基于 LDAP 的 Active Directory 标识源优先于 Active Directory(集成 Windows 身份验证)选项。OpenLDAP Server 标识源适用于使用 OpenLDAP 的环境。
配置 OpenLDAP 标识源时,请参见 VMware 知识库文章(网址为 http://kb.vmware.com/kb/2064977),以了解其他要求。
注: 未来对 Microsoft Windows 进行的更新将更改 Active Directory 的默认行为,以要求强身份验证和加密。此更改将影响
vCenter Server 对 Active Directory 进行身份验证的方式。如果使用 Active Directory 作为 vCenter Server 的标识源,则必须计划启用 LDAPS。有关此 Microsoft 安全更新的详细信息,请参见
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023和
https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html。
| 选项 | 描述 |
|---|---|
| 名称 | 标识源的名称。 |
| 用户的基本 DN | 用户的基本识别名。输入要从中开始用户搜索的 DN。例如,cn=Users,dc=myCorp,dc=com。 |
| 组的基本 DN | 组的基本标识名。输入从中开始组搜索的 DN。例如,cn=Groups,dc=myCorp,dc=com。 |
| 域名 | 域的 FQDN。 |
| 域别名 | 对于 Active Directory 标识源,该别名为域的 NetBIOS 名称。如果要使用 SSPI 身份验证,则将 Active Directory 域的 NetBIOS 名称添加为标识源的别名。 对于 OpenLDAP 标识源,如果不指定别名,则会添加大写字母域名。 |
| 用户名 | 域中用户的 ID,该用户对用户和组的基本 DN 只具有最小只读权限。ID 可以采用以下任何格式:
用户名必须为完全限定的名称。“user”条目不起作用。 |
| 密码 | 由用户名指定的用户的密码。 |
| 连接到 | 要连接到的域控制器。可以是域中的任何域控制器或特定控制器。 |
| 主服务器 URL | 域的主域控制器 LDAP 服务器。 请使用 ldap://hostname_or_IPaddress:port 或 ldaps://hostname_or_IPaddress:port 格式。该端口通常为 389 用于 LDAP 连接,而 636 用于 LDAPS 连接。对于 Active Directory 多域控制器部署,该端口通常为 3268 用于 LDAP,而 3269 用于 LDAPS。 在主 LDAP URL 或辅助 LDAP URL 中使用 ldaps:// 时,需要一个证书为 Active Directory 服务器的 LDAPS 端点建立信任。 |
| 辅助服务器 URL | 用于故障切换的辅助域控制器 LDAP 服务器的地址。 |
| SSL 证书 | 如果要将 LDAPS 与 Active Directory LDAP 服务器或 OpenLDAP 服务器标识源配合使用,请单击浏览选择证书。要从 Active Directory 中导出根 CA 证书,请参阅 Microsoft 文档。 |
