仅当用户所在域已添加为 vCenter Single Sign-On 标识源时,用户才能登录到 vCenter ServervCenter Single Sign-On管理员用户可以添加标识源,或者更改已添加的标识源的设置。

标识源可以是本机 Active Directory(集成 Windows 身份验证)域,也可以是 OpenLDAP 目录服务。为实现向后兼容性,也可以选择 Active Directory 作为 LDAP 服务器。请参见vCenter Server 和 vCenter Single Sign-On 的标识源

一旦完成安装,以下默认标识源和用户立即可用:
localos
所有本地操作系统用户。如果您要升级,则已进行身份验证的 localos 用户可以继续进行身份验证。在使用嵌入式 Platform Services Controller 的环境中使用 localos 标识源没有意义。
vsphere.local
包含 vCenter Single Sign-On 内部用户。

前提条件

如果您要添加 Active Directory 标识源,则 vCenter Server AppliancevCenter Server 的 Windows 计算机必须位于 Active Directory 域中。请参见将 Platform Services Controller 设备添加到 Active Directory 域

过程

  1. 使用 vSphere Client登录到已连接到 Platform Services ControllervCenter Server
  2. 为 administrator@vsphere.local 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。
    如果在安装时指定了不同的域,请以 administrator@ mydomain 身份登录。
  3. 导航到配置 UI。
    1. 主页菜单中,选择系统管理
    2. 单点登录下,单击配置
  4. 单击标识源,然后单击添加标识源
  5. 选择标识源,然后输入标识源设置。
    选项 描述
    Active Directory (集成 Windows 身份验证) 对于本机 Active Directory 实施,请使用此选项。如果要使用此选项,则运行 vCenter Single Sign-On 服务的计算机必须在 Active Directory 域中。

    请参见Active Directory 标识源设置

    基于 LDAP 的 Active Directory 此选项可用于向后兼容性。这需要您指定域控制器和其他信息。请参见Active Directory LDAP Server 和 OpenLDAP Server 标识源设置
    OpenLDAP 对于 OpenLDAP 标识源,请使用此选项。请参见Active Directory LDAP Server 和 OpenLDAP Server 标识源设置
    SSO 服务器的本地操作系统 对于 SSO 服务器的本地操作系统,请使用此选项。
    注:

    如果用户帐户已锁定或禁用,Active Directory 域中的身份验证以及组和用户搜索将失败。用户帐户必须具有用户和组 OU 的只读访问权限,并且必须能够读取用户和组属性。默认情况下,Active Directory 可提供此访问权限。使用特殊服务用户以增强安全性。

  6. 单击添加

下一步做什么

添加标识源后,所有用户均可进行身份验证,但只有无权访问角色。具有 vCenter ServerModify.permissions 特权的用户可向用户或用户组分配特权。特权使用户或组能够登录到 vCenter Server 以及查看和管理对象。您可以配置权限,以便已加入的 Active Directory 域中的用户和组可以访问 vCenter Server 组件。请参见《vSphere 安全性》文档。