当前位置：和泉文库 > 计算机 > VMware vSphere 6.7 ESXi and vCenter Server CHS 7.Platform Services Controller 管理-vsphere-esxi-vcenter-server-671-platform-services-controller-administration-guide

VMware vSphere 6.7 ESXi and vCenter Server CHS 7.Platform Services Controller 管理-vsphere-esxi-vcenter-server-671-platform-services-controller-administration-guide

文件格式：PDF，文件大小：1.41MB，售价：34.95元

共153页，可试读30页，点击往前阅读 ↑↑

文档详细内容（约153页）

Platform services Controller管理 4 vSphere Client将令牌传递到 vCenter server系统。 5 vCenter server与 vCenter Single Sign-On服务器确认令牌是否有效且未过期。 nter Single Sign-On服务器将令牌返回到 vCenter server系统,从而使用 vCenter server授权框架以允许用户访问。用户现在可以进行身份验证,并可以查看和修改用户角色具有特权的任何对象。注首先,每个用户都分配有“无权访问”角色。 vCenter server管理员必须至少为用户分配“只读”角色,用户才能登录。请参见《 vSphere安全性》文档。解决方案用户的 v Center Single Sign-Oon握手解决方案用户是 vCenter Server基础架构中使用的一组服务,例如 vCenter Server或 vCenter Server扩展。 VMware扩展及潜在的第三方扩展也可能对 vCenter Single Sign-On进行身份验证图22.解决方案用户的 v Center Single Sign-On握手解决方案用户 vCenter Single Kerberos vIcente VMware Service 对于解决方案用户,交互将以如下方式继续进行 1解决方案用户尝试连接到 vCenter服务。 2解决方案用户被重定向到 vCenter Single Sign-On。如果解决方案用户是 vCenter Single Sign-On的新用户,则必须提供有效的证书。 3如果证书有效, vCenter Single Sign-On将向解决方案用户分配SAML令牌(持有者令牌)。令牌由 Center Single Sign-On签名 4然后,解决方案用户被重定向到 vCenter Single Sign-On,并可以基于其权限执行任务 5下次解决方案用户必须进行身份验证时,可以使用SAML令牌登录到 vCenter Server 默认情况下,此握手将自动执行,因为MCA会在启动期间为解决方案用户置备证书。如果公司策略要求使用第三方CA签名证书,则可以将解决方案用户证书替换为第三方CA签名的证书。如果这些证书有效, vCenter Single Sign-On将向解决方案用户分配SAML令牌。请参见在 vSphere中使用自定义证书。 VMware,lc保留所有权利

4 vSphere Client 将令牌传递到 vCenter Server 系统。 5 vCenter Server 与 vCenter Single Sign-On 服务器确认令牌是否有效且未过期。 6 vCenter Single Sign-On 服务器将令牌返回到 vCenter Server 系统，从而使用 vCenter Server 授权框架以允许用户访问。用户现在可以进行身份验证，并可以查看和修改用户角色具有特权的任何对象。注首先，每个用户都分配有“无权访问”角色。vCenter Server 管理员必须至少为用户分配“只读”角色，用户才能登录。请参见《vSphere 安全性》文档。解决方案用户的 vCenter Single Sign-On 握手解决方案用户是 vCenter Server 基础架构中使用的一组服务，例如 vCenter Server 或 vCenter Server 扩展。VMware 扩展及潜在的第三方扩展也可能对 vCenter Single Sign-On 进行身份验证。图 2‑2. 解决方案用户的 vCenter Single Sign-On 握手 Kerberos 解决方案用户 1 2 3 4 VMware Directory Service CA vCenter Server vCenter Single Sign-On 对于解决方案用户，交互将以如下方式继续进行： 1 解决方案用户尝试连接到 vCenter 服务。 2 解决方案用户被重定向到 vCenter Single Sign-On。如果解决方案用户是 vCenter Single Sign-On 的新用户，则必须提供有效的证书。 3 如果证书有效，vCenter Single Sign-On 将向解决方案用户分配 SAML 令牌（持有者令牌）。令牌由 vCenter Single Sign-On 签名。 4 然后，解决方案用户被重定向到 vCenter Single Sign-On，并可以基于其权限执行任务。 5 下次解决方案用户必须进行身份验证时，可以使用 SAML 令牌登录到 vCenter Server。默认情况下，此握手将自动执行，因为 VMCA 会在启动期间为解决方案用户置备证书。如果公司策略要求使用第三方 CA 签名证书，则可以将解决方案用户证书替换为第三方 CA 签名的证书。如果这些证书有效， vCenter Single Sign-On 将向解决方案用户分配 SAML 令牌。请参见在 vSphere 中使用自定义证书。 Platform Services Controller 管理 VMware, Inc. 保留所有权利。 22

Platform services Controller管理支持的加密支持AES加密,即最高级别的加密。支持的加密会在 vCenter Single Sign-On使用 Active Directory作为标识源时影响安全性。它还会在ESX主机或 vCenter server加入 Active Directory时影响安全性。 vCenter Single Sign-On组件 v Center Single Sign-On包括安全令牌服务(STS)、管理服务器和 vCenter Lookup Service以及 VMware Directory Service( vidin)。 VMware Directory Service还可用于证书管理。在安装期间,组件将作为嵌入式部署的一部分或作为 Platform Services Controller的一部分进行部署 sTs( Security Token STS服务会发出安全断言标记语言(SAML)令牌。这些安全令牌表示 vCenter Service) Single Sign-On支持的标识源类型之一中的用户标识。SAML令牌允许成功过 vCenter Single Sign-On身份验证的人工用户和解决方案用户使用 VCenter Single Sign-On支持的所有 vCenter,而无需再次经过每个服务的身份验证。 vCenter Single Sign-On服务会使用签名证书对所有令牌进行签名,并在磁盘上存储令牌签名证书。该服务本身的证书也会存储在磁盘上管理服务器管理服务器允许用户具有 vCenter Single Sign-On的管理员特权,以便配置 vCenter Single Sign-On服务器并管理 vSphere Web Client中的用户和组。最初,仅 administrator@ your domain name用户具有这些特权。在 vSphere 55中,该用户为 administrator@ vsphere. local。在 vSphere6.0中,使用新的 Platform services Controller安装 vCenter server或部署 vCenter Server Appliance时,可以更改 vSphere域。请勿使用 Microsoft Active Directory或 OpenLDAP域名命名该域名。 VMware Directory VMware Directory Service(vmdir)与安装期间您指定的域相关联,并且包含 Service(vmdir 每个嵌入式部署和每个 Platform services controller中。该服务是在端口 389上提供LDAP目录的多租户、多重管理目录服务。该服务仍使用端口 11711实现与 vSphere55和更早版本系统的向后兼容性。如果您的环境包含多个 Platform Services Controller实例,则一个wmd实例中的wmdr内容更新会传播到所有其他vmdr实例。自 vSphere60起, VMware Directory Service不仅会存储 vCenter Single 信息,而且还会存储证书信息。 Identity Management 小理标识源和STs身份验证请求 vCenter single sign-○n如何影响安装从版本51开始, vSphere包括作为 vCenter Server管理基础架构一部分的 v Center Single Sign-On服务此变更影响 VCenter server安装。 VMware,lc保留所有权利

支持的加密支持 AES 加密，即最高级别的加密。支持的加密会在 vCenter Single Sign-On 使用 Active Directory 作为标识源时影响安全性。它还会在 ESXi 主机或 vCenter Server 加入 Active Directory 时影响安全性。 vCenter Single Sign-On 组件 vCenter Single Sign-On 包括安全令牌服务 (STS)、管理服务器和 vCenter Lookup Service 以及 VMware Directory Service (vmdir)。VMware Directory Service 还可用于证书管理。在安装期间，组件将作为嵌入式部署的一部分或作为 Platform Services Controller 的一部分进行部署。 STS (Security Token Service) STS 服务会发出安全断言标记语言 (SAML) 令牌。这些安全令牌表示 vCenter Single Sign-On 支持的标识源类型之一中的用户标识。SAML 令牌允许成功通过 vCenter Single Sign-On 身份验证的人工用户和解决方案用户使用vCenter Single Sign-On 支持的所有 vCenter，而无需再次经过每个服务的身份验证。 vCenter Single Sign-On 服务会使用签名证书对所有令牌进行签名，并在磁盘上存储令牌签名证书。该服务本身的证书也会存储在磁盘上。管理服务器管理服务器允许用户具有 vCenter Single Sign-On 的管理员特权，以便配置 vCenter Single Sign-On 服务器并管理 vSphere Web Client 中的用户和组。最初，仅 administrator@your_domain_name 用户具有这些特权。在 vSphere 5.5 中，该用户为 administrator@vsphere.local。在 vSphere 6.0 中，使用新的 Platform Services Controller 安装 vCenter Server 或部署 vCenter Server Appliance 时，可以更改 vSphere 域。请勿使用 Microsoft Active Directory 或 OpenLDAP 域名命名该域名。 VMware Directory Service (vmdir) VMware Directory Service (vmdir) 与安装期间您指定的域相关联，并且包含在每个嵌入式部署和每个 Platform Services Controller 中。该服务是在端口 389 上提供 LDAP 目录的多租户、多重管理目录服务。该服务仍使用端口 11711 实现与 vSphere 5.5 和更早版本系统的向后兼容性。如果您的环境包含多个 Platform Services Controller 实例，则一个 vmdir 实例中的 vmdir 内容更新会传播到所有其他 vmdir 实例。自 vSphere 6.0 起，VMware Directory Service 不仅会存储 vCenter Single Sign-On 信息，而且还会存储证书信息。 Identity Management Service 处理标识源和 STS 身份验证请求。 vCenter Single Sign-On 如何影响安装从版本 5.1 开始，vSphere 包括作为 vCenter Server 管理基础架构一部分的 vCenter Single Sign-On 服务。此变更影响 vCenter Server 安装。 Platform Services Controller 管理 VMware, Inc. 保留所有权利。 23

Platform services Controller管理使用 vCenter Single Sign-On进行身份验证会使 vSphere更加安全,因为 vSphere软件组件使用安全的令牌交换机制彼此进行通信,且所有其他用户也可以使用 vCenter Single Sign-On进行身份验证。从 vSphere6.0开始, vCenter Single Sign-On包括在嵌入式部署中或是 Platform Services Controller的一部分。 Platform Services Controller包含 vSphere组件之间进行通信所需的全部服务,其中包括 vCenter Single Sign-On、 VMware Certificate Authority、 VMware Lookup Service以及许可服务。安装顺序非常重要。首次安装如果安装为分布式,则必须先安装 Platform Services Controller,然后再安装 vCenter server或部署 vCenter Server Appliance。对于嵌入式部署,将自动装顺序。后续安装如果最多大约四个 vCenter Server实例,一个 Platform Services Controlle 可以为整个 vSphere环境提供服务。您可以将新的 vCenter server实例连接到同一个 Platform services contro‖er。如果超过大约四个 vCenter Server实例,您可以安装额外的 Platform services Controller以获得更佳的性能。每个 Platform Services Controller上的 vCenter Single Sign-On服务会与所有其他实例同步身份验证数据。准确数量取决于 vCenter server实例的使用程度以及其他因素。有关部署模型、每种部署类型的优势和缺点的详细信息,请参见《 v Center server安装和设置》。通过 vSphere使用 v Center single Sign-On 当用户登录 vSphere组件或 vCenter server解决方案用户访问另一个 VCenter server服务时, VCenter Single Sign-On会执行身份验证。用户必须通过 vCenter Single Sign-On进行身份验证,且应具有所需权限才能与 vSphere对象进行交互 vCenter Single Sign-On会同时对解决方案用户和其他用户进行身份验证。解决方案用户表示 vSphere环境中的一组服务。在安装期间,默认情况下,wMcA会向每个解决方案用户分配一个证书。解决方案用户使用该证书对 vCenter Single Sign-On进行身份验证。 vCenter Single sign-On会向解决方案用户提供一个SAML令牌,然后,该解决方案用户可以与环境中的其他服务进行其他用户登录到环境时(例如,从 vSphere Client登录), vCenter Single Sign-On会提示您输入用户名和密码。如果 vCenter Single Sign-On在相应的标识源中找到具有这些凭据的用户,则会向该用户分配SAML令牌。现在,用户可以访问环境中的其他服务,而无需提示再次进行身份验证用户可以查看哪些对象以及用户能够执行哪些操作通常由 vCenter server权限设置决定。 vCenter server 管理员可以从 vSphere Web Client或 vSphere Client中的权限界面分配这些权限,而不是通过 vCenter Single Sign-On进行分配。请参见《 vSphere安全性》文档。 vCenter single sign-On和 VCenter server用户用户可通过在登录页面上输入凭据向 vCenter Single Sign-On进行身份验证。连接到 v Center Server后, 通过身份验证的用户可以查看所有 vCenter server实例或向其角色提供权限的其他 vSphere对象。无需进步进行身份验证。 VMware,lc保留所有权利

使用 vCenter Single Sign-On 进行身份验证会使 vSphere 更加安全，因为 vSphere 软件组件使用安全的令牌交换机制彼此进行通信，且所有其他用户也可以使用 vCenter Single Sign-On 进行身份验证。从 vSphere 6.0 开始，vCenter Single Sign-On 包括在嵌入式部署中或是 Platform Services Controller 的一部分。Platform Services Controller 包含 vSphere 组件之间进行通信所需的全部服务，其中包括 vCenter Single Sign-On、VMware Certificate Authority、VMware Lookup Service 以及许可服务。安装顺序非常重要。首次安装如果安装为分布式，则必须先安装 Platform Services Controller，然后再安装 vCenter Server 或部署 vCenter Server Appliance。对于嵌入式部署，将自动执行正确的安装顺序。后续安装如果最多大约四个 vCenter Server 实例，一个 Platform Services Controller 可以为整个 vSphere 环境提供服务。您可以将新的 vCenter Server 实例连接到同一个 Platform Services Controller。如果超过大约四个 vCenter Server 实例，您可以安装额外的 Platform Services Controller 以获得更佳的性能。每个 Platform Services Controller 上的 vCenter Single Sign-On 服务会与所有其他实例同步身份验证数据。准确数量取决于 vCenter Server 实例的使用程度以及其他因素。有关部署模型、每种部署类型的优势和缺点的详细信息，请参见《vCenter Server 安装和设置》。通过 vSphere 使用 vCenter Single Sign-On 当用户登录 vSphere 组件或 vCenter Server 解决方案用户访问另一个 vCenter Server 服务时，vCenter Single Sign-On 会执行身份验证。用户必须通过 vCenter Single Sign-On 进行身份验证，且应具有所需权限才能与 vSphere 对象进行交互。 vCenter Single Sign-On 会同时对解决方案用户和其他用户进行身份验证。 n 解决方案用户表示 vSphere 环境中的一组服务。在安装期间，默认情况下，VMCA 会向每个解决方案用户分配一个证书。解决方案用户使用该证书对 vCenter Single Sign-On 进行身份验证。vCenter Single Sign-On 会向解决方案用户提供一个 SAML 令牌，然后，该解决方案用户可以与环境中的其他服务进行交互。 n 其他用户登录到环境时（例如，从 vSphere Client 登录），vCenter Single Sign-On 会提示您输入用户名和密码。如果 vCenter Single Sign-On 在相应的标识源中找到具有这些凭据的用户，则会向该用户分配 SAML 令牌。现在，用户可以访问环境中的其他服务，而无需提示再次进行身份验证。用户可以查看哪些对象以及用户能够执行哪些操作通常由 vCenter Server 权限设置决定。vCenter Server 管理员可以从 vSphere Web Client 或 vSphere Client 中的权限界面分配这些权限，而不是通过 vCenter Single Sign-On 进行分配。请参见《vSphere 安全性》文档。 vCenter Single Sign-On 和 vCenter Server 用户用户可通过在登录页面上输入凭据向 vCenter Single Sign-On 进行身份验证。连接到 vCenter Server 后，通过身份验证的用户可以查看所有 vCenter Server 实例或向其角色提供权限的其他 vSphere 对象。无需进一步进行身份验证。 Platform Services Controller 管理 VMware, Inc. 保留所有权利。 24

Platform services Controller管理安装后, vCenter Single Sign-On域的管理员(默认为 administratore@ vsphere. local)对 vCenter Single sign-On和 vCenter Server具有管理员访冋权限。然后,该用户可以添加标识源、设置默认标识源,以及管理 vCenter Single Sign-On域中的用户和组可对 vCenter Single Sign-On进行身份验证的所有用户均可重置其密码,即使这些密码已过期也是如此,只要用户知道密码。请参见更改 vCenter Single Sign-On密码。只有 vCenter Single Sign-On管理员可以为不再具有其密码的用户重置密码。注通过 vSphere Client更改SDDC的密码时,新密码不会与“默认 vCenter凭据”页面上显示的密码同步。该页面仅显示默认凭据。如果更改了凭据,您自己应负责记好新密码。请联系技术支持以请求更改密码。 v Center single sign-On管理员用户可从 vSphere Client或 vSphere Web Client访间 vCenter Single Sign-On管理界面。要配置 vCenter Single Sign-On并管理 vCenter Single Sign-On用户和组,用户 administrator@ vsphere. local 或 vCenter Single Sign-On管理员组中的用户必须登录到 vSphere Client.。根据身份验证,该用户可以通过 vSphere Client访问 vCenter Single Sign-on管理界面,并管理标识源和默认域、指定密码策略以及执行其他管理任务。注如果在安装过程中指定了其他域,则不能重命名 vCenter Single Sign-On管理员用户,它默认为 administrator(@ vsphere. local或 administrator(@ mydomain。为提高安全性,请考虑在 v Center Single Sign on域中创建其他命名的用户,并为其分配管理特权。然后,可以使用管理员帐户停止。 Esxi用户立EsXi主机未与 vCenter Single Sign-On或 Platform Services Controller集成。请参见《 vSphere安全性》,了解有关将ESXi主机添加到 Active Directory的信息。如果使用 VMware Host client、vCL或 PowerCL为受管ESXi主机创建本地Esxi用户, vCenter server 不会识别这些用户。因此,创建本地用户会造成混淆,尤其是如果使用相同的用户名。如果可以对 vCenter Single Sign-On进行身份验证的用户对ESX主机对象拥有对应的权限,他们则可以查看和管理ESX主机注通过 vCenter server管理EsXi主机的权限(如果可能)。如何登录到 vCenter Server组件可以通过连接到 vSphere Client或 vSphere Web Client登录。用户从 vSphere Client登录到 vCenter Server系统时,登录行为取决于用户是否位于设置为默认标识源的域中。默认域中的用户可使用其自身的用户名和密码进行登录如果用户位于已添加到 vCenter Single Sign-on作为标识源的域而并非默认域中,则可以登录到 vCenter Server,但必须按照以下方式之一指定域包含域名前缀,例如 MYDOMA| N\user1 包含域,例如user1@mydomain.com VMware,lc保留所有权利

安装后，vCenter Single Sign-On 域的管理员（默认为 administrator@vsphere.local）对 vCenter Single Sign-On 和 vCenter Server 具有管理员访问权限。然后，该用户可以添加标识源、设置默认标识源，以及管理 vCenter Single Sign-On 域中的用户和组。可对 vCenter Single Sign-On 进行身份验证的所有用户均可重置其密码，即使这些密码已过期也是如此，只要用户知道密码。请参见更改 vCenter Single Sign-On 密码。只有 vCenter Single Sign-On 管理员可以为不再具有其密码的用户重置密码。注通过 vSphere Client 更改 SDDC 的密码时，新密码不会与“默认 vCenter 凭据”页面上显示的密码同步。该页面仅显示默认凭据。如果更改了凭据，您自己应负责记好新密码。请联系技术支持以请求更改密码。 vCenter Single Sign-On 管理员用户可从 vSphere Client 或 vSphere Web Client 访问 vCenter Single Sign-On 管理界面。要配置 vCenter Single Sign-On 并管理 vCenter Single Sign-On 用户和组，用户 administrator@vsphere.local 或 vCenter Single Sign-On 管理员组中的用户必须登录到 vSphere Client。根据身份验证，该用户可以通过 vSphere Client 访问 vCenter Single Sign-On 管理界面，并管理标识源和默认域、指定密码策略以及执行其他管理任务。注如果在安装过程中指定了其他域，则不能重命名 vCenter Single Sign-On 管理员用户，它默认为 administrator@vsphere.local 或 administrator@mydomain。为提高安全性，请考虑在 vCenter Single SignOn 域中创建其他命名的用户，并为其分配管理特权。然后，可以使用管理员帐户停止。 ESXi 用户独立 ESXi 主机未与 vCenter Single Sign-On 或 Platform Services Controller 集成。请参见《vSphere 安全性》，了解有关将 ESXi 主机添加到 Active Directory 的信息。如果使用 VMware Host Client、vCLI 或 PowerCLI 为受管 ESXi 主机创建本地 ESXi 用户，vCenter Server 不会识别这些用户。因此，创建本地用户会造成混淆，尤其是如果使用相同的用户名。如果可以对 vCenter Single Sign-On 进行身份验证的用户对 ESXi 主机对象拥有对应的权限，他们则可以查看和管理 ESXi 主机。注通过 vCenter Server 管理 ESXi 主机的权限（如果可能）。如何登录到 vCenter Server 组件可以通过连接到 vSphere Client 或 vSphere Web Client 登录。用户从 vSphere Client 登录到 vCenter Server 系统时，登录行为取决于用户是否位于设置为默认标识源的域中。 n 默认域中的用户可使用其自身的用户名和密码进行登录。 n 如果用户位于已添加到 vCenter Single Sign-On 作为标识源的域而并非默认域中，则可以登录到 vCenter Server，但必须按照以下方式之一指定域。 n 包含域名前缀，例如 MYDOMAIN\user1 n 包含域，例如 user1@mydomain.com Platform Services Controller 管理 VMware, Inc. 保留所有权利。 25

点击进入文档下载页（PDF格式）

共153页，可试读30页，点击继续阅读 ↓↓

您可能感兴趣的文档

点击购买下载（PDF）

下载及服务说明

购买前请先查看本文档预览页，确认内容后再进行支付；
如遇文件无法下载、无法访问或其它任何问题，可发送电子邮件反馈，核实后将进行文件补发或退款等其它相关操作；
邮箱：

文档浏览记录