Sie können eine Platform Services Controller Appliance oder eine vCenter Server Appliance mit eingebettetem Platform Services Controller einer Active Directory-Domäne beitreten lassen und die Benutzer und Gruppen aus dieser Active Directory-Domäne zu Ihrer vCenter Single Sign-On-Domäne hinzufügen.

Vorbereitungen

Stellen Sie sicher, dass der Benutzer, den Sie für die Anmeldung bei der vCenter Server-Instanz in vCenter Server Appliance verwenden, Mitglied der Gruppe „SystemConfiguration.Administrators“ in vCenter Single Sign-On ist.

Warum und wann dieser Vorgang ausgeführt wird

Wichtig:

Das Hinzufügen einer Platform Services Controller Appliance oder einer vCenter Server Appliance mit eingebettetem Platform Services Controller zu einer Active Directory-Domäne mit schreibgeschütztem Domänen-Controller (RODC) wird nicht unterstützt. Sie können nur einen Platform Services Controller oder eine vCenter Server Appliance mit einem eingebetteten Platform Services Controller zu einer Active Directory-Domäne mit einem beschreibbaren Domänencontroller hinzufügen.

Wenn Sie Berechtigungen für Benutzer und Gruppen aus einer Active Directory-Domäne konfigurieren möchten, um auf die vCenter Server-Komponenten zuzugreifen, müssen Sie dessen verknüpfte eingebettete oder externe Platform Services Controller-Instanz zum Active Directory hinzufügen.

Um beispielsweise einem Active Directory-Benutzer die Anmeldung an der vCenter Server-Instanz in einer vCenter Server Appliance mit eingebettetem Platform Services Controller durch Verwendung des vSphere Web Clients mit Windows-Sitzungsauthentifizierung (SSPI) zu ermöglichen, müssen Sie die vCenter Server Appliance zu der Active Directory-Domäne hinzufügen und diesem Benutzer die Rolle des Administrators zuweisen. Um einem Active Directory-Benutzer die Anmeldung an einer vCenter Server-Instanz zu ermöglichen, die eine externe Platform Services Controller-Appliance unter Nutzung des vSphere Web Clients mit SSPI verwendet, müssen Sie die Platform Services Controller-Appliance zu der Active Directory-Domäne hinzufügen und diesem Benutzer die Rolle des Administrators zuweisen.

Anmerkung:

Wenn Sie einem Active Directory-Benutzer die Anmeldung bei einer vCenter Server-Instanz unter Verwendung des vSphere Client mit SSPI ermöglichen möchten, müssen Sie die vCenter Server-Instanz zur Active Directory-Domäne hinzufügen. Informationen zum Hinzufügen einer vCenter Server Appliance mit einem externen Platform Services Controller zu einer Active Directory-Domäne finden Sie in dem VMware-Knowledgebase-Artikel unter http://kb.vmware.com/kb/2118543.

Prozedur

  1. Verwenden Sie vSphere Web Client, um sich als „administrator@ihr_domänenname“ bei der vCenter Server-Instanz in der vCenter Server Appliance anzumelden.

    Die Adresse ist vom Typ „http://appliance-IP-adresse-oder-FQDN/vsphere-client“.

  2. Klicken Sie unter „Bereitstellung“ auf Systemkonfiguration.
  3. Klicken Sie unter „Systemkonfiguration“ auf Knoten.
  4. Wählen Sie unter „Knoten“ einen Knoten aus und klicken Sie auf die Registerkarte Verwalten.
  5. Wählen Sie unter „Erweitert“ die Option Active Directory und klicken Sie auf Beitreten.
  6. Geben Sie die Active Directory-Details ein.

    Option

    Beschreibung

    Domäne

    Active Directory-Domänenname, z. B. mydomain.com. Geben Sie in diesem Feld keine IP-Adresse ein.

    Organisationseinheit

    Optional. Der vollständige OU LDAP-FQDN, wie z. B. OU=Engineering,DC=mydomain,DC=com.

    Wichtig:

    Verwenden Sie dieses Feld nur, wenn Sie mit LDAP vertraut sind.

    Benutzername

    Benutzername im UPN-Format (User Principal Name), z. B. „jchin@mydomain.com“.

    Wichtig:

    Ein kompatibles Anmeldenamensformat, z. B. DOMAIN\UserName, wird nicht unterstützt.

    Kennwort

    Das Kennwort des Benutzers.

  7. Klicken Sie auf OK, um die vCenter Server Appliance zur Active Directory-Domäne hinzuzufügen.

    Der Vorgang wird erfolgreich automatisch ausgeführt und anstelle der Schaltfläche „Beitreten“ wird nun die Schaltfläche „Verlassen“ angezeigt.

  8. Klicken Sie mit der rechten Maustaste auf den bearbeiteten Knoten, und wählen Sie Neu starten, um die Appliance neu zu starten und die Änderungen anzuwenden.
    Wichtig:

    Wenn Sie die Appliance nicht neu starten, treten bei Verwendung des vSphere Web Client möglicherweise Probleme auf.

  9. Navigieren Sie zu Verwaltung > Single Sign On > Konfiguration.
  10. Klicken Sie auf der Registerkarte Identitätsquelle auf das Symbol Identitätsquelle hinzufügen.
  11. Wählen Sie Active Directory (Integrierte Windows-Authentifizierung) aus, geben Sie die Einstellungen der Identitätsquelle der hinzugefügten Active Directory-Domäne ein und klicken Sie auf OK.
    Tabelle 1. Hinzufügen von Einstellungen der Identitätsquelle

    Feld

    Beschreibung

    Domänenname

    Vollqualifizierter Domänenname (FDQN) der Domäne. Geben Sie in diesem Feld keine IP-Adresse an.

    Maschinenkonto verwenden

    Wählen Sie diese Option aus, um das Konto der lokalen Maschine als SPN zu verwenden. Mit dieser Option geben Sie nur den Domänennamen an. Verwenden Sie diese Option nicht, wenn Sie diese Maschine voraussichtlich umbenennen werden.

    SPN (Dienstprinzipalname)

    Wählen Sie diese Option aus, wenn Sie die lokale Maschine voraussichtlich umbenennen werden. Sie müssen einen SPN, einen Benutzer, der sich mit der Identitätsquelle authentifizieren kann, und ein Kennwort für den Benutzer angeben.

    SPN (Dienstprinzipalname)

    Der SPN, mit dem Kerberos den Active Directory-Dienst identifiziert. Schließen Sie die Domäne in den Namen ein, wie z. B. „STS/example.com“.

    Möglicherweise müssen Sie setspn -S ausführen, um den gewünschten Benutzer hinzuzufügen. Weitere Informationen zu setspn finden Sie in der Microsoft-Dokumentation.

    Der SPN muss innerhalb der Domäne eindeutig sein. Durch Ausführen von setspn -S wird sichergestellt, dass keine Duplikate erstellt werden.

    UPN (Benutzerprinzipalname)

    Der Name eines Benutzers, der sich mit dieser Identitätsquelle authentifizieren kann. Verwenden Sie das E-Mail-Adressformat wie z. B. „jchin@mydomain.com“. Den Benutzerprinzipalnamen können Sie mit dem Active Directory-Dienstschnittstellen-Editor (ADSI Edit) überprüfen.

    Kennwort

    Das Kennwort für den Benutzer, der für die Authentifizierung mit dieser Identitätsquelle verwendet wird. Dies ist der Benutzer, der im UPN (Benutzerprinzipalnamen) angegeben ist. Schließen Sie den Domänennamen ein, wie z. B. „jdoe@example.com“.

Ergebnisse

Auf der Registerkarte Identitätsquellen wird die hinzugefügte Active Directory-Domäne angezeigt.

Nächste Maßnahme

Sie können Berechtigungen für Benutzer und Gruppen aus der hinzugefügten Active Directory-Domäne konfigurieren, um auf die vCenter Server-Komponenten zuzugreifen. Informationen zum Verwalten von Berechtigungen finden Sie in der Dokumentation vSphere-Sicherheit.