aus diesem Grund wurde VMware SSO entwickelt, um so alternative Authentifikationsmethoden zu ermöglichen.

Einsatzzweck von VMware Single Sign-On

SSO ist im Grunde genommen ein Mechanismus, der neben Active Directory weitere Authentifizierungsmethoden zusammenführt, beispielsweise auch LDAP. SSO fungiert dabei als Gatekeeper zwischen den verschiedenen Authentifikationssystemen und der vSphere-Infrastruktur. Wenn sich ein Nutzer oder Administrator erfolgreich gegenüber der Authentifikationsquelle authentifiziert hat, vergibt SSO jedem Anwender einen User-Token. Jede Nutzung des Tokens reduziert dabei seine Time-to-Live (TTL). Sobald die TTL den Wert 0 erreicht, läuft die Gültigkeit des Tokens ab und er muss erneut gegenüber der Authentifikationsquelle authentifiziert werden.

Wenn eine vCenter-Infrastruktur über den einfachen Installationspfad von Grund auf neu installiert wird, dann wird standardmäßig auch SSO in einer Primary-Mode-Konfiguration installiert. In diesem Modus wird die Authentifikation nur für lokale Infrastrukturen bereitgestellt. In vSphere 5.5 unterstützt SSO maximal 10.000 Gäste und 1.000 Hosts. Geht das SSO verloren, dann kann sich allerdings auch niemand mehr in die Infrastruktur anmelden. Mit lokalen Anmeldedaten können sich Anwender aber immer noch direkt bei Hosts authentifizieren.

Diese einfache Konfiguration eignet sich ganz gut für lokale Infrastrukturen. Der Verlust von SSO ist dabei lediglich genauso ärgerlich, wie der Verlust des vCenter Server, da bei der einfachen Installation beide auf dem gleichen Gast betrieben werden. Bei größeren Bereitstellungen wird empfohlen, vCenter Server und SSO auf separate Gäste zu verteilen. Ab vSphere 6 ist SSO beispielsweise bereits Teil des Platform Services Controllers, der auf einem separaten Server betrieben werden kann. SSO auf einen anderen Gast zu verschieben eröffnet verschiedene neue Möglichkeiten, beispielsweise den Single-Point-of-Failure (SPoF) durch Load Balancing zu eliminieren.

Einen SSO-Ausfall verhindern

Für den Ausfall des primären SSO kann man, ganz einfach ausgedrückt, einen hochverfügbaren Backup-Node aufsetzen, der im Fall der Fälle die SSO-Aufgaben übernimmt. Diese Konfiguration kann relativ kostengünstig umgesetzt werden, vor allem in virtualisierten Umgebungen. VMware selbst zeigt anhand der kostenfreien Apache-Software, wie sich eine grundlegende SSO-Servergruppe mit Load Balancing erstellen lässt. Das Aufsetzen einer SSO-Infrastruktur mit Lastausgleich bedarf allerdings eines tiefgehenden Verständnisses von Zertifikaten und Load-Balancing.

Wird hierzu virtualisierte Infrastruktur genutzt, wird jeder fehlerhafte Host, auf dem der SSO-Server ausgeführt wird, durch den Backup-Node und Hochverfügbarkeitsfunktionen ganz normal wieder neu starten. Das schließt aber natürlich Konfigurationsfehler nicht aus. Um speziell diesem Szenario zu begegnen, sind Snapshots eine extrem nützliche Angelegenheit und können relativ leicht wieder eingespielt werden, selbst wenn das SSO zeitweise durch einen Konfigurationsfehler nicht erreichbar sein sollte. 

Weitere Artikel zu SSO und vSphere:

So verändert VMware SSO Ihre Authentifizierung

vSphere 6: Das ändert sich bei SSO

Wiederherstellungspunkte in vSphere Replication 6 als Backup nutzen

Ob sich der Aufwand hierfür wirklich lohnt, kann aber letztendlich nur jede IT-Abteilung für sich selbst entscheiden, aber selbst wirklich große Unternehmen verzichten oft auf diese Absicherung. Mit einer wirklich einwandfrei funktionierenden Hochverfügbarkeitskonfiguration gibt es aber auch kaum einen Grund hierfür.

Wer mehrere Standorte betreibt, aber trotzdem nur eine Management-Oberfläche nutzen will, für den unterscheidet sich das Vorgehen etwas. Für Bereitstellungen an mehreren Standorten muss zu Beginn der Installation die entsprechende Multisite-Option gewählt werden. Im Grunde geht es im Multisite-Modus darum, jedem Standort einen eigenen primären Node in einer Multi-Master-Konfiguration zuzuweisen. Im Unterschied zur normalen Konfiguration gibt es bei einer Multisite-Konfiguration einen SSO-Server, der auf die verschiedenen Standorte verweist.

Ein mögliches Problem mit dieser Konfiguration besteht darin, dass sich die Datenbanken nicht gegen sich selbst replizieren lassen. In der Realität wird dies für die meisten Standorte keinen Unterschied machen. Die Datenbanken müssen ab und an repliziert werden, aber solange verschiedene Authentifikationssysteme wie OpenLDAP oder Active Directory verwendet werden, ist die Notwendigkeit nicht allzu groß.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Juni 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über VMware

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close