文档详细内容(约153页)
Platform services Controller管理 如果用户位于不是 vCenter Single Sign-On标识源的域中,则无法登录到 vCenter Server.。如果添加到 vCenter Single Sign-on的域是域层次结构的一部分,则 Active Directory将确定层次结构中其他域的用 户是否进行了身份验证 如果环境中包括 Active Directory层次结构,请参见 VMware知识库文章2064250获取受支持和不支持的设 置的详细信息。 注从 Sphere60 Update2开始,支持双因素身份验证。请参见了解 vCenter Server双因素身份验证。 Center Single sign-On域中的组 vCenter Single Sign-On域(默认为 vsphere. local)包含多个预定义组。如果将用户添加到其中一个组,则 请参见管理 vCenter Single Sign-On用户和组。 对于 vCenter Server层次结构中的所有对象,您可以通过将用户和角色与对象进行配对来分配权限。例如, 您可以选择一个资源池,并通过向一组用户授予相应的角色,为这组用户分配对该资源池对象的读取特权 对于某些并非由 vCenter server直接管理的服务,一个 vCenter Single Sign-On组中的成员资格决定特权 例如,属于管理员组成员的用户可以管理 vCenter Single Sign-On。属于 CAAdmins组成员的用户可以管理 VMware Certificate Authority,而属于 Licenseservice Administrators组的用户可以管理许可证 vsphere. local中预定义了以下组。 注其中许多组是 vsphere. local的内部组或可向用户提供高级别管理特权。只有在仔细考虑相关风险后,才 能将用户添加到以下任意组 注请勿删除 vsphere. local域中的任何预定义组。否则,可能会导致身份验证错误或证书置备错误。 表2-1. vsphere. local域中的组 转权 描述 Center Single Sign-On域(默认为 vsphere. local)中的用户 解决方案用户组 vCenter服务。每个解决方案用户将使用证书单独向 vCenter Single Sign on进行身份验证。默认情况下,WMCA将为解决方案用户置备证书。不要向该组明确 添加成员 CAAdmins CAAdmins组的成员拥有WMcA的管理员特权。不要向该组添加成员,除非您有充分的 DCAdmins组的成员可以对 VMware Directory Service执行域控制器管理员操作。 不要直接管理域控制器。请改用 vmdir C凵或 vSphere Client执行相应的任务 SystemConfiguration Bash ShellAdminis此组仅适用于 vCenter Server Appliance部署。 此组中的用户可以启用和禁用对 BASH she的访问。默认情况下,使用SSH连接到 vCenter Server Appliance的用户只能访问受限shel中的命令。此组中的用户可以访问 BASH shel ActAsUsers Act-As Users的成员可以从 vCenter Single Sign-On获取 Act-As令牌 ExtemallPDUsers Sphere未使用此内部组。 VMware vCloud A需要此组。 VMware,lc保留所有权利
n 如果用户位于不是 vCenter Single Sign-On 标识源的域中,则无法登录到 vCenter Server。如果添加到 vCenter Single Sign-On 的域是域层次结构的一部分,则 Active Directory 将确定层次结构中其他域的用 户是否进行了身份验证。 如果环境中包括 Active Directory 层次结构,请参见 VMware 知识库文章 2064250 获取受支持和不支持的设 置的详细信息。 注 从 vSphere 6.0 Update 2 开始,支持双因素身份验证。请参见了解 vCenter Server 双因素身份验证。 vCenter Single Sign-On 域中的组 vCenter Single Sign-On 域(默认为 vsphere.local)包含多个预定义组。如果将用户添加到其中一个组,则 可以执行相应的操作。 请参见管理 vCenter Single Sign-On 用户和组。 对于 vCenter Server 层次结构中的所有对象,您可以通过将用户和角色与对象进行配对来分配权限。例如, 您可以选择一个资源池,并通过向一组用户授予相应的角色,为这组用户分配对该资源池对象的读取特权。 对于某些并非由 vCenter Server 直接管理的服务,一个 vCenter Single Sign-On 组中的成员资格决定特权。 例如,属于管理员组成员的用户可以管理 vCenter Single Sign-On。属于 CAAdmins 组成员的用户可以管理 VMware Certificate Authority,而属于 LicenseService.Administrators 组的用户可以管理许可证。 vsphere.local 中预定义了以下组。 注 其中许多组是 vsphere.local 的内部组或可向用户提供高级别管理特权。只有在仔细考虑相关风险后,才 能将用户添加到以下任意组。 注 请勿删除 vsphere.local 域中的任何预定义组。否则,可能会导致身份验证错误或证书置备错误。 表 2‑1. vsphere.local 域中的组 特权 描述 用户 vCenter Single Sign-On 域(默认为 vsphere.local)中的用户。 SolutionUsers 解决方案用户组 vCenter 服务。每个解决方案用户将使用证书单独向 vCenter Single SignOn 进行身份验证。默认情况下,VMCA 将为解决方案用户置备证书。不要向该组明确 添加成员。 CAAdmins CAAdmins 组的成员拥有 VMCA 的管理员特权。不要向该组添加成员,除非您有充分的 理由。 DCAdmins DCAdmins 组的成员可以对 VMware Directory Service 执行域控制器管理员操作。 注 不要直接管理域控制器。请改用 vmdir CLI 或 vSphere Client 执行相应的任务。 SystemConfiguration.BashShellAdminis trators 此组仅适用于 vCenter Server Appliance 部署。 此组中的用户可以启用和禁用对 BASH shell 的访问。默认情况下,使用 SSH 连接到 vCenter Server Appliance 的用户只能访问受限 shell 中的命令。此组中的用户可以访问 BASH shell。 ActAsUsers Act-As Users 的成员可以从 vCenter Single Sign-On 获取 Act-As 令牌。 ExternalIPDUsers vSphere 未使用此内部组。VMware vCloud Air 需要此组。 Platform Services Controller 管理 VMware, Inc. 保留所有权利。 26
Platform services Controller管理 表21. vsphere. local域中的组(续) SystemConfiguration. Administrators SystemConfiguration. Administrators组的成员可以在 vSphere Client中查看和管理系统 配置。这些用户可以查看、启动和重新启动服务、对服务进行故障排除、查看可用节点 以及管理这些节点 DCClients 此组在内部使用,以便允许管理节点访问 Mware Directory Service中的数据 注不要修改此组。任何更改都可能会影响证书基础架构。 ComponentManager Administrators ComponentManager Administrators组的成员可以调用组件管理器APl以注册或取消注 册服务,即修改服务。对服务进行读取访问不需要此组中的成员资格 LicenseService Administrators License service Administrators的成员对所有与许可相关的数据具有完全的写入访问权 限,且可以为已在许可服务中注册的所有产品资产 分配和取消分配序列密钥。 管理员 Mware Directory Service( vidin)的管理员。此组的成员可以执行 vCenter Single Sign On管理任务。不要向该组添加成员.除非您有充分的理由并了解后果。 配置 v Center single sign-On标识源 用户仅使用用户名登录时, vCenter Single Sign-On会在默认标识源中检查该用户是否可以进行身份验证。 当用户登录并在登录屏幕中提供域名时, vCenter Single Sign-On会检查指定的域,确认该域是否已添加为 标识源。可以添加标识源、移除标识源和更改默认值。 可从 vSphere Client配置 vCenter Single Sign-On。要配置 vCenter Single Sign-On,您必须拥有 vCenter Single Sign-On管理员特权。 vCenter Single Sign-On管理员特权不同于 vCenter server或ESXi上的管理 员角色。在新安装中,仅 vCenter Single Sign-On管理员(默认为 administrator@ vsphere. local)可以对 vCenter Single Sign-On进行身份验证 vCenter Server和 vCenter Single Sign-On的标识源 可以使用标识源将一个或多个域附加到 vCenter Single Sign-On。域是用户和组的存储库,可以由 vCenter Single Sign-On服务器用于用户身份验证。 设置 vCenter Single Sign-On的默认域 每个 v Center Single Sign-On标识源都与某个域相关联。 vCenter Single Sign-On使用默认域验证未使 用域名登录的用户的身份。如果用户所属的域不是默认域,则用户在登录时必须包含域名。 添加或编辑 vCenter Single Sign-On标识源 仅当用户所在域已添加为 vCenter Single Sign-On标识源时,用户才能登录到 vCenter Server. VCenter Single Sign-On管理员用户可以添加标识源,或者更改已添加的标识源的设置。 将 vCenter Single Sign-On与 Windows会话身份验证结合使用 您可以在 vCenter Single Sign-On中使用 Windows会话身份验证(SSP)。必须先将 Platform Services Controller加入 Active Directory域,然后才能使用SSPl VCenter Server和 v Center single Sign-On的标识源 可以使用标识源将一个或多个域附加到 vCenter Single Sign-On。域是用户和组的存储库,可以由 VCenter Single Sign-On服务器用于用户身份验证。 VMware,lc保留所有权利
表 2‑1. vsphere.local 域中的组 (续) 特权 描述 SystemConfiguration.Administrators SystemConfiguration.Administrators 组的成员可以在 vSphere Client 中查看和管理系统 配置。这些用户可以查看、启动和重新启动服务、对服务进行故障排除、查看可用节点 以及管理这些节点。 DCClients 此组在内部使用,以便允许管理节点访问 VMware Directory Service 中的数据。 注 不要修改此组。任何更改都可能会影响证书基础架构。 ComponentManager.Administrators ComponentManager.Administrators 组的成员可以调用组件管理器 API 以注册或取消注 册服务,即修改服务。对服务进行读取访问不需要此组中的成员资格。 LicenseService.Administrators LicenseService.Administrators 的成员对所有与许可相关的数据具有完全的写入访问权 限,且可以为已在许可服务中注册的所有产品资产添加、移除、分配和取消分配序列密钥。 管理员 VMware Directory Service (vmdir) 的管理员。此组的成员可以执行 vCenter Single SignOn 管理任务。不要向该组添加成员,除非您有充分的理由并了解后果。 配置 vCenter Single Sign-On 标识源 用户仅使用用户名登录时,vCenter Single Sign-On 会在默认标识源中检查该用户是否可以进行身份验证。 当用户登录并在登录屏幕中提供域名时,vCenter Single Sign-On 会检查指定的域,确认该域是否已添加为 标识源。可以添加标识源、移除标识源和更改默认值。 可从 vSphere Client 配置 vCenter Single Sign-On。要配置 vCenter Single Sign-On,您必须拥有 vCenter Single Sign-On 管理员特权。vCenter Single Sign-On 管理员特权不同于 vCenter Server 或 ESXi 上的管理 员角色。在新安装中,仅 vCenter Single Sign-On 管理员(默认为 administrator@vsphere.local)可以对 vCenter Single Sign-On 进行身份验证。 n vCenter Server 和 vCenter Single Sign-On 的标识源 可以使用标识源将一个或多个域附加到 vCenter Single Sign-On。域是用户和组的存储库,可以由 vCenter Single Sign-On 服务器用于用户身份验证。 n 设置 vCenter Single Sign-On 的默认域 每个 vCenter Single Sign-On 标识源都与某个域相关联。vCenter Single Sign-On 使用默认域验证未使 用域名登录的用户的身份。如果用户所属的域不是默认域,则用户在登录时必须包含域名。 n 添加或编辑 vCenter Single Sign-On 标识源 仅当用户所在域已添加为 vCenter Single Sign-On 标识源时,用户才能登录到 vCenter Server。vCenter Single Sign-On 管理员用户可以添加标识源,或者更改已添加的标识源的设置。 n 将 vCenter Single Sign-On 与 Windows 会话身份验证结合使用 您可以在 vCenter Single Sign-On 中使用 Windows 会话身份验证 (SSPI)。必须先将 Platform Services Controller 加入 Active Directory 域,然后才能使用 SSPI。 vCenter Server 和 vCenter Single Sign-On 的标识源 可以使用标识源将一个或多个域附加到 vCenter Single Sign-On。域是用户和组的存储库,可以由 vCenter Single Sign-On 服务器用于用户身份验证。 Platform Services Controller 管理 VMware, Inc. 保留所有权利。 27
Platform services Controller管理 管理员可以添加标识源、设置默认标识源,以及在 vsphere.ocal标识源中创建用户和组。 用户和组数据存储在 Active Directory中、 OpenLDAP中或者存储到本地安装了 vCenter Single Sign-On的 计算机操作系统。在安装后, vCenter Single Sign-On的每个实例都有标识源 your domain name,例如 vsphere. local。此标识源在 vCenter Single Sign-On内部。 vCenter Server51版之前的版本支持将 Active Directory和本地操作系统用户作为用户存储库。因此,本地 操作系统用户始终能够对 vCenter server系统进行身份验证。 VCenter server版本5.1和5.5使用 VCenter Single Sign-On进行身份验证。有关 vCenter Single Sign-On51支持的标识源的列表,请参见 vSphere51 文档。 vCenter Single Sign-on55支持将以下类型的用户存储库用作标识源,但仅支持一个默认标识源。 Active Directory2003版及更高版本。在 vSphere Client中显示为 Active Directory(集成 Windows身 份验证。 vCenter Single Sign-On允许您将单个 Active Directory域指定为标识源。该域可包含子域或 作为林的根域。 VMware知识库文章2064250讨论了 v Center Single Sign-On支持的 Microsoft Active Directory信任。 Active Directory over LDAP。 vCenter Single Sign-On支持多个 Active Directory over LDAP标识 包括此标识源类型是为了与 Sphere5.1附带的 vCenter Single Sign-On服务兼容。在 vSphere Client 中显示为 Active Directory作为LDAP服务器。 OpenLDAP版本24及更高版本。 vCenter Single Sign-On支持多个 OpenLDAP标识源。在 vSphere Client中显示为 OpenLDAP。 本地操作系统用户。本地操作系统用户是运行 v Center Single Sign-On服务器的操作系统的本地用户 本地操作系统标识源仅在基本 vCenter Single Sign-On服务器部署中存在,并在具有多个 vCenter Single sgn-On实例的部署中不可用。仅允许一个本地操作系统标识源。在 vSphere Client中显示为 locales。 注如果 Platform Services Controller与 vCenter Server系统位于不同的计算机上,请勿使用本地操作 系统用户。在嵌入式部署中也许可以使用本地操作系统用户,但并不建议这样做 vCenter Single Sign-On系统用户。每次安装 v Center Single Sign-On时都会创建一个系统标识源。 注无论何时都只存在一个默认域。来自非默认域的用户在登录时必须添加域名(域用户)才能成功进行身 份验证。 设置 v Center Single sign-On的默认域 每个 vCenter Single Sign-On标识源都与某个域相关联。 vCenter Single Sign-On使用默认域验证未使用域 名登录的用户的身份。如果用户所属的域不是默认域,则用户在登录时必须包含域名。 用户从 vSphere Client登录到 vCenter server系统时,登录行为取决于用户是否位于设置为默认标识源的 默认域中的用户可使用其自身的用户名和密码进行登录 如果用户位于已添加到 vCenter Single Sign-On作为标识源的域而并非默认域中,则可以登录到 Center server,但必须按照以下方式之一指定域 包含域名前缀,例如 MYDOMAIN\uSer1 包含域,例如user1@ mydomain con VMware,lc保留所有权利
管理员可以添加标识源、设置默认标识源,以及在 vsphere.local 标识源中创建用户和组。 用户和组数据存储在 Active Directory 中、OpenLDAP 中或者存储到本地安装了 vCenter Single Sign-On 的 计算机操作系统。在安装后,vCenter Single Sign-On 的每个实例都有标识源 your_domain_name,例如, vsphere.local。此标识源在 vCenter Single Sign-On 内部。 vCenter Server 5.1 版之前的版本支持将 Active Directory 和本地操作系统用户作为用户存储库。因此,本地 操作系统用户始终能够对 vCenter Server 系统进行身份验证。vCenter Server 版本 5.1 和 5.5 使用 vCenter Single Sign-On 进行身份验证。有关 vCenter Single Sign-On 5.1 支持的标识源的列表,请参见 vSphere 5.1 文档。vCenter Single Sign-On 5.5 支持将以下类型的用户存储库用作标识源,但仅支持一个默认标识源。 n Active Directory 2003 版及更高版本。在 vSphere Client 中显示为 Active Directory (集成 Windows 身 份验证)。vCenter Single Sign-On 允许您将单个 Active Directory 域指定为标识源。该域可包含子域或 作为林的根域。VMware 知识库文章 2064250 讨论了 vCenter Single Sign-On 支持的 Microsoft Active Directory 信任。 n Active Directory over LDAP。vCenter Single Sign-On 支持多个 Active Directory over LDAP 标识源。 包括此标识源类型是为了与 vSphere 5.1 附带的 vCenter Single Sign-On 服务兼容。在 vSphere Client 中显示为 Active Directory 作为 LDAP 服务器。 n OpenLDAP 版本 2.4 及更高版本。vCenter Single Sign-On 支持多个 OpenLDAP 标识源。在 vSphere Client 中显示为 OpenLDAP。 n 本地操作系统用户。本地操作系统用户是运行 vCenter Single Sign-On 服务器的操作系统的本地用户。 本地操作系统标识源仅在基本 vCenter Single Sign-On 服务器部署中存在,并在具有多个 vCenter Single Sign-On 实例的部署中不可用。仅允许一个本地操作系统标识源。在 vSphere Client 中显示为 localos。 注 如果 Platform Services Controller 与 vCenter Server 系统位于不同的计算机上,请勿使用本地操作 系统用户。在嵌入式部署中也许可以使用本地操作系统用户,但并不建议这样做。 n vCenter Single Sign-On 系统用户。每次安装 vCenter Single Sign-On 时都会创建一个系统标识源。 注 无论何时都只存在一个默认域。来自非默认域的用户在登录时必须添加域名(域\用户)才能成功进行身 份验证。 设置 vCenter Single Sign-On 的默认域 每个 vCenter Single Sign-On 标识源都与某个域相关联。vCenter Single Sign-On 使用默认域验证未使用域 名登录的用户的身份。如果用户所属的域不是默认域,则用户在登录时必须包含域名。 用户从 vSphere Client 登录到 vCenter Server 系统时,登录行为取决于用户是否位于设置为默认标识源的 域中。 n 默认域中的用户可使用其自身的用户名和密码进行登录。 n 如果用户位于已添加到 vCenter Single Sign-On 作为标识源的域而并非默认域中,则可以登录到 vCenter Server,但必须按照以下方式之一指定域。 n 包含域名前缀,例如 MYDOMAIN\user1 n 包含域,例如 user1@mydomain.com Platform Services Controller 管理 VMware, Inc. 保留所有权利。 28
Platform services Controller管理 如果用户位于不是 vCenter Single Sign-On标识源的域中,则无法登录到 vCenter Server.。如果添加到 vCenter Single Sign-on的域是域层次结构的一部分,则 Active Directory将确定层次结构中其他域的用 户是否进行了身份验证 1使用 vSphere Client登录到已连接到 Platform Services Controller的 vCenter Server 2为 administrator@ vsphere. local或 vCenter Single Sign-On管理员组的其他成员指定用户名和密码。 如果在安装时指定了不同的域,请以 administrator@ mydomain身份登录。 3导航到配置Ul 在主页菜单中,选择系统管理。 b在单点登录下,单击配置。 4单击标识源,选择一个标识源,然后单击设为默认设置 在域显示屏幕中,默认域显示在“域”列中(默认设置) 添加或编辑 vCenter Single Sign-On标识源 仅当用户所在域已添加为 vCenter Single Sign-On标识源时,用户才能登录到 vCenter Server. VCenter Single Sign-on管理员用户可以添加标识源,或者更改已添加的标识源的设置 标识源可以是本机 Active Directory(集成 Windows身份验证)域,也可以是 OpenLDAP目录服务。为实 现向后兼容性,也可以选择 Active Directory作为LDAP服务器。请参见 vCenter Server和 vCenter Single Sign-On的标识源。 旦完成安装,以下默认标识源和用户立即可用 locals 所有本地操作系统用户。如果您要升级,则已进行身份验证的 Locales用户 可以继续进行身份验证。在使用嵌入式 Platform services controller的环境 中使用1 ocalos标识源没有意义, vsphere. local 包含 vCenter Single Sign-On内部用户 前提条件 如果您要添加 Active Directory标识源,则 vCenter Server Appliance或 vCenter server的 Windows计算 机必须位于 Active Directory域中。请参见将 Platform Services Controller设备添加到 Active Directory域。 步骤 1使用 vSphere Client登录到已连接到 Platform services controller的 v Center server 2为 administrator@ vsphere. local或 vCenter Single Sign-On管理员组的其他成员指定用户名和密码。 如果在安装时指定了不同的域,请以 administrator@ mydomain身份登录。 VMware,lc保留所有权利
n 如果用户位于不是 vCenter Single Sign-On 标识源的域中,则无法登录到 vCenter Server。如果添加到 vCenter Single Sign-On 的域是域层次结构的一部分,则 Active Directory 将确定层次结构中其他域的用 户是否进行了身份验证。 步骤 1 使用 vSphere Client 登录到已连接到 Platform Services Controller 的 vCenter Server。 2 为 administrator@vsphere.local 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。 如果在安装时指定了不同的域,请以 administrator@mydomain 身份登录。 3 导航到配置 UI。 a 在主页菜单中,选择系统管理。 b 在单点登录下,单击配置。 4 单击标识源,选择一个标识源,然后单击设为默认设置。 在域显示屏幕中,默认域显示在“域”列中(默认设置)。 添加或编辑 vCenter Single Sign-On 标识源 仅当用户所在域已添加为 vCenter Single Sign-On 标识源时,用户才能登录到 vCenter Server。vCenter Single Sign-On 管理员用户可以添加标识源,或者更改已添加的标识源的设置。 标识源可以是本机 Active Directory(集成 Windows 身份验证)域,也可以是 OpenLDAP 目录服务。为实 现向后兼容性,也可以选择 Active Directory 作为 LDAP 服务器。请参见 vCenter Server 和 vCenter Single Sign-On 的标识源。 一旦完成安装,以下默认标识源和用户立即可用: localos 所有本地操作系统用户。如果您要升级,则已进行身份验证的 localos 用户 可以继续进行身份验证。在使用嵌入式 Platform Services Controller 的环境 中使用 localos 标识源没有意义。 vsphere.local 包含 vCenter Single Sign-On 内部用户。 前提条件 如果您要添加 Active Directory 标识源,则 vCenter Server Appliance 或 vCenter Server 的 Windows 计算 机必须位于 Active Directory 域中。请参见将 Platform Services Controller 设备添加到 Active Directory 域。 步骤 1 使用 vSphere Client 登录到已连接到 Platform Services Controller 的 vCenter Server。 2 为 administrator@vsphere.local 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。 如果在安装时指定了不同的域,请以 administrator@mydomain 身份登录。 Platform Services Controller 管理 VMware, Inc. 保留所有权利。 29
Platform services Controller管理 3导航到配置Ul a在主页菜单中,选择系统管理 b在单点登录下,单击配置 4单击标识源,然后单击添加标识源。 5选择标识源,然后输入标识源设置。 选项 描述 Active Directory(集成 Windows身份验对于本机 Active Directory实施,请使用此选项。如果要使用此选项,则运行 vCenter Single Sign-On服务的计算机必须在 Active Directory域中 请参见 Active Directory标识源设置。 基于LDAP的 Active Directory 此选项可用于向后兼容性。这需要您指定域控制器和其他信息。请参见 Active Directory LDAP Server和 OpenLDAP Server标识源设置 OpenLDAP 对于 OpenLDAP标识源,请使用此选项。请参见 Active Directory LDAP Server和 OpenLDAP Server标识源设置 sso服务器的本地操作系统 对于SSO服务器的本地操作系统,请使用此选项。 注如果用户帐户已锁定或禁用, Active Directory域中的身份验证以及组和用户搜索将失败。用户帐户 必须具有用户和组OU的只读访问权限,并且必须能够读取用户和组属性。默认情况下, Active Directory 可提供此访问权限。使用特殊服务用户以增强安全性 6单击添加。 后续步骤 添加标识源后,所有用户均可进行身份验证,但只有无权访问角色。具有 vCenter ServerModify permissions 特权的用户可向用户或用户组分配特权。特权使用户或组能够登录到 vCenter Server以及查看和管理对象 您可以配置权限,以便已加入的 Active Directory域中的用户和组可以访 vCenter Server组件。请参见 《 vSphere安全性》文档。 Active Directory标识源设置 如果选择 Active Directory(集成 Windows身份验标识源类型,则可以使用本地计算机帐户作为SPN (服务主体名称)或明确指定一个SPN。只有在 v Center Single Sign-On服务器加入 Active Directory域 时,才能使用此选项。 使用 Active Directory标识源的必备条件 仅当 Active Directory标识源可用时,才能将 vCenter Single Sign-On设置为使用该标识源 对于 Windows安装,请将 Windows计算机加入 Active Directory域。 对于 vCenter Server Appliance,请按照《 vCenter Server Appliance配置》文档中的说明操作 注 Active Directory(集成 Windows身份验证)始终使用 Active Directory域林的根目录。要使用 Active Directory林中的子域配置集成 Windows身份验证标识源,请参见 VMware知识库文章,网址为 http://kb.vmwarecom/kb/2070433.) VMware,lc保留所有权利
3 导航到配置 UI。 a 在主页菜单中,选择系统管理。 b 在单点登录下,单击配置。 4 单击标识源,然后单击添加标识源。 5 选择标识源,然后输入标识源设置。 选项 描述 Active Directory (集成 Windows 身份验 证) 对于本机 Active Directory 实施,请使用此选项。如果要使用此选项,则运行 vCenter Single Sign-On 服务的计算机必须在 Active Directory 域中。 请参见 Active Directory 标识源设置。 基于 LDAP 的 Active Directory 此选项可用于向后兼容性。这需要您指定域控制器和其他信息。请参见 Active Directory LDAP Server 和 OpenLDAP Server 标识源设置。 OpenLDAP 对于 OpenLDAP 标识源,请使用此选项。请参见 Active Directory LDAP Server 和 OpenLDAP Server 标识源设置。 SSO 服务器的本地操作系统 对于 SSO 服务器的本地操作系统,请使用此选项。 注 如果用户帐户已锁定或禁用,Active Directory 域中的身份验证以及组和用户搜索将失败。用户帐户 必须具有用户和组 OU 的只读访问权限,并且必须能够读取用户和组属性。默认情况下,Active Directory 可提供此访问权限。使用特殊服务用户以增强安全性。 6 单击添加。 后续步骤 添加标识源后,所有用户均可进行身份验证,但只有无权访问角色。具有 vCenter ServerModify.permissions 特权的用户可向用户或用户组分配特权。特权使用户或组能够登录到 vCenter Server 以及查看和管理对象。 您可以配置权限,以便已加入的 Active Directory 域中的用户和组可以访问 vCenter Server 组件。请参见 《vSphere 安全性》文档。 Active Directory 标识源设置 如果选择 Active Directory (集成 Windows 身份验证) 标识源类型,则可以使用本地计算机帐户作为 SPN (服务主体名称)或明确指定一个 SPN。只有在 vCenter Single Sign-On 服务器加入 Active Directory 域 时,才能使用此选项。 使用 Active Directory 标识源的必备条件 仅当 Active Directory 标识源可用时,才能将 vCenter Single Sign-On 设置为使用该标识源。 n 对于 Windows 安装,请将 Windows 计算机加入 Active Directory 域。 n 对于 vCenter Server Appliance,请按照 《vCenter Server Appliance 配置》文档中的说明操作。 注 Active Directory(集成 Windows 身份验证)始终使用 Active Directory 域林的根目录。要使用 Active Directory 林中的子域配置集成 Windows 身份验证标识源,请参见 VMware 知识库文章,网址为 http://kb.vmware.com/kb/2070433.)。 Platform Services Controller 管理 VMware, Inc. 保留所有权利。 30
