Benutzer können sich nur dann bei vCenter Server anmelden, wenn sie sich in einer Domäne befinden, die als vCenter Single Sign On-Identitätsquelle hinzugefügt wurde. vCenter Single Sign On-Administratorbenutzer können Identitätsquellen über den vSphere Web Client oder die Platform Services Controller-Schnittstelle hinzufügen.

Warum und wann dieser Vorgang ausgeführt wird

Eine Identitätsquelle kann eine native Active Directory-Domäne (Integrierte Windows-Authentifizierung) oder ein OpenLDAP-Verzeichnisdienst sein. Active Directory ist als ein LDAP-Server verfügbar, um die Abwärtskompatibilität zu gewährleisten. Siehe Identitätsquellen für vCenter Server mit vCenter Single Sign On.

Sofort nach der Installation sind die folgenden standardmäßigen Identitätsquellen und Benutzer verfügbar:

localos

Alle Benutzer des lokalen Betriebssystems. Wenn Sie ein Upgrade durchführen, können sich die lokalen Benutzer, die sich bereits authentifizieren können, auch weiterhin authentifizieren. Die Verwendung der lokalen Identitätsquelle ist für Umgebungen, in denen ein eingebetteter Platform Services Controller verwendet wird, nicht sinnvoll.

vsphere.local

Enthält die internen Benutzer von vCenter Single Sign On.

Voraussetzungen

Wenn Sie eine Active Directory-Identitätsquelle hinzufügen, muss sich die vCenter Server Appliance oder der Windows-Computer, auf dem vCenter Server ausgeführt wird, in der Active Directory-Domäne befinden. Weitere Informationen hierzu finden Sie unter Hinzufügen einer Platform Services Controller-Appliance zu einer Active Directory-Domäne.

Prozedur

  1. Stellen Sie von einem Webbrowser aus eine Verbindung zum vSphere Web Client oder zum Platform Services Controller her.

    Option

    Beschreibung

    vSphere Web Client

    https://vc_hostname_or_IP/vsphere-client

    Platform Services Controller

    https://psc_hostname_or_IP/psc

    In einer eingebetteten Bereitstellung ist der Hostname oder die IP-Adresse von Platform Services Controller identisch mit dem Hostnamen oder der IP-Adresse von vCenter Server.

  2. Geben Sie den Benutzernamen und das Kennwort für „administrator@vsphere.local“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.

    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@meinedomäne an.

  3. Navigieren Sie zur Benutzeroberfläche für die vCenter Single Sign-On-Konfiguration.

    Option

    Beschreibung

    vSphere Web Client

    1. Wählen Sie im Menü Home die Option Verwaltung aus.

    2. Klicken Sie unter Single Sign-On auf Konfiguration.

    Platform Services Controller

    Klicken Sie auf Single Sign-On und dann auf Konfiguration.

  4. Klicken Sie auf der Registerkarte Identitätsquelle auf das Symbol Identitätsquelle hinzufügen.
  5. Wählen Sie die Identitätsquelle aus und geben Sie die Einstellungen für die Identitätsquelle ein.

    Option

    Beschreibung

    Active Directory (Integrierte Windows-Authentifizierung)

    Verwenden Sie diese Option für native Active Directory-Implementierungen. Die Maschine, auf der der vCenter Single Sign On-Dienst ausgeführt wird, muss sich in einer Active Directory-Domäne befinden, wenn Sie diese Option verwenden möchten.

    Weitere Informationen hierzu finden Sie unter Einstellungen der Active Directory-Identitätsquelle.

    Active Directory als ein LDAP-Server

    Diese Option ist verfügbar, um die Abwärtskompatibilität zu gewährleisten. Sie setzt voraus, dass Sie den Domänencontroller und andere Informationen angeben. Weitere Informationen hierzu finden Sie unter Einstellungen der Active Directory-Identitätsquelle für LDAP-Server und OpenLDAP-Server.

    OpenLDAP

    Verwenden Sie diese Option für eine OpenLDAP-Identitätsquelle. Weitere Informationen hierzu finden Sie unter Einstellungen der Active Directory-Identitätsquelle für LDAP-Server und OpenLDAP-Server.

    LocalOS

    Verwenden Sie diese Option, um das lokale Betriebssystem als Identitätsquelle hinzuzufügen. Sie müssen nur den Namen des lokalen Betriebssystems angeben. Bei Auswahl dieser Option werden alle Benutzer der angegebenen Maschine von vCenter Single Sign On erkannt, auch wenn diese Benutzer nicht zu einer anderen Domäne gehören.

    Anmerkung:

    Wenn das Benutzerkonto gesperrt oder deaktiviert ist, schlagen die Authentifizierungen sowie Gruppen- und Benutzersuchvorgänge in der Active Directory-Domäne fehl. Das Benutzerkonto muss über Nur-Lesen-Zugriff auf die Organisationseinheit (OU) „Benutzer und Gruppe“ verfügen und in der Lage sein, Benutzer- und Gruppenattribute zu lesen. Active Directory stellt diesen Zugriff standardmäßig zur Verfügung. Verwenden Sie einen speziellen Dienstbenutzer, um die Sicherheit zu verbessern.

  6. Wenn Sie Active Directory als einen LDAP-Server oder als eine OpenLDAP-Identitätsquelle konfigurieren, klicken Sie auf Testverbindung, um sicherzustellen, dass Sie eine Verbindung mit der Identitätsquelle herstellen können.
  7. Klicken Sie auf OK.

Nächste Maßnahme

Wenn eine Identitätsquelle hinzugefügt wird, können alle Benutzer authentifiziert werden, verfügen aber über die Rolle Kein Zugriff. Ein Benutzer mit dem vCenter Server-Recht Berechtigung ändern kann Benutzern oder Benutzergruppen Rechte zuweisen, damit sie sich bei vCenter Server anmelden und Objekte anzeigen und verwalten können. Informationen finden Sie in der Dokumentation vSphere-Sicherheit.