如果选择 Active Directory (集成 Windows 身份验证) 标识源类型,则可以使用本地计算机帐户作为 SPN(服务主体名称)或明确指定一个 SPN。只有在 vCenter Single Sign-On 服务器加入 Active Directory 域时,才能使用此选项。

使用 Active Directory 标识源的必备条件

仅当 Active Directory 标识源可用时,才能将 vCenter Single Sign-On 设置为使用该标识源。
  • 对于 Windows 安装,请将 Windows 计算机加入 Active Directory 域。
  • 对于 vCenter Server Appliance,请按照 《vCenter Server Appliance 配置》文档中的说明操作。
注: Active Directory(集成 Windows 身份验证)始终使用 Active Directory 域林的根目录。要使用 Active Directory 林中的子域配置集成 Windows 身份验证标识源,请参见 VMware 知识库文章,网址为 http://kb.vmware.com/kb/2070433.)。

选择使用计算机帐户可加快配置速度。如果您希望重命名运行 vCenter Single Sign-On 的本地计算机,最好明确指定一个 SPN。

注: 在 vSphere 5.5 中,即使指定 SPN, vCenter Single Sign-On 仍会使用计算机帐户。请参见 VMware 知识库文章,网址为 http://kb.vmware.com/kb/2087978

如果在 Active Directory 中启用诊断事件日志记录以确定可能需要强化的位置,则可能会在该目录服务器上看到事件 ID 为 2889 的日志事件。在使用集成 Windows 身份验证时,事件 ID 2889 作为异常(而不是安全风险)生成。有关事件 ID 2889 的详细信息,请参见 VMware 知识库文章,网址为 https://kb.vmware.com/s/article/78644

表 1. 添加标识源设置
文本框 描述
域名 域名的 FQDN,例如,mydomain.com。请勿提供 IP 地址。该域名必须可由 vCenter Server 系统进行 DNS 解析。如果您使用的是 vCenter Server Appliance,请使用有关配置网络设置的信息来更新 DNS 服务器设置。
使用计算机帐户 选择此选项可将本地计算机帐户用作 SPN。选择此选项时,应仅指定域名。如果您希望重命名此计算机,请勿选择此选项。
使用服务主体名称 (SPN) 如果您希望重命名本地计算机,请选择此选项。必须指定 SPN、能够通过标识源进行身份验证的用户以及该用户的密码。
服务主体名称 (SPN) 有助于 Kerberos 识别 Active Directory 服务的 SPN。请在名称中包含域,例如 STS/example.com

SPN 在域中必须唯一。运行 setspn -S 可检查是否未创建重复项。有关 setspn 的信息,请参见 Microsoft 文档。

用户主体名称 (UPN)

密码

能够通过此标识源进行身份验证的用户的名称和密码。请使用电子邮件地址格式,例如 [email protected]。可以通过 Active Directory 服务界面编辑器 (ADSI Edit) 验证用户主体名称。