仅当用户所在域已添加为 vCenter Single Sign-On 标识源时,用户才能登录到 vCenter ServervCenter Single Sign-On 管理员用户可以从 vSphere Web ClientPlatform Services Controller 界面添加标识源。

开始之前

如果您要添加 Active Directory 标识源,则 vCenter Server Appliance 或运行 vCenter Server 的 Windows 计算机必须位于 Active Directory 域中。请参见将 Platform Services Controller 设备添加到 Active Directory 域

关于此任务

标识源可以是本机 Active Directory(集成 Windows 身份验证)域,也可以是 OpenLDAP 目录服务。为实现向后兼容性,也可以选择 Active Directory 作为 LDAP 服务器。请参见vCenter Server 和 vCenter Single Sign-On 的标识源

一旦完成安装,以下默认标识源和用户立即可用:

localos

所有本地操作系统用户。如果您要升级,则已进行身份验证的 localos 用户可以继续进行身份验证。在使用嵌入式 Platform Services Controller 的环境中使用 localos 标识源没有意义。

vsphere.local

包含 vCenter Single Sign-On 内部用户。

过程

  1. 从 Web 浏览器连接到 vSphere Web ClientPlatform Services Controller

    选项

    描述

    vSphere Web Client

    https://vc_hostname_or_IP/vsphere-client

    Platform Services Controller

    https://psc_hostname_or_IP/psc

    在嵌入式部署中,Platform Services Controller 主机名或 IP 地址与 vCenter Server 主机名或 IP 地址相同。

  2. 为 administrator@vsphere.local 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。

    如果在安装时指定了不同的域,请以 administrator@mydomain 身份登录。

  3. 导航到 vCenter Single Sign-On 配置 UI。

    选项

    描述

    vSphere Web Client

    1. 主页菜单中,选择系统管理

    2. Single Sign-On 下,单击配置

    Platform Services Controller

    单击 Single Sign-On,然后单击配置

  4. 标识源选项卡上,单击添加标识源图标。
  5. 选择标识源类型,然后输入标识源设置。

    选项

    描述

    Active Directory (集成 Windows 身份验证)

    对于本机 Active Directory 实施,请使用此选项。如果要使用此选项,则运行 vCenter Single Sign-On 服务的计算机必须在 Active Directory 域中。

    请参见Active Directory 标识源设置

    Active Directory 作为 LDAP 服务器

    此选项可用于向后兼容性。这需要您指定域控制器和其他信息。请参见Active Directory LDAP Server 和 OpenLDAP Server 标识源设置

    OpenLDAP

    对于 OpenLDAP 标识源,请使用此选项。请参见Active Directory LDAP Server 和 OpenLDAP Server 标识源设置

    LocalOS

    使用此选项可添加本地操作系统以作为标识源。系统仅提示您输入本地操作系统的名称。如果选择此选项,则指定计算机上的所有用户都对 vCenter Single Sign-On 可见,即使这些用户不属于其他域也是如此。

    注:

    如果用户帐户已锁定或禁用,Active Directory 域中的身份验证以及组和用户搜索将失败。用户帐户必须具有用户和组 OU 的只读访问权限,并且必须能够读取用户和组属性。默认情况下,Active Directory 可提供此访问权限。使用特殊服务用户以增强安全性。

  6. 如果配置 Active Directory 作为 LDAP 服务器或 OpenLDAP 标识源,则单击测试连接以确保您可以连接到标识源。
  7. 单击确定

下一步做什么

添加标识源后,所有用户均可进行身份验证,但只有无权访问角色。具有 vCenter Server 修改权限特权的用户可向单个用户或一组用户分配特权,以便他们能够登录 vCenter Server 并查看和管理对象。请参见vSphere 安全性文档。