Os usuários poderão fazer login em vCenter Server somente se estiverem em um domínio que foi adicionado como uma origem de identidade vCenter Single Sign-On. vCenter Single Sign-On Os usuários administradores podem adicionar origens de identidade ou alterar as configurações das origens de identidade que eles adicionaram.

Uma origem de identidade pode ser um Active Directory sobre LDAP, um domínio nativo Active Directory (Autenticação Windows Integrada) ou um serviço de diretório OpenLDAP. Consulte Origens de identidade para vCenter Server com vCenter Single Sign-On.

Imediatamente após a instalação, o domínio vsphere.local (ou o domínio que você especificou durante a instalação) com os vCenter Single Sign-On usuários internos fica disponível.

Observação:

Se você tiver atualizado ou substituído seu certificado SSL Active Directory, deverá remover e adicionar novamente a origem de identidade em vCenter Server.

Pré-requisitos

Se você estiver adicionando uma origem de identidade Active Directory (Autenticação Windows Integrada), o vCenter Server deverá estar no domínio Active Directory. Consulte Adicionar um vCenter Server a um domínio Active Directory.

Procedimento

  1. Faça login com o vSphere Client no vCenter Server.
  2. Especifique o nome de usuário e a senha para [email protected] ou outro membro do grupo vCenter Single Sign-On Administradores.
    Se você especificou um domínio diferente durante a instalação, faça login como administrador@ meudomínio.
  3. Navegue até a interface do usuário de configuração.
    1. No menu Início (Home), selecione Administração (Administration).
    2. Em Single Sign On, clique em Configuração (Configuration).
  4. Na guia Provedor de Identidade, clique em Origens de Identidade (Identity Sources) e clique em Adicionar (Add).
  5. Selecione a fonte de identidade e insira as configurações da fonte de identidade.
    Opção Descrição
    Active Directory (autenticação Windows integrada) Use essa opção para implementações nativas do Active Directory. A máquina na qual o serviço vCenter Single Sign-On está em execução deve estar em um domínio Active Directory se você quiser usar essa opção.

    Consulte Active Directory Configurações de origem de identidade.

    Active Directory sobre LDAP Essa opção requer que você especifique o controlador de domínio e outras informações. Consulte Active Directory sobre Configurações de Origem de Identidade do Servidor LDAP e OpenLDAP.
    OpenLDAP Use essa opção para uma origem de identidade OpenLDAP. Consulte Active Directory sobre Configurações de Origem de Identidade do Servidor LDAP e OpenLDAP.
    Observação:

    Se a conta de usuário estiver bloqueada ou desativada, as autenticações e as pesquisas de grupo e usuário no domínio Active Directory falharão. A conta de usuário deve ter acesso somente leitura na UO Usuário e Grupo e deve ser capaz de ler os atributos do usuário e do grupo. Active Directory fornece esse acesso por padrão. Use um usuário de serviço especial para aumentar a segurança.

  6. Clique em Adicionar (Add).

O que Fazer Depois

Inicialmente, cada usuário recebe a função Sem Acesso. Um administrador do vCenter Server deve atribuir ao usuário pelo menos a função Somente leitura para que o usuário possa fazer login. Consulte a documentação do vSphere Segurança.

Active Directory sobre Configurações de Origem de Identidade do Servidor LDAP e OpenLDAP

A origem de identidade Active Directory sobre LDAP tem preferência sobre a opção Active Directory (Autenticação Windows Integrada). A origem de identidade do OpenLDAP Server está disponível para ambientes que usam OpenLDAP.

Se você estiver configurando uma fonte de identidade OpenLDAP, consulte o artigo da base de conhecimento VMware em http://kb.vmware.com/kb/2064977 para obter os requisitos adicionais.

Observação: Uma atualização futura do Microsoft Windows alterará o comportamento padrão de Active Directory para exigir autenticação e criptografia fortes. Essa alteração afetará a forma como o vCenter Server é autenticado em Active Directory. Se você usar Active Directory como sua origem de identidade para vCenter Server, deverá planejar a ativação do LDAPS. Para obter mais informações sobre esta atualização de segurança da Microsoft, consulte https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023 e https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html.
Tabela 1. Active Directory nas configurações do servidor LDAP e OpenLDAP
Opção Descrição
Nome (Name ) Nome da fonte de identidade.
DN de base para usuários (Base DN for users) Nome Distinto Base para usuários. Digite o DN do qual iniciar as pesquisas do usuário. Por exemplo, cn=Users,dc=myCorp,dc=com.
DN de base para grupos (Base DN for groups) O Nome Distinto Base para grupos. Digite o DN do qual iniciar as pesquisas de grupo. Por exemplo, cn=Grupos,dc=myCorp,dc=com.
Nome de domínio (Domain name) O FQDN do domínio.
Alias do domínio (Domain alias) Para origens de identidade Active Directory, o nome NetBIOS do domínio. Adicione o nome NetBIOS do domínio Active Directory como um alias da fonte de identidade se estiver usando autenticações SSPI.

Para origens de identidade OpenLDAP, o nome de domínio em letras maiúsculas será adicionado se você não especificar um alias.

Nome de usuário (User name) ID de um usuário no domínio que tem um mínimo de acesso somente leitura ao DN Base para usuários e grupos. O ID pode estar em qualquer um destes formatos:
  • UPN (usuário@domínio.com)
  • NetBIOS (DOMÍNIO\usuário)
  • DN (cn=usuário,cn=Usuários,dc=domínio,dc=com)
O nome de usuário deve ser totalmente qualificado. Uma entrada de "usuário" não funciona.
Senha (Password) Senha do usuário especificado por Nome de usuário (Username).
Conectar-se a (Connect to) Controlador de domínio ao qual se conectar. Pode ser qualquer controlador de domínio no domínio ou controladores específicos.
URL do servidor principal (Primary Server URL) Servidor LDAP do controlador de domínio primário para o domínio. Você pode usar o nome do host ou o endereço IP.

Use o formato ldap://hostname_or_IPaddress:port ou ldaps://hostname_or_IPaddress:port. Normalmente, a porta é 389 para conexões LDAP e 636 para conexões LDAPS. Para Active Directory implantações de controlador de vários domínios, a porta normalmente é 3268 para LDAP e 3269 para LDAPS.

Um certificado que estabelece confiança para o endpoint LDAPS do servidor Active Directory é necessário quando você usa ldaps:// na URL LDAP primária ou secundária.

URL do servidor secundário (Secondary server URL) Endereço de um servidor LDAP de controlador de domínio secundário usado quando o controlador de domínio primário não está disponível. Você pode usar o nome do host ou o endereço IP. Para cada operação LDAP, o vCenter Server sempre tenta o controlador de domínio primário antes de efetuar fallback para o controlador de domínio secundário. Isso pode fazer com que os logins do Active Directory demorem algum tempo e até falhem quando o controlador de domínio primário não estiver disponível.
Certificados (para LDAPS) Se você quiser usar o LDAPS com sua fonte de identidade do Active Directory Servidor LDAP ou Servidor OpenLDAP, clique em Procurar para selecionar um certificado que foi exportado do controlador de domínio especificado na URL do LDAPS. (Observe que o certificado usado aqui não é um certificado de CA raiz.) Para exportar o certificado de Active Directory, consulte a documentação da Microsoft.

Active Directory Configurações de origem de identidade

Se você selecionar o tipo de origem de identidade Active Directory (Autenticação Windows Integrada), poderá usar a conta da máquina local como seu SPN (Nome da Entidade de Serviço) ou especificar um SPN explicitamente. Você poderá usar essa opção somente se o servidor vCenter Single Sign-On tiver ingressado em um domínio Active Directory.

Pré-requisitos para usar uma origem de identidade Active Directory (autenticação Windows integrada)

Você poderá configurar o vCenter Single Sign-On para usar uma fonte de identidade Active Directory (Autenticação Windows Integrada) somente se essa fonte de identidade estiver disponível. Siga as instruções na documentação do vCenter Server Configuração.

Observação: Active Directory (Autenticação Windows Integrada) sempre usa a raiz da floresta de domínio Active Directory. Para configurar sua fonte de identidade de Autenticação Windows Integrada com um domínio filho dentro de sua floresta Active Directory, consulte o artigo da base de conhecimento VMware em http://kb.vmware.com/kb/2070433.

Selecione Usar conta de máquina (Use machine account) para acelerar a configuração. Se você pretende renomear a máquina local em que o vCenter Single Sign-On é executado, é preferível especificar um SPN explicitamente.

Se você tiver ativado o log de eventos de diagnóstico no seu Active Directory para identificar onde a proteção pode ser necessária, poderá ver um evento de log com a ID de evento 2889 nesse servidor de diretório. A ID de evento 2889 é gerada como uma anomalia em vez de um risco de segurança ao usar a Autenticação Windows Integrada. Para obter mais informações sobre a ID de evento 2889, consulte o artigo da base de conhecimento VMware em https://kb.vmware.com/s/article/78644.

Tabela 2. Adicionar configurações de origem de identidade
Caixa de texto Descrição
Nome de domínio (Domain name) FQDN do nome de domínio, por exemplo, meudomínio.com. Não forneça um endereço IP. Esse nome de domínio deve ser solucionável por DNS pelo sistema vCenter Server.
Usar conta de máquina (Use machine account ) Selecione essa opção para usar a conta da máquina local como o SPN. Ao selecionar essa opção, você especifica apenas o nome de domínio. Não selecione essa opção se você pretende renomear esta máquina.
Usar o nome principal do serviço (SPN) Selecione essa opção se quiser renomear a máquina local. Você deve especificar um SPN, um usuário que pode se autenticar com a fonte de identidade e uma senha para o usuário.
Nome da Entidade de Serviço (SPN) SPN que ajuda o Kerberos a identificar o serviço Active Directory. Inclua o domínio no nome, por exemplo, STS/example.com.

O SPN deve ser exclusivo no domínio. A execução do comando setspn -S verifica se nenhuma duplicata foi criada. Consulte a documentação da Microsoft para obter informações sobre setspn.

Nome principal do usuário (UPN)

Senha (Password )

Nome e senha de um usuário que pode se autenticar com essa fonte de identidade. Use o formato de endereço de e-mail, por exemplo, [email protected]. Você pode verificar o Nome Principal do Usuário com o Active Directory Editor de Interfaces de Serviço (Editar ADSI).

Adicionar ou remover uma origem de identidade usando a CLI

Você pode usar o utilitário sso-config para adicionar ou remover uma origem de identidade.

Uma origem de identidade pode ser um domínio nativo do Active Directory (Autenticação Windows Integrada), AD sobre LDAP, AD sobre LDAP usando LDAPS (LDAP sobre SSL) ou OpenLDAP. Consulte Origens de identidade para vCenter Server com vCenter Single Sign-On. Você também pode usar o utilitário sso-config para configurar a autenticação do cartão inteligente e do RSA SecurID.

Pré-requisitos

Se você estiver adicionando uma origem de identidade Active Directory, o vCenter Server deverá estar no domínio Active Directory. Consulte Adicionar um vCenter Server a um domínio Active Directory.

Ative o logon do SSH. Consulte Gerenciar o vCenter Server usando o Shell do vCenter Server.

Procedimento

  1. Use o SSH ou outra conexão de console remoto para iniciar uma sessão no sistema vCenter Server.
  2. Faça login como root.
  3. Altere para o diretório em que o utilitário sso-config está localizado.
    cd /opt/vmware/bin
  4. Consulte a ajuda do sso-config executando sso-config.sh -help ou consulte o artigo da base de conhecimento VMware em https://kb.vmware.com/s/article/67304 para obter exemplos de uso.