Active Directory Configurações de origem da identidade

Se você selecionar o tipo de origem de identidade Active Directory (Autenticação Integrada do Windows), poderá usar a conta da máquina local como seu SPN (Nome da Entidade de Serviço) ou especificar um SPN explicitamente. Você poderá usar essa opção somente se o servidor vCenter Single Sign-On ingressar em um domínio Active Directory.

Pré-requisitos para usar uma origem de identidade do Active Directory (Autenticação integrada do Windows)

Você pode configurar o vCenter Single Sign-On para usar uma origem de identidade do Active Directory (Autenticação Integrada do Windows) somente se essa origem de identidade estiver disponível. Siga as instruções na documentação do vCenter Server Configuração .

Observação: Active Directory (Autenticação Integrada do Windows) sempre usa a raiz da floresta do domínio Active Directory. Para configurar sua origem de identidade da Autenticação Integrada do Windows com um domínio filho na sua floresta do Active Directory, consulte o artigo da base de conhecimento do VMware em http://kb.vmware.com/kb/2070433 .

Selecione Usar conta de máquina (Use machine account) para acelerar a configuração. Se você espera renomear a máquina local na qual o vCenter Single Sign-On é executado, é preferível especificar um SPN explicitamente.

Se você tiver ativado o log de eventos de diagnóstico no seu Active Directory para identificar onde a proteção pode ser necessária, poderá ver um evento de log com ID de evento 2889 nesse servidor de diretório. A ID de evento 2889 é gerada como uma anomalia em vez de um risco de segurança ao usar a autenticação integrada do Windows. Para obter mais informações sobre a ID de evento 2889, consulte o VMware artigo da base de conhecimento em https://kb.vmware.com/s/article/78644.

Tabela 1. Adicionar configurações de origem de identidade
Caixa de texto	Descrição
Nome do domínio (Domain name)	FQDN do nome de domínio, por exemplo, mydomain.com. Não forneça um endereço IP. Este nome de domínio deve ser resolvido por DNS pelo sistema vCenter Server.
Usar conta de máquina (Use machine account )	Selecione essa opção para usar a conta da máquina local como o SPN. Ao selecionar essa opção, você especifica apenas o nome do domínio. Não selecione essa opção se você espera renomear esta máquina.
Usar Nome Principal do Serviço (SPN) (Use Service Principal Name (SPN))	Selecione essa opção se você espera renomear a máquina local. Você deve especificar um SPN, um usuário que possa se autenticar com a origem da identidade e uma senha para o usuário.
Nome Principal do Serviço (SPN) (Service Principal Name (SPN) )	SPN que ajuda o Kerberos a identificar o serviço Active Directory. Inclua o domínio no nome, por exemplo, STS / example.com . O SPN deve ser exclusivo no domínio. Executar o comando setspn -S verifica se nenhuma duplicata é criada. Consulte a documentação da Microsoft para obter informações sobre setspn.
Nome principal do usuário (UPN) (User Principal Name (UPN) ) Senha (Password )	Nome e senha de um usuário que pode se autenticar com essa origem de identidade. Use o formato de endereço de e-mail, por exemplo, [email protected]. Você pode verificar o Nome Principal do Usuário com o Active Directory Editor de Interfaces de Serviço (ADSI Edit).