仅当用户所在域已添加为 vCenter Single Sign-On 标识源时,用户才能登录到 vCenter ServervCenter Single Sign-On 管理员用户可以添加标识源,或者更改已添加的标识源的设置。

标识源可以是基于 LDAP 的 Active Directory、本机 Active Directory(集成 Windows 身份验证)域,也可以是 OpenLDAP 目录服务。请参见vCenter Server 和 vCenter Single Sign-On 的标识源

在安装后,便能够立即使用 vsphere.local 域(或安装期间指定的域)与 vCenter Single Sign-On 内部用户。

注:

如果已更新或替换 Active Directory SSL 证书,则必须在 vCenter Server 中移除并重新添加标识源。

前提条件

如果要添加 Active Directory(集成 Windows 身份验证)标识源,则 vCenter Server 必须位于 Active Directory 域中。请参见将 vCenter Server 添加到 Active Directory 域

过程

  1. 使用 vSphere Client登录 vCenter Server
  2. [email protected] 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。
    如果在安装时指定了不同的域,请以 administrator@ mydomain 身份登录。
  3. 导航到配置 UI。
    1. 主页菜单中,选择系统管理
    2. 单点登录下,单击配置
  4. 身份提供程序选项卡下,单击标识源,然后单击添加
  5. 选择标识源,然后输入标识源设置。
    选项 描述
    Active Directory (集成 Windows 身份验证) 对于本机 Active Directory 实施,请使用此选项。如果要使用此选项,则运行 vCenter Single Sign-On 服务的计算机必须在 Active Directory 域中。

    请参见Active Directory 标识源设置
    基于 LDAP 的 Active Directory 此选项需要您指定域控制器和其他信息。请参见基于 LDAP 的 Active Directory 和 OpenLDAP 服务器标识源设置
    OpenLDAP 对于 OpenLDAP 标识源,请使用此选项。请参见基于 LDAP 的 Active Directory 和 OpenLDAP 服务器标识源设置
    注:

    如果用户帐户已锁定或停用,Active Directory 域中的身份验证以及组和用户搜索将失败。用户帐户必须具有用户和组 OU 的只读访问权限,并且必须能够读取用户和组属性。默认情况下,Active Directory 可提供此访问权限。使用特殊服务用户以增强安全性。

  6. 单击添加

下一步做什么

首先,每个用户都分配有“无权访问”角色。vCenter Server 管理员必须至少为用户分配“只读”角色,用户才能登录。请参见《《vSphere 安全性》》文档中有关使用角色分配特权的主题。

基于 LDAP 的 Active Directory 和 OpenLDAP 服务器标识源设置

基于 LDAP 的 Active Directory 标识源优先于 Active Directory(集成 Windows 身份验证)选项。OpenLDAP Server 标识源适用于使用 OpenLDAP 的环境。

配置 OpenLDAP 标识源时,请参见 VMware 知识库文章了解其他要求,网址为 https://kb.vmware.com/s/article/2064977

重要说明: 即使为每个域创建一个其他标识源,基于 LDAP 的 AD 标识源中的组也无法使用不同域中的用户。

LDAP 标识源中的组只能识别指定用户基本 DN 中存在的那些用户。这可能会导致在具有子域的大型 Active Directory 环境中出现意外问题。例如,请考虑以下场景:

  1. 具有两个子域(ChildA 和 ChildB)的 Active Directory 林。
  2. vCenter Server 配置有两个基于 LDAP 的 AD 标识源,一个用于子域 ChildA,一个用于子域 ChildB。
  3. ChildA 包含两个名为 UserA1 和 UserA2 的用户。
  4. ChildB 包含两个名为 UserB1 和 UserB2 的用户。

vCenter Server 管理员在 ChildA 中创建一个名为 TestGroup 的组,其中包含 UserA1、UserA2、UserB1 和 UserB2。vCenter Server 管理员授予 TestGroup 登录(或任何)特权。很遗憾,UserB1 和 UserB2 无法登录,因为它们与组位于不同的域中。

作为解决办法,请执行以下步骤:

  1. 在 ChildB 中创建另一个名为 SecondTestGroup 的组。
  2. 从 TestGroup 中移除 UserB1 和 UserB2。
  3. 将 UserB1 和 UserB2 添加到 SecondTestGroup 中。
  4. 在 vCenter Server 中,为 SecondTestGroup 分配授予 TestGroup 的相同特权。
注: Microsoft Windows 更改了 Active Directory 的默认行为,以要求强身份验证和加密。此更改会影响 vCenter Server 对 Active Directory 进行身份验证的方式。如果使用 Active Directory 作为 vCenter Server 的标识源,则必须启用 LDAPS。有关此 Microsoft 安全更新的详细信息,请参见 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html
表 1. 基于 LDAP 的 Active Directory 和 OpenLDAP 服务器设置
选项 描述
名称 标识源的名称。
用户的基本 DN 用户的基本识别名。输入要从中开始用户搜索的 DN。例如,cn=Users,dc=myCorp,dc=com。
组的基本 DN 组的基本标识名。输入从中开始组搜索的 DN。例如,cn=Groups,dc=myCorp,dc=com。
域名 域的 FQDN。
域别名 对于 Active Directory 标识源,该别名为域的 NetBIOS 名称。如果要使用 SSPI 身份验证,则将 Active Directory 域的 NetBIOS 名称添加为标识源的别名。

对于 OpenLDAP 标识源,如果不指定别名,则会添加大写字母域名。

用户名 域中用户的 ID,该用户对用户和组的基本 DN 只具有最小只读权限。ID 可以采用以下任何格式: 用户名必须为完全限定的名称。“user”条目不起作用。
密码 用户名指定的用户的密码。
连接到 要连接到的域控制器。可以是域中的任何域控制器或特定控制器。
主服务器 URL 域的主域控制器 LDAP 服务器。可以使用主机名或 IP 地址。

请使用 ldap://hostname_or_IPaddress:portldaps://hostname_or_IPaddress:port 格式。该端口通常为 389 用于 LDAP 连接,而 636 用于 LDAPS 连接。对于 Active Directory 多域控制器部署,该端口通常为 3268 用于 LDAP,而 3269 用于 LDAPS。

在主 LDAP URL 或辅助 LDAP URL 中使用 ldaps:// 时,需要一个证书才能为 Active Directory 服务器的 LDAPS 端点建立信任。

辅助服务器 URL 主域控制器不可用时使用的辅助域控制器 LDAP 服务器的地址。可以使用主机名或 IP 地址。对于每个 LDAP 操作,vCenter Server 在回退到辅助域控制器前,始终会先尝试主域控制器。当主域控制器不可用时,此行为可能会导致 Active Directory 登录需要一些时间,甚至失败。
注: 当主域控制器出现故障时,辅助域控制器可能不会自动接管。
证书 (适用于 LDAPS) 如果要将 LDAPS 与 Active Directory LDAP 服务器或 OpenLDAP 服务器标识源配合使用,请单击浏览,选择从 LDAPS URL 中指定的域控制器导出的证书。(请注意,此处使用的证书不是根 CA 证书。)要从 Active Directory 导出证书,请查阅 Microsoft 文档。

您可以浏览并选择多个证书。

提示: 浏览并选择多个证书时,这些证书必须位于同一目录中。

vCenter Server 仅信任由已注册的受信任证书颁发机构直接签名的证书。vCenter Server 不会跟踪已注册 CA 证书的路径,只会检查证书是否由已注册的受信任证书颁发机构签名。只要您的证书由公开信任的证书颁发机构签名或自签名,就无需执行进一步操作。但是,如果您创建自己的内部证书(即,使用私有证书颁发机构),则可能需要包括这些证书。例如,如果您的组织使用 Microsoft 企业根证书颁发机构生成 LDAPS 证书,则还必须选择企业根证书以将其添加到 vCenter Server 中。此外,如果在 LDAPS 证书和企业根证书之间使用中间证书颁发机构,则还必须选择这些中间证书以将其添加到 vCenter Server 中。

Active Directory 标识源设置

如果选择 Active Directory(集成 Windows 身份验证)标识源类型,则可以使用本地计算机帐户作为 SPN(服务主体名称)或明确指定一个 SPN。只有在 vCenter Single Sign-On 服务器加入 Active Directory 域时,才能使用此选项。

使用 Active Directory(集成 Windows 身份验证)标识源的必备条件

仅当 Active Directory(集成 Windows 身份验证)标识源可用时,才能将 vCenter Single Sign-On 设置为使用该标识源。请按照《vCenter Server 配置》文档中的说明执行操作。

注: Active Directory(集成 Windows 身份验证)始终使用 Active Directory 域林的根目录。要使用 Active Directory 林中的子域配置集成 Windows 身份验证标识源,请参见 VMware 知识库文章,网址为 https://kb.vmware.com/s/article/2070433

选择使用计算机帐户可加快配置速度。如果您希望重命名运行 vCenter Single Sign-On 的本地计算机,最好明确指定一个 SPN。

如果在 Active Directory 中启用诊断事件日志记录以确定可能需要强化的位置,则可能会在该目录服务器上看到事件 ID 为 2889 的日志事件。在使用集成 Windows 身份验证时,事件 ID 2889 作为异常(而不是安全风险)生成。有关事件 ID 2889 的详细信息,请参见 VMware 知识库文章,网址为 https://kb.vmware.com/s/article/78644

表 2. 添加标识源设置
文本框 描述
域名 域名的 FQDN,例如,mydomain.com。请勿提供 IP 地址。该域名必须可由 vCenter Server 系统进行 DNS 解析。
使用计算机帐户 选择此选项可将本地计算机帐户用作 SPN。选择此选项时,应仅指定域名。如果您希望重命名此计算机,请勿选择此选项。
使用服务主体名称 (SPN) 如果您希望重命名本地计算机,请选择此选项。必须指定 SPN、能够通过标识源进行身份验证的用户以及该用户的密码。
服务主体名称 (SPN) 有助于 Kerberos 识别 Active Directory 服务的 SPN。请在名称中包含域,例如 STS/example.com

SPN 在域中必须唯一。运行 setspn -S 命令可检查是否未创建重复项。有关 setspn 的信息,请参见 Microsoft 文档。

用户主体名称 (UPN)

密码

能够通过此标识源进行身份验证的用户的名称和密码。请使用电子邮件地址格式,例如 [email protected]。可以通过 Active Directory 服务界面编辑器 (ADSI Edit) 验证用户主体名称。

使用 CLI 添加或移除标识源

您可以使用 sso-config 实用程序添加或移除标识源。

标识源可以是本机 Active Directory(集成 Windows 身份验证)域、AD over LDAP、使用 LDAPS (LDAP over SSL) 的 AD over LDAP,也可以是 OpenLDAP。请参见vCenter Server 和 vCenter Single Sign-On 的标识源。还可以使用 sso-config 实用程序设置智能卡和 RSA SecurID 身份验证。

前提条件

如果要添加 Active Directory 标识源,则 vCenter Server 必须位于 Active Directory 域中。请参见将 vCenter Server 添加到 Active Directory 域

启用 SSH 登录。请参见使用 vCenter Server Shell 管理 vCenter Server

过程

  1. vCenter Server 系统上,使用 SSH 或其他远程控制台连接启动会话。
  2. 以 root 用户身份登录。
  3. 更改到 sso-config 实用程序所在的目录。 
    cd /opt/vmware/bin
  4. 要参考 sso-config帮助,请运行 sso-config.sh -help,或者参见 VMware 知识库文章(网址为 https://kb.vmware.com/s/article/67304),获得用法示例。