Benutzer können sich nur bei vCenter Server anmelden, wenn sie sich in einer Domäne befinden, die als eine vCenter Single Sign On-Identitätsquelle hinzugefügt wurde. vCenter Single Sign On-Administratorbenutzer können Identitätsquellen aus dem vSphere Web Client hinzufügen.

Vorbereitungen

Die Domäne, die Sie als Identitätsquelle hinzufügen möchten, muss für die Maschine verfügbar sein, auf der vCenter Single Sign On ausgeführt wird. Wenn Sie eine vCenter Server Appliance verwenden, finden Sie dazu weitere Informationen in der Dokumentation zu vCenter Server Appliance-Konfiguration.

Warum und wann dieser Vorgang ausgeführt wird

Eine Identitätsquelle kann eine native Active Directory-Domäne (Integrierte Windows-Authentifizierung) oder ein OpenLDAP-Verzeichnisdienst sein. Active Directory ist als ein LDAP-Server verfügbar, um die Abwärtskompatibilität zu gewährleisten. Siehe Identitätsquellen für vCenter Server mit vCenter Single Sign On.

Sofort nach der Installation sind die folgenden standardmäßigen Identitätsquellen und Benutzer verfügbar:

localos

Alle Benutzer des lokalen Betriebssystems. Wenn Sie ein Upgrade durchführen, können sich jene Benutzer, die sich bereits authentifizieren können, auch weiterhin authentifizieren. Die Verwendung der lokalen Identitätsquelle ist für Umgebungen, in denen ein Platform Services Controller verwendet wird, nicht sinnvoll.

vsphere.local

Enthält die internen Benutzer von vCenter Single Sign On.

Prozedur

  1. Melden Sie sich beim vSphere Web Client als „administrator@vsphere.local“ oder als anderer Benutzer mit vCenter Single Sign On-Administratorrechten an.

    Benutzer mit vCenter Single Sign On-Administratorrechten befinden sich in der Administratorengruppe in der Domäne „vsphere.local“.

  2. Navigieren Sie zu Verwaltung > Single Sign-On > Konfiguration.
  3. Klicken Sie auf der Registerkarte Identitätsquelle auf das Symbol Identitätsquelle hinzufügen.
  4. Wählen Sie die Art der Identitätsquelle aus und geben Sie die Einstellungen für die Identitätsquelle ein.

    Option

    Beschreibung

    Active Directory (Integrierte Windows-Authentifizierung)

    Verwenden Sie diese Option für native Active Directory-Implementierungen. Die Maschine, auf der der vCenter Single Sign On-Dienst ausgeführt wird, muss sich in einer Active Directory-Domäne befinden, wenn Sie diese Option verwenden möchten.

    Weitere Informationen hierzu finden Sie unter Einstellungen der Active Directory-Identitätsquelle.

    Active Directory als ein LDAP-Server

    Diese Option ist verfügbar, um die Abwärtskompatibilität zu gewährleisten. Sie setzt voraus, dass Sie den Domänencontroller und andere Informationen angeben. Weitere Informationen hierzu finden Sie unter Einstellungen der Active Directory-Identitätsquelle für LDAP-Server und OpenLDAP-Server.

    OpenLDAP

    Verwenden Sie diese Option für eine OpenLDAP-Identitätsquelle. Weitere Informationen hierzu finden Sie unter Einstellungen der Active Directory-Identitätsquelle für LDAP-Server und OpenLDAP-Server.

    LocalOS

    Verwenden Sie diese Option, um das lokale Betriebssystem als Identitätsquelle hinzuzufügen. Sie müssen nur den Namen des lokalen Betriebssystems angeben. Bei Auswahl dieser Option werden alle Benutzer der angegebenen Maschine von vCenter Single Sign On erkannt, auch wenn diese Benutzer nicht zu einer anderen Domäne gehören.

    Anmerkung:

    Wenn das Benutzerkonto gesperrt oder deaktiviert ist, schlagen die Authentifizierungen sowie Gruppen- und Benutzersuchvorgänge in der Active Directory-Domäne fehl. Das Benutzerkonto muss über Nur-Lesen-Zugriff auf die Organisationseinheit (OU) „Benutzer und Gruppe“ verfügen und in der Lage sein, Benutzer- und Gruppenattribute zu lesen. Dies ist die Standardkonfiguration der Active Directory-Domäne für Authentifizierungsberechtigungen. VMware empfiehlt die Verwendung eines speziellen Dienstbenutzers.

  5. Wenn Sie Active Directory als einen LDAP-Server oder als eine OpenLDAP-Identitätsquelle konfigurieren, klicken Sie auf Testverbindung, um sicherzustellen, dass Sie eine Verbindung mit der Identitätsquelle herstellen können.
  6. Klicken Sie auf OK.

Nächste Maßnahme

Wenn eine Identitätsquelle hinzugefügt wird, können alle Benutzer authentifiziert werden, verfügen aber über die Rolle Kein Zugriff. Ein Benutzer mit dem vCenter Server-Recht Berechtigung ändern kann Benutzern oder Benutzergruppen Rechte zuweisen, damit sie sich bei vCenter Server anmelden und Objekte anzeigen und verwalten können. Informationen finden Sie in der Dokumentation vSphere-Sicherheit.