Você pode associar vCenter Server a um domínio Active Directory. Você pode anexar os usuários e grupos deste domínio Active Directory ao seu domínio vCenter Single Sign-On. Você pode sair do domínio Active Directory.

Importante: Não há suporte para a associação de vCenter Server a um domínio Active Directory com um controlador de domínio somente leitura (RODC). Você pode ingressar em vCenter Server somente em um domínio Active Directory com um controlador de domínio gravável.

Se você quiser configurar permissões para que usuários e grupos de um Active Directory possam acessar os componentes vCenter Server, você deve associar a instância vCenter Server ao domínio Active Directory.

Por exemplo, para permitir que um usuário Active Directory faça login na instância vCenter Server usando o vSphere Client, você deve associar a instância vCenter Server ao domínio Active Directory e atribuir a função Administrador a esse usuário.

Pré-requisitos

  • Verifique se o usuário que faz login na instância vCenter Server é membro do grupo SystemConfiguration.Administrators em vCenter Single Sign-On.

  • Verifique se o nome do sistema do dispositivo do é um FQDN. Se, durante a implantação do dispositivo, você definir um endereço IP como um nome do sistema, não poderá ingressar vCenter Server em um domínio Active Directory.

Procedimento

  1. Use o vSphere Client para fazer login como administrador@seu_dominio na instância do vCenter Server.
  2. No menu vSphere Client, selecione Administração (Administration).
  3. Selecione Single Sign On > Configuração (Configuration).
  4. Clique na guia Provedor de identidade (Identity Provider ) e selecione Active Directory Domínio como o tipo de fornecimento de identidade.
  5. Clique em JOIN AD.
  6. Na janela Ingressar no Domínio Active Directory, forneça os seguintes detalhes.
    Opção Descrição
    Domínio nome de domínio Active Directory, por exemplo, meudomínio.com. Não forneça um endereço IP nesta caixa de texto.
    Unidade organizacional (opcional) O FQDN LDAP completo da Unidade de Organização (OU), por exemplo, OU=Engineering,DC=mydomain,DC=com.
    Importante: Use essa caixa de texto somente se estiver familiarizado com o LDAP.
    Nome de usuário Nome de usuário no formato User Principal Name (UPN), por exemplo, [email protected].
    Importante: O formato de nome de logon de nível inferior, por exemplo, DOMAIN\UserName, não é compatível.
    Senha Senha do usuário.
    Observação: Reinicie o nó para aplicar as alterações.
  7. Clique em JOIN para associar o vCenter Server ao domínio Active Directory.
    A operação é bem-sucedida silenciosamente e você pode ver a opção Ingressar no AD ativada para Sair do AD.
  8. (Opcional) Para sair do domínio Active Directory, clique em LEAVE AD.
  9. Reinicie o vCenter Server para aplicar as alterações.
    Importante: Se você não reiniciar o vCenter Server, poderá encontrar problemas ao usar o vSphere Client.
  10. Selecione a guia Origens de identidade (Identity Sources) e clique em ADICIONAR (ADD).
    1. Na janela Adicionar Origem de Identidade, selecione Active Directory (Autenticação Windows Integrada) como o Tipo de Origem de Identidade.
    2. Insira as configurações de origem de identidade do domínio Active Directory ingressado e clique em ADICIONAR (ADD).
      Tabela 1. Adicionar configurações de origem de identidade
      Caixa de texto Descrição
      Nome de domínio FDQN do domínio. Não forneça um endereço IP nesta caixa de texto.
      Usar conta de máquina Selecione essa opção para usar a conta da máquina local como o SPN. Ao selecionar essa opção, você especifica apenas o nome de domínio. Não selecione essa opção se você pretende renomear esta máquina.
      Usar o nome da entidade de serviço (SPN) Selecione essa opção se quiser renomear a máquina local. Você deve especificar um SPN, um usuário que pode se autenticar com a fonte de identidade e uma senha para o usuário.
      Nome da entidade de serviço SPN que ajuda o Kerberos a identificar o serviço Active Directory. Inclua o domínio no nome, por exemplo, STS/example.com.

      Talvez seja necessário executar setspn -S para adicionar o usuário que você deseja usar. Consulte a documentação da Microsoft para obter informações sobre setspn.

      O SPN deve ser exclusivo no domínio. A execução de setspn -S verifica se nenhuma duplicata foi criada.

      Nome de usuário Nome de um usuário que pode se autenticar com essa fonte de identidade. Use o formato de endereço de e-mail, por exemplo, jchin@meudomínio.com. Você pode verificar o Nome Principal do Usuário com o Active Directory Editor de Interfaces de Serviço (Editar ADSI).
      Senha Senha para o usuário que é usado para autenticar com essa fonte de identidade, que é o usuário especificado em Nome Principal do Usuário. Inclua o nome de domínio, por exemplo, [email protected].

Resultados

Na guia Origens de Identidade (Identity Sources), você pode ver o domínio Active Directory ingressado.

O que Fazer Depois

Você pode configurar permissões para que usuários e grupos do domínio Active Directory associado possam acessar os componentes vCenter Server. Para obter informações sobre como gerenciar permissões, consulte a documentação vSphere Segurança.