Você pode ingressar vCenter Server em um domínio Active Directory. Você pode anexar os usuários e grupos deste domínio Active Directory ao seu domínio vCenter Single Sign-On. Você pode sair do domínio Active Directory.

Importante: Não há suporte para a associação de vCenter Server a um domínio Active Directory com um controlador de domínio somente leitura (RODC). Você pode ingressar vCenter Server apenas em um domínio Active Directory com um controlador de domínio gravável.

Se quiser configurar permissões para que os usuários e grupos de um Active Directory possam acessar os componentes do vCenter Server, você deverá ingressar a instância do vCenter Server no domínio do Active Directory.

Por exemplo, para permitir que um usuário do Active Directory faça login na instância do vCenter Server usando o vSphere Client, você deve ingressar a instância do vCenter Server no domínio Active Directory e atribuir a função de Administrador a esse usuário.

Pré-requisitos

  • Verifique se o usuário que faz login na instância do vCenter Server é um membro do grupo SystemConfiguration.Administrators em vCenter Single Sign-On.

  • Verifique se o nome do sistema do dispositivo é um FQDN. Se, durante a implantação do dispositivo, você definir um endereço IP como um nome de sistema, não poderá ingressar vCenter Server em um domínio Active Directory.

Procedimento

  1. Use o vSphere Client para fazer login como administrador @ your_domain_name na instância do vCenter Server.
  2. No menu vSphere Client, selecione Administração (Administration).
  3. Selecione Single Sign On (Single Sign On) > Configuration (Configuration).
  4. Clique na guia Provedor de identidade (Identity Provider ) e selecione Active Directory Domínio como o tipo de identidade.
  5. Clique em JOIN AD (JOIN AD).
  6. Na janela Ingressar no Active Directory domínio, forneça os seguintes detalhes.
    Opção Descrição
    Domínio Active Directory nome de domínio, por exemplo, meudomínio.com. Não forneça um endereço IP nesta caixa de texto.
    Unidade organizacional (opcional) O FQDN LDAP da Unidade de Organização (OU) completo, por exemplo, OU = Engenharia, DC = mydomain, DC = com.
    Importante: Use essa caixa de texto somente se você estiver familiarizado com o LDAP.
    Nome de usuário Nome de usuário no formato Nome Principal do Usuário (UPN), por exemplo, [email protected].
    Importante: O formato de nome de login de nível inferior, por exemplo, DOMAIN \ UserName, não é compatível.
    Senha Senha do usuário.
    Observação: Reinicie o nó para aplicar as alterações.
  7. Clique em PARTICIPAR (JOIN) para ingressar o vCenter Server no domínio Active Directory.
    A operação silenciosamente é bem-sucedida e você pode ver a opção Ingressar no AD como Sair do AD.
  8. (Opcional) Para sair do domínio Active Directory, clique em DEIXAR ANÚNCIO (LEAVE AD).
  9. Reinicie o vCenter Server para aplicar as alterações.
    Importante: Se você não reiniciar o vCenter Server, poderá encontrar problemas ao usar o vSphere Client.
  10. Selecione a guia Identity Sources (Identity Sources) e clique em ADICIONAR (ADD).
    1. Na janela Adicionar Origem de Identidade, selecione Active Directory (Autenticação Integrada do Windows) como o Tipo de Origem de Identidade.
    2. Insira as configurações de origem da identidade do domínio Active Directory ingressado e clique em ADICIONAR (ADD).
      Tabela 1. Adicionar configurações de origem de identidade
      Caixa de texto Descrição
      Nome de domínio FDQN do domínio. Não forneça um endereço IP nesta caixa de texto.
      Usar conta de máquina Selecione essa opção para usar a conta da máquina local como o SPN. Ao selecionar essa opção, você especifica apenas o nome do domínio. Não selecione essa opção se você espera renomear esta máquina.
      Usar nome principal do serviço (SPN) Selecione essa opção se você espera renomear a máquina local. Você deve especificar um SPN, um usuário que possa se autenticar com a origem da identidade e uma senha para o usuário.
      Nome da entidade de serviço SPN que ajuda o Kerberos a identificar o serviço Active Directory. Inclua o domínio no nome, por exemplo, STS / example.com.

      Talvez seja necessário executar o setspn -S para adicionar o usuário que você deseja usar. Consulte a documentação da Microsoft para obter informações sobre setspn.

      O SPN deve ser exclusivo no domínio. A execução de setspn -S verifica se nenhuma duplicata foi criada.

      Nome de usuário Nome de um usuário que pode se autenticar com essa origem de identidade. Use o formato de endereço de e-mail, por exemplo, [email protected]. Você pode verificar o Nome Principal do Usuário com o Active Directory Editor de Interfaces de Serviço (ADSI Edit).
      Senha Senha para o usuário que é usado para autenticar com essa origem de identidade, que é o usuário especificado no Nome Principal do Usuário. Inclua o nome do domínio, por exemplo, [email protected].

Resultados

Na guia Origens de identidade (Identity Sources), você pode ver o domínio ingressado no Active Directory.

O que Fazer Depois

Você pode configurar permissões para que os usuários e grupos do domínio ingressado em Active Directory possam acessar os componentes do vCenter Server. Para obter informações sobre como gerenciar permissões, consulte a documentação do vSphere Security .