可以使用标识源将一个或多个域附加到 vCenter Single Sign-On。域是用户和组的存储库,可以由 vCenter Single Sign-On 服务器用于用户身份验证。
注: 在 vSphere 7.0 Update 2 及更高版本中,可以在
vCenter Server 上启用 FIPS。请参见
《vSphere 安全性》文档。启用 FIPS 后,不支持基于 LDAP 的 AD 和 IWA。请在 FIPS 模式下使用外部身份提供程序联合。有关配置 vCenter Server 身份提供程序联合的详细信息,请参见
《vSphere 身份验证》文档。
管理员可以添加标识源、设置默认标识源,以及在 vsphere.local 标识源中创建用户和组。
用户和组数据存储在 Active Directory 中、OpenLDAP 中或者存储到本地安装了 vCenter Single Sign-On 的计算机操作系统。安装后,每个 vCenter Single Sign-On 实例都具有标识源 your_domain_name,例如 vsphere.local。此标识源是 vCenter Single Sign-On 的内部标识源。
注: 无论何时都只存在一个默认域。来自非默认域的用户在登录时必须添加域名才能成功进行身份验证。域名格式为:
DOMAIN\user
以下标识源可用。
- Active Directory over LDAP。vCenter Single Sign-On 支持多个 Active Directory over LDAP 标识源。
- Active Directory(集成 Windows 身份验证)版本 2003 及更高版本。vCenter Single Sign-On 允许将单个 Active Directory 域指定为一个标识源。该域可包含子域或作为林的根域。VMware 知识库文章 2064250 讨论了 vCenter Single Sign-On 支持的 Microsoft Active Directory 信任。
- OpenLDAP 版本 2.4 及更高版本。vCenter Single Sign-On 支持多个 OpenLDAP 标识源。
注: 未来对 Microsoft Windows 进行的更新将更改 Active Directory 的默认行为,以要求强身份验证和加密。此更改将影响
vCenter Server 对 Active Directory 进行身份验证的方式。如果使用 Active Directory 作为 vCenter Server 的标识源,则必须计划启用 LDAPS。有关此 Microsoft 安全更新的详细信息,请参见
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023和
https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html。
有关 vCenter Single Sign-On 的详细信息,请参见 《vSphere 身份验证》。