Die Identitätsquelle „Active Directory über LDAP“ wird gegenüber der Option „Active Directory (Integrierte Windows-Authentifizierung)“ bevorzugt. Die Identitätsquelle für den OpenLDAP-Server ist für Umgebungen verfügbar, die OpenLDAP verwenden.

Wenn Sie eine OpenLDAP-Identitätsquelle konfigurieren, finden Sie weitere Informationen im VMware-Knowledgebase-Artikel unter http://kb.vmware.com/kb/2064977.

Hinweis: Ein zukünftiges Update auf Microsoft Windows ändert das Standardverhalten von Active Directory, sodass eine starke Authentifizierung und Verschlüsselung erforderlich sein wird. Diese Änderung wirkt sich auf die Authentifizierung von vCenter Server bei Active Directory aus. Wenn Sie Active Directory als Identitätsquelle für vCenter Server verwenden, müssen Sie die Aktivierung von LDAPS planen. Weitere Informationen zu diesem Microsoft-Sicherheitsupdate finden Sie unter https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023 und https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html.
Tabelle 1. Einstellungen für Active Directory über LDAP und OpenLDAP
Option Beschreibung
Name Name der Identitätsquelle
Basis-DN für Benutzer Basis-DN (Distinguished Name) für Benutzer. Geben Sie den DN ein, von dem aus die Benutzersuche gestartet werden soll. Beispiel: cn=Users, dc=myCorp, dc=com.
Basis-DN für Gruppen Der Basis-DN (Distinguished Name) für Gruppen. Geben Sie den DN ein, von dem aus die Gruppensuche gestartet werden soll. Beispiel: cn=Groups, dc=myCorp, dc=com.
Domänenname Der vollständig qualifizierte Domänenname (FQDN) der Domäne.
Domänenalias Für Active Directory-Identitätsquellen, der NetBIOS-Name der Domäne. Fügen Sie den NetBIOS-Namen der Active Directory-Domäne wie Alias der Identitätsquelle hinzu, wenn Sie SSPI-Authentifizierungen verwenden.

Für OpenLDAP-Identitätsquellen wird der Domänenname in Großbuchstaben hinzugefügt, wenn Sie keinen Alias angeben.

Benutzername ID eines Benutzers in der Domäne, der über einen minimalen Base-DN-Zugriff (nur Lesen) für Benutzer und Gruppen verfügt
Kennwort Kennwort des Benutzers, der durch den Benutzernamen angegeben wird.
Verbinden mit Domänencontroller, mit dem die Verbindung hergestellt werden soll. Kann ein beliebiger Domänencontroller in der Domäne oder ein bestimmter Controller sein.
URL des primären Servers LDAP-Server des primären Domänencontrollers für die Domäne.

Verwenden Sie das Format ldap://hostname:port oder ldaps://hostname:port. Der Port ist in der Regel 389 für LDAP-Verbindungen und 636 für LDAPS-Verbindungen. Für Active Directory-Bereitstellungen über mehrere Domänencontroller ist der Port in der Regel 3268 für LDAP und 3269 für LDAPS.

Ein Zertifikat, das das Vertrauen für den LDAPS-Endpoint des Active Directory-Servers festlegt, ist erforderlich, wenn Sie ldaps:// in der primären oder sekundären LDAP-URL verwenden.

URL des sekundären Servers Adresse eines LDAP-Servers des sekundären Domänencontrollers, der für das Failover verwendet wird.
SSL-Zertifikate Wenn Sie LDAPS mit Ihrer Identitätsquelle für den Active Directory-LDAP-Server oder -OpenLDAP-Server verwenden möchten, klicken Sie zum Auswählen eines Zertifikats auf Durchsuchen. Informationen zum Exportieren des Stammzertifikats aus Active Directory finden Sie in der Microsoft-Dokumentation.