基于 LDAP 的 Active Directory 标识源优先于 Active Directory(集成 Windows 身份验证)选项。OpenLDAP Server 标识源适用于使用 OpenLDAP 的环境。

配置 OpenLDAP 标识源时,请参见 VMware 知识库文章(网址为 http://kb.vmware.com/kb/2064977),以了解其他要求。

注: 未来对 Microsoft Windows 进行的更新将更改 Active Directory 的默认行为,以要求强身份验证和加密。此更改将影响 vCenter Server 对 Active Directory 进行身份验证的方式。如果使用 Active Directory 作为 vCenter Server 的标识源,则必须计划启用 LDAPS。有关此 Microsoft 安全更新的详细信息,请参见 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html
表 1. LDAP Server Active Directory 和 OpenLDAP 设置
选项 描述
名称 标识源的名称。
用户的基本 DN 用户的基本识别名。输入要从中开始用户搜索的 DN。例如,cn=Users,dc=myCorp,dc=com。
组的基本 DN 组的基本标识名。输入从中开始组搜索的 DN。例如,cn=Groups,dc=myCorp,dc=com。
域名 域的 FQDN。
域别名 对于 Active Directory 标识源,该别名为域的 NetBIOS 名称。如果要使用 SSPI 身份验证,则将 Active Directory 域的 NetBIOS 名称添加为标识源的别名。

对于 OpenLDAP 标识源,如果不指定别名,则会添加大写字母域名。

用户名 域中用户的 ID,该用户对用户和组的基本 DN 只具有最小只读权限。ID 可以采用以下任何格式:

用户名必须为完全限定的名称。“user”条目不起作用。

密码 用户名指定的用户的密码。
连接到 要连接到的域控制器。可以是域中的任何域控制器或特定控制器。
主服务器 URL 域的主域控制器 LDAP 服务器。

请使用 ldap://hostname_or_IPaddress:portldaps://hostname_or_IPaddress:port 格式。该端口通常为 389 用于 LDAP 连接,而 636 用于 LDAPS 连接。对于 Active Directory 多域控制器部署,该端口通常为 3268 用于 LDAP,而 3269 用于 LDAPS。

在主 LDAP URL 或辅助 LDAP URL 中使用 ldaps:// 时,需要一个证书为 Active Directory 服务器的 LDAPS 端点建立信任。

辅助服务器 URL 用于故障切换的辅助域控制器 LDAP 服务器的地址。
SSL 证书 如果要将 LDAPS 与 Active Directory LDAP 服务器或 OpenLDAP 服务器标识源配合使用,请单击浏览选择证书。要从 Active Directory 中导出根 CA 证书,请参阅 Microsoft 文档。