您可以将 Platform Services Controller 设备或具有嵌入式 Platform Services ControllervCenter Server Appliance 加入到 Active Directory 域,然后将该 Active Directory 域中的用户和组附加到 vCenter Single Sign-On 域中。

开始之前

验证用于登录到 vCenter Server AppliancevCenter Server 实例的用户名是 vCenter Single Sign-On 中 SystemConfiguration.Administrators 组的成员。

关于此任务

重要:

不支持将 Platform Services Controller 设备或具有嵌入式 Platform Services ControllervCenter Server Appliance 加入到具有只读域控制器 (RODC) 的 Active Directory 域。只能将 Platform Services Controller 或具有嵌入式 Platform Services ControllervCenter Server Appliance 加入到具有可写入域控制器的 Active Directory 域。

如果要为来自 Active Directory 域的用户和组配置 vCenter Server 组件的访问权限,必须将其关联的嵌入式或外部 Platform Services Controller 实例加入到 Active Directory 域。

例如,要允许 Active Directory 用户使用具有 Windows 会话身份验证 (SSPI) 的vSphere Web Client 登录到具有嵌入式 Platform Services ControllervCenter Server Appliance 中的 vCenter Server 实例,则必须将 vCenter Server Appliance 加入到 Active Directory 域,然后为该用户分配管理员角色。要允许 Active Directory 用户使用具有 SSPI 的 vSphere Web Client 登录到使用外部 Platform Services Controller 设备的 vCenter Server 实例,则必须将 Platform Services Controller 设备加入到 Active Directory 域,然后为该用户分配管理员角色。

注:

如果希望 Active Directory 用户能够使用具有 SSPI 的 vSphere Client 登录 vCenter Server 实例,则必须将 vCenter Server 实例加入到 Active Directory 域。有关将具有外部 Platform Services Controller 部署的 vCenter Server Appliance 加入到 Active Directory 域的信息,请参见 VMware 知识库文章,网址为 http://kb.vmware.com/kb/2118543

过程

  1. 使用 vSphere Web Client 以 administrator@your_domain_name 身份登录到 vCenter Server Appliance 中的 vCenter Server 实例。

    地址类型为 http://appliance-IP-address-or-FQDN/vsphere-client。

  2. 在“部署”下,单击系统配置
  3. 在“系统配置”下,单击节点
  4. 在“节点”下选择一个节点,然后单击管理选项卡。
  5. 在“高级”下,选择 Active Directory,然后单击加入
  6. 输入 Active Directory 详细信息。

    选项

    描述

    Active Directory 域名,例如 mydomain.com。请勿在此字段中提供 IP 地址。

    组织单位

    可选。完整的 OU LDAP FQDN,例如,OU=Engineering,DC=mydomain,DC=com。

    重要:

    仅当您熟悉 LDAP 时才使用此字段。

    用户名

    用户主体名称 (UPN) 格式的用户名,例如 jchin@mydomain.com。

    重要:

    不支持向下登录名格式,例如 DOMAIN\UserName。

    密码

    用户的密码。

  7. 单击确定vCenter Server Appliance 加入到 Active Directory 域。

    操作将静默成功,您可以看到“加入”按钮变为“离开”。

  8. 右键单击已编辑的节点,然后选择重新引导重新启动设备以应用更改。
    重要:

    如果不重新启动设备,在使用 vSphere Web Client 时可能会遇到问题。

  9. 导航到系统管理 > Single Sign-On > 配置
  10. 标识源选项卡上,单击添加标识源图标。
  11. 选择 Active Directory (集成 Windows 身份验证),输入已加入的 Active Directory 域的标识源设置,然后单击确定
    表 1. 添加标识源设置

    字段

    描述

    域名

    域的 FDQN。请勿在此字段中提供 IP 地址。

    使用计算机帐户

    选择此选项可将本地计算机帐户用作 SPN。选择此选项时,应仅指定域名。如果您希望重命名此计算机,请勿选择此选项。

    使用服务主体名称 (SPN)

    如果您希望重命名本地计算机,请选择此选项。必须指定 SPN、能够通过标识源进行身份验证的用户以及该用户的密码。

    服务主体名称 (SPN)

    有助于 Kerberos 识别 Active Directory 服务的 SPN。请在名称中包含域,例如 STS/example.com。

    您可能需要运行 setspn -S 以添加要使用的用户。有关 setspn 的信息,请参见 Microsoft 文档。

    SPN 在域中必须唯一。运行 setspn -S 可检查是否未创建重复项。

    用户主体名称 (UPN)

    能够通过此标识源进行身份验证的用户的名称。请使用电子邮件地址格式,例如 jchin@mydomain.com。可以通过 Active Directory 服务界面编辑器 (ADSI Edit) 验证用户主体名称。

    密码

    用于通过此标识源进行身份验证的用户的密码,该用户是在用户主体名称中指定的用户。请包括域名,例如 jdoe@example.com。

结果

标识源选项卡上,您可以看到已加入的 Active Directory 域。

下一步做什么

您可以为已加入的 Active Directory 域中的用户和组配置访问 vCenter Server 组件的权限。有关管理权限的信息,请参见 vSphere 安全性 文档。