可以使用标识源将一个或多个域附加到 vCenter Single Sign-On。域是用户和组的存储库,可以由 vCenter Single Sign-On 服务器用于用户身份验证。
标识源是用户和组数据的集合。用户和组数据存储在 Active Directory 中、OpenLDAP 中或者存储到本地安装了 vCenter Single Sign-On 的计算机操作系统。
安装后,vCenter Single Sign-On 的每个实例都有标识源 your_domain_name,例如,vsphere.local。此标识源在 vCenter Single Sign-On 内部。vCenter Single Sign-On 管理员可以添加标识源、设置默认标识源,以及在 vsphere.local 标识源中创建用户和组。
标识源的类型
vCenter Server 5.1 版之前的版本支持将 Active Directory 和本地操作系统用户作为用户存储库。因此,本地操作系统用户始终能够对 vCenter Server 系统进行身份验证。vCenter Server 版本 5.1 和 5.5 使用 vCenter Single Sign-On 进行身份验证。有关 vCenter Single Sign-On 5.1 支持的标识源的列表,请参见 vSphere 5.1 文档。vCenter Single Sign-On 5.5 支持将以下类型的用户存储库用作标识源,但仅支持一个默认标识源。
- Active Directory 2003 版及更高版本。在 vSphere Web Client 中显示为 Active Directory (集成 Windows 身份验证)。vCenter Single Sign-On 允许您将单个 Active Directory 域指定为标识源。该域可包含子域或作为林的 root 域。VMware 知识库文章 2064250 讨论了 vCenter Single Sign-On 支持的 Microsoft Active Directory 信任。
- Active Directory over LDAP。vCenter Single Sign-On 支持多个 Active Directory over LDAP 标识源。包括此标识源类型是为了与 vSphere 5.1 附带的 vCenter Single Sign-On 服务兼容。在 vSphere Web Client 中显示为 Active Directory 作为 LDAP 服务器。
- OpenLDAP 版本 2.4 及更高版本。vCenter Single Sign-On 支持多个 OpenLDAP 标识源。在 vSphere Web Client 中显示为 OpenLDAP。
- 本地操作系统用户。本地操作系统用户是运行 vCenter Single Sign-On 服务器的操作系统的本地用户。本地操作系统标识源仅在基本 vCenter Single Sign-On 服务器部署中存在,并在具有多个 vCenter Single Sign-On 实例的部署中不可用。仅允许一个本地操作系统标识源。在 vSphere Web Client 中显示为 localos。
注: 如果 Platform Services Controller 与 vCenter Server 系统位于不同的计算机上,请勿使用本地操作系统用户。在嵌入式部署中也许可以使用本地操作系统用户,但并不建议这样做。
- vCenter Single Sign-On 系统用户。每次安装 vCenter Single Sign-On 时都会创建一个系统标识源。
vCenter Single Sign-On 标识源由 vCenter Single Sign-On 管理员用户管理。
可以将多个标识源添加到一个 vCenter Single Sign-On 服务器实例中。远程标识源仅限用于 Active Directory 和 OpenLDAP 服务器实施。