Die Identitätsquelle „Active Directory über LDAP“ wird gegenüber der Option „Active Directory (Integrierte Windows-Authentifizierung)“ bevorzugt. Die Identitätsquelle für den OpenLDAP-Server ist für Umgebungen verfügbar, die OpenLDAP verwenden.

Wenn Sie eine OpenLDAP-Identitätsquelle konfigurieren, finden Sie weitere Informationen im VMware-Knowledgebase-Artikel unter http://kb.vmware.com/kb/2064977.

Hinweis: Ein zukünftiges Update auf Microsoft Windows ändert das Standardverhalten von Active Directory, sodass eine starke Authentifizierung und Verschlüsselung erforderlich sein wird. Diese Änderung wirkt sich auf die Authentifizierung von vCenter Server bei Active Directory aus. Wenn Sie Active Directory als Identitätsquelle für vCenter Server verwenden, müssen Sie die Aktivierung von LDAPS planen. Weitere Informationen zu diesem Microsoft-Sicherheitsupdate finden Sie unter https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023 und https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html.
Tabelle 1. Einstellungen für Active Directory über LDAP und OpenLDAP
Option Beschreibung
Name Name der Identitätsquelle
Basis-DN für Benutzer Basis-DN (Distinguished Name) für Benutzer. Geben Sie den DN ein, von dem aus die Benutzersuche gestartet werden soll. Beispiel: cn=Users, dc=myCorp, dc=com.
Basis-DN für Gruppen Der Basis-DN (Distinguished Name) für Gruppen. Geben Sie den DN ein, von dem aus die Gruppensuche gestartet werden soll. Beispiel: cn=Groups, dc=myCorp, dc=com.
Domänenname Der vollständig qualifizierte Domänenname (FQDN) der Domäne.
Domänenalias Für Active Directory-Identitätsquellen, der NetBIOS-Name der Domäne. Fügen Sie den NetBIOS-Namen der Active Directory-Domäne wie Alias der Identitätsquelle hinzu, wenn Sie SSPI-Authentifizierungen verwenden.

Für OpenLDAP-Identitätsquellen wird der Domänenname in Großbuchstaben hinzugefügt, wenn Sie keinen Alias angeben.

Benutzername ID eines Benutzers in der Domäne, der über einen minimalen Base-DN-Zugriff (nur Lesen) für Benutzer und Gruppen verfügt Die ID kann in einem der folgenden Formate vorliegen: Der Benutzername muss vollqualifiziert sein. Ein Eintrag vom Typ „Benutzer“ funktioniert nicht.
Kennwort Kennwort des Benutzers, der durch den Benutzernamen angegeben wird.
Verbinden mit Domänencontroller, mit dem die Verbindung hergestellt werden soll. Kann ein beliebiger Domänencontroller in der Domäne oder ein bestimmter Controller sein.
URL des primären Servers LDAP-Server des primären Domänencontrollers für die Domäne. Sie können entweder den Hostnamen oder die IP-Adresse verwenden.

Verwenden Sie das Format ldap://hostname_or_IPaddress:port oder ldaps://hostname_or_IPaddress:port. Der Port ist in der Regel 389 für LDAP-Verbindungen und 636 für LDAPS-Verbindungen. Für Active Directory-Bereitstellungen über mehrere Domänencontroller ist der Port in der Regel 3268 für LDAP und 3269 für LDAPS.

Ein Zertifikat, das das Vertrauen für den LDAPS-Endpoint des Active Directory-Servers festlegt, ist erforderlich, wenn Sie ldaps:// in der primären oder sekundären LDAP-URL verwenden.

URL des sekundären Servers Adresse eines LDAP-Servers des sekundären Domänencontrollers, der für das Failover verwendet wird. Sie können entweder den Hostnamen oder die IP-Adresse verwenden.
Zertifikate (für LDAPS) Wenn Sie LDAPS mit Ihrer Active Directory LDAP-Server- oder OpenLDAP-Serveridentitätsquelle verwenden möchten, klicken Sie auf Durchsuchen und wählen Sie ein Zertifikat aus, das aus dem in der LDAPS-URL angegebenen Domänencontroller exportiert wurde. (Beachten Sie, dass es sich bei dem hier verwendeten Zertifikat nicht um ein Stamm-CA-Zertifikat handelt.) Informationen zum Exportieren des Zertifikats aus Active Directory finden Sie in der Microsoft-Dokumentation.