可以使用标识源将一个或多个域附加到 vCenter Single Sign-On。域是用户和组的存储库,可以由 vCenter Single Sign-On 服务器用于用户身份验证。
注: 在 vSphere 7.0 Update 2 及更高版本中,可以在
vCenter Server 上启用 FIPS。请参见
《vSphere 安全性》文档。启用 FIPS 后,不支持基于 LDAP 的 AD。请在 FIPS 模式下使用外部身份提供程序联合。请参见
配置 vCenter Server 身份提供程序联合。
管理员可以添加标识源、设置默认标识源,以及在 vsphere.local 标识源中创建用户和组。
用户和组数据存储在 Active Directory 中、OpenLDAP 中或者存储到本地安装了 vCenter Single Sign-On 的计算机操作系统。安装后,每个 vCenter Single Sign-On 实例都具有标识源 your_domain_name,例如 vsphere.local。此标识源是 vCenter Single Sign-On 的内部标识源。
注: 无论何时都只存在一个默认域。来自非默认域的用户在登录时必须添加域名才能成功进行身份验证。域名格式为:
DOMAIN\user
以下标识源可用。
- 通过 LDAP 访问的 Active Directory。vCenter Single Sign-On 支持多个基于 LDAP 的 Active Directory 标识源。
- Active Directory(集成 Windows 身份验证)版本 2003 及更高版本。vCenter Single Sign-On 允许将单个 Active Directory 域指定为一个标识源。该域可包含子域或作为林的根域。位于 https://kb.vmware.com/s/article/2064250 的 VMware 知识库文章讨论了 vCenter Single Sign-On 支持的 Microsoft Active Directory 信任。
- OpenLDAP 2.4 版及更高版本。vCenter Single Sign-On 支持多个 OpenLDAP 标识源。
注: Microsoft Windows 更新更改了 Active Directory 的默认行为,以要求强身份验证和加密。此更改会影响
vCenter Server 对 Active Directory 进行身份验证的方式。如果使用 Active Directory 作为
vCenter Server 的标识源,则必须启用 LDAPS。有关详细信息,请参见
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023 和
https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html。