仅当用户位于已添加为 vCenter Single Sign-On 标识源的域中时,才可以登录 vCenter Server。vCenter Single Sign-On 管理员用户可从 vSphere Web Client 中添加标识源。

关于此任务

标识源可以是本机 Active Directory(已集成 Windows 身份验证)域,也可以是 OpenLDAP 目录服务。为实现向后兼容性,Active Directory 也可用作 LDAP 服务器。

一旦完成安装,以下默认标识源和用户立即可用:

localos

所有本地操作系统用户。这些用户可以获得 vCenter Server 的权限。如果要进行升级,已获得权限的这些用户将保留其权限。

vsphere.local

包含 vCenter Single Sign-On 内部用户。

过程

  1. 以 administrator@vsphere.local 或拥有 vCenter Single Sign-On 管理员特权的其他用户的身份登录到 vSphere Web Client

    拥有 vCenter Single Sign-On 管理员特权的用户位于 CAAdmins 组中。

  2. 浏览到管理 > Single Sign-On > 配置
  3. 标识源选项卡上,单击添加标识源图标。
  4. 选择标识源的类型,然后输入标识源设置。

    选项

    描述

    Active Directory (已集成 Windows 身份验证)

    对于本机 Active Directory 实施,请使用此选项。如果要使用该选项,运行 vCenter Single Sign-On 服务的计算机必须在 Active Directory 域中。

    请参见Active Directory 标识源设置

    Active Directory 作为 LDAP 服务器

    此选项可用于向后兼容性。这需要您指定域控制器和其他信息。请参见Active Directory LDAP Server 和 OpenLDAP Server 标识源设置

    OpenLDAP

    对于 OpenLDAP 标识源,请使用此选项。请参见Active Directory LDAP Server 和 OpenLDAP Server 标识源设置

    LocalOS

    使用此选项可添加本地操作系统以作为标识源。系统仅提示您输入本地操作系统的名称。如果选择此选项,则指定计算机上的所有用户都对 vCenter Single Sign-On 可见,即使这些用户不属于其他域也是如此。

    注:

    如果用户帐户已锁定或禁用,Active Directory 域中的身份验证以及组和用户搜索将失败。用户帐户必须具有用户和组 OU 的只读访问权限,并且必须能够读取用户和组属性。这是用户权限的默认 Active Directory 域配置。VMware 建议使用特殊服务用户。

  5. 如果将 Active Directory 配置为 LDAP 服务器或 OpenLDAP 标识源,则单击测试连接以确保您可以连接到标识源。
  6. 单击确定

下一步做什么

添加标识源时,所有用户均可进行身份验证,但只有无权访问权限。具有 vCenter Server Modify.permissions 特权的用户可向用户或一组用户分配权限,以便他们能够登录 vCenter Server。请参见在 vSphere Web Client 中分配权限