如果选择 Active Directory(集成 Windows 身份验证)标识源类型,则可以使用本地计算机帐户作为 SPN(服务主体名称)或明确指定一个 SPN。只有在 vCenter Single Sign-On 服务器加入 Active Directory 域时,才能使用此选项。
使用 Active Directory(集成 Windows 身份验证)标识源的必备条件
仅当 Active Directory(集成 Windows 身份验证)标识源可用时,才能将 vCenter Single Sign-On 设置为使用该标识源。请按照《vCenter Server 配置》文档中的说明执行操作。
注: Active Directory(集成 Windows 身份验证)始终使用 Active Directory 域林的根目录。要使用 Active Directory 林中的子域配置集成 Windows 身份验证标识源,请参见 VMware 知识库文章,网址为
http://kb.vmware.com/kb/2070433.)。
选择使用计算机帐户可加快配置速度。如果您希望重命名运行 vCenter Single Sign-On 的本地计算机,最好明确指定一个 SPN。
如果在 Active Directory 中启用诊断事件日志记录以确定可能需要强化的位置,则可能会在该目录服务器上看到事件 ID 为 2889 的日志事件。在使用集成 Windows 身份验证时,事件 ID 2889 作为异常(而不是安全风险)生成。有关事件 ID 2889 的详细信息,请参见 VMware 知识库文章,网址为 https://kb.vmware.com/s/article/78644。
| 文本框 | 描述 |
|---|---|
| 域名 | 域名的 FQDN,例如,mydomain.com。请勿提供 IP 地址。该域名必须可由 vCenter Server 系统进行 DNS 解析。 |
| 使用计算机帐户 | 选择此选项可将本地计算机帐户用作 SPN。选择此选项时,应仅指定域名。如果您希望重命名此计算机,请勿选择此选项。 |
| 使用服务主体名称 (SPN) | 如果您希望重命名本地计算机,请选择此选项。必须指定 SPN、能够通过标识源进行身份验证的用户以及该用户的密码。 |
| 服务主体名称 (SPN) | 有助于 Kerberos 识别 Active Directory 服务的 SPN。请在名称中包含域,例如 STS/example.com。 SPN 在域中必须唯一。运行 setspn -S 命令可检查是否未创建重复项。有关 setspn 的信息,请参见 Microsoft 文档。 |
| 用户主体名称 (UPN) 密码 |
能够通过此标识源进行身份验证的用户的名称和密码。请使用电子邮件地址格式,例如 [email protected]。可以通过 Active Directory 服务界面编辑器 (ADSI Edit) 验证用户主体名称。 |
