当用户登录 vSphere 组件或 vCenter Server 解决方案用户访问另一个 vCenter Server 服务时,vCenter Single Sign-On 会执行身份验证。用户必须通过 vCenter Single Sign-On 进行身份验证,且应具有所需权限才能与 vSphere 对象进行交互。

vCenter Single Sign-On 会同时对解决方案用户和其他用户进行身份验证。

  • 解决方案用户表示 vSphere 环境中的一组服务。在安装期间,默认情况下,VMCA 会向每个解决方案用户分配一个证书。解决方案用户使用该证书对 vCenter Single Sign-On 进行身份验证。vCenter Single Sign-On 会向解决方案用户提供一个 SAML 令牌,然后,该解决方案用户可以与环境中的其他服务进行交互。
  • 其他用户登录到环境时(例如,从 vSphere Client 登录),vCenter Single Sign-On 会提示您输入用户名和密码。如果 vCenter Single Sign-On 在相应的标识源中找到具有这些凭据的用户,则会向该用户分配 SAML 令牌。现在,用户可以访问环境中的其他服务,而无需提示再次进行身份验证。

    用户可以查看哪些对象以及用户能够执行哪些操作通常由 vCenter Server 权限设置决定。vCenter Server 管理员可以从 vSphere Client 中的权限界面分配这些权限,而不是通过 vCenter Single Sign-On 进行分配。请参见《vSphere 安全性》文档。

vCenter Single Sign-OnvCenter Server 用户

用户可通过在登录页面上输入凭据向 vCenter Single Sign-On 进行身份验证。连接到 vCenter Server 后,通过身份验证的用户可以查看所有 vCenter Server 实例或向其角色提供权限的其他 vSphere 对象。无需进一步进行身份验证。

安装后,vCenter Single Sign-On 域的管理员(默认为 [email protected])对 vCenter Single Sign-OnvCenter Server 具有管理员访问权限。然后,该用户可以添加标识源、设置默认标识源,以及管理 vCenter Single Sign-On 域中的用户和组。

可以向 vCenter Single Sign-On 进行身份验证的所有用户都可以重置其密码。请参见更改 vCenter Single Sign-On 密码。只有 vCenter Single Sign-On 管理员可以为不再具有其密码的用户重置密码。

vCenter Single Sign-On 管理员用户

可从 vSphere Client 访问 vCenter Single Sign-On 管理界面。

要配置 vCenter Single Sign-On 并管理 vCenter Single Sign-On 用户和组,用户 [email protected]vCenter Single Sign-On 管理员组中的用户必须登录到 vSphere Client。根据身份验证,该用户可以通过 vSphere Client 访问 vCenter Single Sign-On 管理界面,并管理标识源和默认域、指定密码策略以及执行其他管理任务。
注: 如果在安装过程中指定了其他域,则不能重命名 vCenter Single Sign-On 管理员用户,它默认为 [email protected] 或 administrator@ mydomain。为提高安全性,请考虑在 vCenter Single Sign-On 域中创建其他命名的用户,并为其分配管理特权。然后,可以使用管理员帐户停止。

其他用户帐户

以下用户帐户将在 vsphere.local 域(或在安装时创建的默认域)中的 vCenter Server 内自动创建。这些用户帐户是 shell 帐户。vCenter Single Sign-On 密码策略不适用于这些帐户。

表 1. 其他 vSphere 用户帐户
帐户 描述
K/M 用于 Kerberos 密钥管理。
krbtgt/VSPHERE.LOCAL 用于集成 Windows 身份验证兼容性。
waiter-random_string 用于 Auto Deploy。

ESXi 用户

独立的 ESXi 主机未与 vCenter Single Sign-On 集成。请参见 《vSphere 安全性》,了解有关将 ESXi 主机添加到 Active Directory 的信息。

如果使用 VMware Host Client、ESXCLI 或 PowerCLI 为受管 ESXi 主机创建本地 ESXi 用户, vCenter Server 不会识别这些用户。因此,创建本地用户会造成混淆,尤其是如果使用相同的用户名。如果可以对 vCenter Single Sign-On 进行身份验证的用户对 ESXi 主机对象拥有对应的权限,他们则可以查看和管理 ESXi 主机。
注: 通过 vCenter Server 管理 ESXi 主机的权限(如果可能)。

如何登录到 vCenter Server 组件

可以通过连接到 vSphere Client 登录。

用户从 vSphere Client 登录到 vCenter Server 系统时,登录行为取决于用户是否位于设置为默认标识源的域中。

  • 默认域中的用户可使用其自身的用户名和密码进行登录。
  • 如果用户位于已添加到 vCenter Single Sign-On 作为标识源的域而并非默认域中,则可以登录到 vCenter Server,但必须按照以下方式之一指定域。
  • 如果用户位于不是 vCenter Single Sign-On 标识源的域中,则无法登录到 vCenter Server。如果添加到 vCenter Single Sign-On 的域是域层次结构的一部分,则 Active Directory 将确定层次结构中其他域的用户是否进行了身份验证。

如果环境中包括 Active Directory 层次结构,请参见 VMware 知识库文章 2064250 获取受支持和不支持的设置的详细信息。