可以将 ESXi 配置为使用像 Active Directory 这样的目录服务来管理用户。

如果要在每台主机上都创建本地用户帐户,则涉及到必须在多个主机间同步帐户名和密码的问题。若将 ESXi 主机加入到 Active Directory 域中,则无需再创建和维护本地用户帐户。使用 Active Directory 进行用户身份验证可以简化 ESXi 主机配置,并能降低可导致出现未授权访问的配置问题的风险。

当使用活动目录时,将主机添加到域时用户会提供活动目录凭据以及活动目录服务器的域名。

配置 ESXi 主机以使用 Active Directory

可以对 ESXi 主机进行配置,以便使用目录服务(如 Active Directory)来管理用户和组。

向 Active Directory 中添加 ESXi 主机时,如果存在 DOMAIN 组 ESX Admins,则会向其分配对该主机的完全管理访问权限。如果不希望分配完全管理权限,请参见 VMware 知识库文章 1025569 获取解决办法。

如果使用 Auto Deploy 置备主机,则 Active Directory 凭据无法存储在主机上。您可以使用 vSphere Authentication Proxy 将主机加入到 Active Directory 域中。由于 vSphere Authentication Proxy 与主机之间存在信任链,因此 Authentication Proxy 可以将主机加入到 Active Directory 域中。请参见使用 vSphere Authentication Proxy

注: 在 Active Directory 中定义用户帐户设置时,可以按计算机名称限制用户能够登录的计算机。默认情况下,未对用户帐户设置任何相关限制。如果设置了此限制,对用户帐户的 LDAP 绑定请求将失败,并显示消息 LDAP 绑定失败 (LDAP binding not successful),即使该请求来自列出的计算机也是如此。可以通过将 Active Directory 服务器的 netBIOS 名称添加到用户帐户能够登录的计算机列表来避免此问题。

前提条件

  • 确认您拥有 Active Directory 域。请参见目录服务器文档。
  • 确认 ESXi 的主机名完全符合 Active Directory 林的域名条件。

    完全限定域名 = host_name.domain_name

过程

  1. 同步 ESXi 和目录服务系统的时间。
    有关如何使用 Microsoft 域控制器同步 ESXi 时间的信息,请参见 使 ESXi 时钟与网络时间服务器同步 或 VMware 知识库。
  2. 确保为主机配置的 DNS 服务器可以解析 Active Directory 控制器的主机名。
    1. vSphere Client 清单中,浏览到主机。
    2. 单击配置
    3. 在“网络”下,单击 TCP/IP 配置
    4. 在“TCP/IP 堆栈: 默认”下,单击 DNS,然后验证该主机的主机名和 DNS 服务器信息是否正确。

下一步做什么

将主机加入到目录服务域。请参见将 ESXi 主机添加到目录服务域。对于使用 Auto Deploy 置备的主机,请设置 vSphere Authentication Proxy。请参见使用 vSphere Authentication Proxy。您可以配置权限,以便已加入的 Active Directory 域中的用户和组配置可以访问 vCenter Server 组件。有关管理权限的信息,请参见将权限添加到清单对象

ESXi 主机添加到目录服务域

要让 ESXi 主机使用目录服务,必须将主机加入到目录服务域。

可以使用以下两种方法之一输入域名:

  • name.tld(例如 domain.com):在默认容器下会创建该帐户。
  • name.tld/container/path(例如 domain.com/OU1/OU2):在特定组织单元 (OU) 下会创建该帐户。

要使用 vSphere Authentication Proxy 服务,请参见使用 vSphere Authentication Proxy

过程

  1. vSphere Client 清单中,浏览到主机。
  2. 单击配置
  3. 在“系统”下,选择身份验证服务
  4. 单击加入域
  5. 输入域。

    使用 name.tldname.tld/container/path 形式。

  6. 输入有权将主机加入域的目录服务用户的用户名和密码,然后单击确定
  7. (可选) 如果要使用身份验证代理,请输入代理服务器的 IP 地址。
  8. 单击确定关闭“目录服务配置”对话框。

下一步做什么

您可以配置权限,以便已加入的 Active Directory 域中的用户和组配置可以访问 vCenter Server 组件。有关管理权限的信息,请参见将权限添加到清单对象

查看 ESXi 主机的目录服务设置

可以查看 ESXi 主机用于对用户进行身份验证的目录服务器的类型(如果有)和目录服务器设置。

过程

  1. vSphere Client 清单中,浏览到主机。
  2. 单击配置
  3. 在“系统”下,选择身份验证服务
    “身份验证服务”页面将显示目录服务和域设置。

下一步做什么

您可以配置权限,以便已加入的 Active Directory 域中的用户和组配置可以访问 vCenter Server 组件。有关管理权限的信息,请参见将权限添加到清单对象