如果选择 Active Directory(集成 Windows 身份验证)标识源类型,则可以使用本地计算机帐户作为 SPN(服务主体名称)或明确指定一个 SPN。只有在 vCenter Single Sign-On 服务器加入 Active Directory 域时,才能使用此选项。

使用 Active Directory(集成 Windows 身份验证)标识源的必备条件

仅当 Active Directory(集成 Windows 身份验证)标识源可用时,才能将 vCenter Single Sign-On 设置为使用该标识源。请按照《vCenter Server 配置》文档中的说明执行操作。

注: Active Directory(集成 Windows 身份验证)始终使用 Active Directory 域林的根目录。要使用 Active Directory 林中的子域配置集成 Windows 身份验证标识源,请参见 VMware 知识库文章,网址为 http://kb.vmware.com/kb/2070433.)。

选择使用计算机帐户可加快配置速度。如果您希望重命名运行 vCenter Single Sign-On 的本地计算机,最好明确指定一个 SPN。

如果在 Active Directory 中启用诊断事件日志记录以确定可能需要强化的位置,则可能会在该目录服务器上看到事件 ID 为 2889 的日志事件。在使用集成 Windows 身份验证时,事件 ID 2889 作为异常(而不是安全风险)生成。有关事件 ID 2889 的详细信息,请参见 VMware 知识库文章,网址为 https://kb.vmware.com/s/article/78644

表 1. 添加标识源设置
文本框 描述
域名 域名的 FQDN,例如,mydomain.com。请勿提供 IP 地址。该域名必须可由 vCenter Server 系统进行 DNS 解析。
使用计算机帐户 选择此选项可将本地计算机帐户用作 SPN。选择此选项时,应仅指定域名。如果您希望重命名此计算机,请勿选择此选项。
使用服务主体名称 (SPN) 如果您希望重命名本地计算机,请选择此选项。必须指定 SPN、能够通过标识源进行身份验证的用户以及该用户的密码。
服务主体名称 (SPN) 有助于 Kerberos 识别 Active Directory 服务的 SPN。请在名称中包含域,例如 STS/example.com

SPN 在域中必须唯一。运行 setspn -S 命令可检查是否未创建重复项。有关 setspn 的信息,请参见 Microsoft 文档。

用户主体名称 (UPN)

密码

能够通过此标识源进行身份验证的用户的名称和密码。请使用电子邮件地址格式,例如 [email protected]。可以通过 Active Directory 服务界面编辑器 (ADSI Edit) 验证用户主体名称。