Benutzer können sich nur bei vCenter Server anmelden, wenn sie sich in einer Domäne befinden, die als eine vCenter Single Sign On-Identitätsquelle hinzugefügt wurde. vCenter Single Sign On-Administratorbenutzer können Identitätsquellen aus dem vSphere Web Client hinzufügen.

Warum und wann dieser Vorgang ausgeführt wird

Eine Identitätsquelle kann eine native Active Directory-Domäne (Integrierte Windows-Authentifizierung) oder ein OpenLDAP-Verzeichnisdienst sein. Active Directory ist als ein LDAP-Server verfügbar, um die Abwärtskompatibilität zu gewährleisten.

Sofort nach der Installation sind die folgenden standardmäßigen Identitätsquellen und Benutzer verfügbar:

localos

Alle Benutzer des lokalen Betriebssystems. Diesen Benutzern können Berechtigungen für vCenter Server erteilt werden. Wenn Sie ein Upgrade durchführen, behalten die Benutzer, die bereits Berechtigungen haben, diese auch danach.

vsphere.local

Enthält die internen Benutzer von vCenter Single Sign On.

Prozedur

  1. Melden Sie sich beim vSphere Web Client als „administrator@vsphere.local“ oder als anderer Benutzer mit vCenter Single Sign On-Administratorrechten an.

    Benutzer mit vCenter Single Sign On-Administratorrechten befinden sich in der CAAdmins-Gruppe.

  2. Navigieren Sie zu Verwaltung > Single Sign On > Konfiguration.
  3. Klicken Sie auf der Registerkarte Identitätsquelle auf das Symbol Identitätsquelle hinzufügen.
  4. Wählen Sie die Art der Identitätsquelle aus und geben Sie die Einstellungen für die Identitätsquelle ein.

    Option

    Beschreibung

    Active Directory (Integrierte Windows-Authentifizierung)

    Verwenden Sie diese Option für native Active Directory-Implementierungen. Die Maschine, auf der der vCenter Single Sign On-Dienst ausgeführt wird, muss sich in einer Active Directory-Domäne befinden, falls Sie diese Option verwenden möchten.

    Weitere Informationen hierzu finden Sie unter Einstellungen der Active Directory-Identitätsquelle.

    Active Directory als ein LDAP-Server

    Diese Option ist verfügbar, um die Abwärtskompatibilität zu gewährleisten. Sie setzt voraus, dass Sie den Domänencontroller und andere Informationen angeben. Weitere Informationen hierzu finden Sie unter Einstellungen der Active Directory-Identitätsquelle für LDAP-Server und OpenLDAP-Server.

    OpenLDAP

    Verwenden Sie diese Option für eine OpenLDAP-Identitätsquelle. Weitere Informationen hierzu finden Sie unter Einstellungen der Active Directory-Identitätsquelle für LDAP-Server und OpenLDAP-Server.

    LocalOS

    Verwenden Sie diese Option, um das lokale Betriebssystem als Identitätsquelle hinzuzufügen. Sie müssen nur den Namen des lokalen Betriebssystems angeben. Bei Auswahl dieser Option werden alle Benutzer der angegebenen Maschine von vCenter Single Sign On erkannt, auch wenn diese Benutzer nicht zu einer anderen Domäne gehören.

    Anmerkung:

    Wenn das Benutzerkonto gesperrt oder deaktiviert ist, schlagen die Authentifizierungen sowie Gruppen- und Benutzersuchvorgänge in der Active Directory-Domäne fehl. Das Benutzerkonto muss über Nur-Lesen-Zugriff auf die Organisationseinheit (OU) „Benutzer und Gruppe“ verfügen und in der Lage sein, Benutzer- und Gruppenattribute zu lesen. Dies ist die Standardkonfiguration der Active Directory-Domäne für Benutzerberechtigungen. VMware empfiehlt die Verwendung eines speziellen Dienstbenutzers.

  5. Wenn Sie Active Directory als einen LDAP-Server oder als eine OpenLDAP-Identitätsquelle konfigurieren, klicken Sie auf Testverbindung, um sicherzustellen, dass Sie eine Verbindung mit der Identitätsquelle herstellen können.
  6. Klicken Sie auf OK.

Nächste Maßnahme

Wenn eine Identitätsquelle hinzugefügt wird, können alle Benutzer authentifiziert werden, verfügen aber über die Berechtigung Kein Zugriff. Ein Benutzer mit vCenter Server Modify.permissions-Berechtigungen kann Benutzern oder Benutzergruppen Berechtigungen zuweisen, um sie für die Anmeldung bei vCenter Server zu aktivieren. Weitere Informationen hierzu finden Sie unter Zuweisen von Berechtigungen im vSphere Web Client.