仅当用户位于已添加为 vCenter Server 标识源的域中时,才可以登录 vCenter Single Sign-On。vCenter Single Sign-On 管理员用户可从 vSphere Web Client 中添加标识源。

关于此任务

标识源可以是本机 Active Directory(集成 Windows 身份验证)域,也可以是 OpenLDAP 目录服务。为实现向后兼容性,Active Directory 也可用作 LDAP 服务器。

一旦完成安装,以下默认标识源和用户立即可用:

localos

所有本地操作系统用户。这些用户可以获得 vCenter Server 的权限。如果要进行升级,已获得权限的这些用户将保留其权限。

vsphere.local

包含 vCenter Single Sign-On 内部用户。

过程

  1. 以 administrator@vsphere.local 或拥有 vCenter Single Sign-On 管理员特权的其他用户的身份登录到 vSphere Web Client。
  2. 浏览到管理 > Single Sign-On > 配置
  3. 标识源选项卡上,单击添加标识源图标。
  4. 选择标识源的类型,然后输入标识源设置。

    选项

    描述

    Active Directory (已集成 Windows 身份验证)

    标识源为 Microsoft Active Directory 服务器。Active Directory 2003 版及更高版本受支持。按照 Microsoft 网站上的说明设置 Active Directory 域,包括 Kerberos。

    Active Directory 作为 LDAP 服务器

    vSphere 5.1 中包含的 vCenter Single Sign-On 服务的向后兼容性支持此选项。改用本机 Active Directory 标识源。

    OpenLDAP

    标识源为 OpenLDAP 服务器。OpenLDAP 2.4 版及更高版本受支持。

    本地操作系统

    安装 vCenter Single Sign-On 服务的操作系统(例如 Windows)的本地用户。仅支持一个本地操作系统标识源。

    注:

    如果用户帐户已锁定或禁用,Active Directory 域中的身份验证以及组和用户搜索将失败。用户帐户必须具有用户和组 OU 的只读访问权限,并且必须能够读取用户和组属性。这是用户权限的默认 Active Directory 域配置。VMware 建议使用特殊服务用户。

  5. 如果配置 Active Directory 作为 LDAP 服务器或 OpenLDAP 标识源,则单击测试连接以确保您可以连接到标识源。
  6. 单击确定

下一步做什么

添加标识源时,所有用户均可进行身份验证,但只有无权访问权限。具有 vCenter Server Modify.permissions 特权的用户可向用户或一组用户分配权限,以便他们能够登录 vCenter Server。请参见在 vSphere Web Client 中分配权限