Wenn Sie den Identitätsquellentyp Active Directory (Integrierte Windows-Authentifizierung) auswählen, können Sie das Konto der lokalen Maschine als SPN (Service Principal Name, Dienstprinzipalname) auswählen oder einen SPN explizit angeben. Sie können diese Option nur verwenden, wenn der vCenter Single Sign On-Server einer Active Directory-Domäne beigetreten ist.

Voraussetzungen für die Verwendung einer Active Directory-Identitätsquelle

Sie können vCenter Single Sign On so einrichten, dass nur dann eine Active Directory-Identitätsquelle verwendet wird, wenn diese Identitätsquelle verfügbar ist.
  • Fügen Sie bei einer Windows-Installation den Windows-Computer der Active Directory-Domäne hinzu.
  • Befolgen Sie für eine vCenter Server Appliance die Anweisungen in der Dokumentation zur vCenter Server Appliance-Konfiguration.
Hinweis: Active Directory (integrierte Windows-Authentifizierung) verwendet immer der Stamm der Active Directory-Domänengesamtstruktur. Informationen zur Konfiguration Ihrer Identitätsquelle für die integrierte Windows-Authentifizierung mit einer untergeordneten Domäne in Ihrer Active Directory-Gesamtstruktur finden Sie im VMware-Knowledgebase-Artikel 2070433.

Wählen Sie Maschinenkonto verwenden aus, um die Konfiguration zu beschleunigen. Wenn Sie die lokale Maschine, auf der vCenter Single Sign On ausgeführt wird, voraussichtlich umbenennen werden, empfiehlt sich die explizite Angabe eines SPN.

Hinweis: In vSphere 5.5 verwendet vCenter Single Sign On das Maschinenkonto, selbst wenn Sie den SPN angeben. Weitere Informationen hierzu finden Sie im VMware-Knowledgebase-Artikel 2087978.

Tabelle 1. Hinzufügen von Einstellungen der Identitätsquelle
Textfeld Beschreibung
Domänenname FQDN des Domänennamens, zum Beispiel „mydomain.com“. Geben Sie keine IP-Adresse an. Dieser Domänenname muss durch das vCenter Server-System per DNS auflösbar sein. Wenn Sie eine vCenter Server Appliance nutzen, verwenden Sie die Informationen zum Konfigurieren der Netzwerkeinstellungen, um die DNS-Servereinstellungen zu aktualisieren.
Maschinenkonto verwenden Wählen Sie diese Option aus, um das Konto der lokalen Maschine als SPN zu verwenden. Mit dieser Option geben Sie nur den Domänennamen an. Verwenden Sie diese Option nicht, wenn Sie diese Maschine voraussichtlich umbenennen werden.
SPN (Dienstprinzipalname) verwenden Wählen Sie diese Option aus, wenn Sie die lokale Maschine voraussichtlich umbenennen werden. Sie müssen einen SPN, einen Benutzer, der sich mit der Identitätsquelle authentifizieren kann, und ein Kennwort für den Benutzer angeben.
SPN (Dienstprinzipalname) Der SPN, mit dem Kerberos den Active Directory-Dienst identifiziert. Schließen Sie die Domäne in den Namen ein. Beispiel: „STS/example.com“.

Der SPN muss innerhalb der Domäne eindeutig sein. Durch Ausführen von setspn -S wird sichergestellt, dass keine Duplikate erstellt werden. Weitere Informationen zu setspn finden Sie in der Microsoft-Dokumentation.

UPN (Benutzerprinzipalname)

Kennwort

Der Name und das Kennwort eines Benutzers, der sich mit dieser Identitätsquelle authentifizieren kann. Verwenden Sie beispielsweise folgendes E-Mail-Adressformat: [email protected]. Den Benutzerprinzipalnamen können Sie mit dem Active Directory-Dienstschnittstellen-Editor (ADSI Edit) überprüfen.