Benutzer können sich nur dann bei vCenter Server anmelden, wenn sie sich in einer Domäne befinden, die als vCenter Single Sign On-Identitätsquelle hinzugefügt wurde. vCenter Single Sign On-Benutzer mit Administratorrechten können Identitätsquellen hinzufügen oder die Einstellungen für Identitätsquellen ändern, die sie hinzugefügt haben.

Eine Identitätsquelle kann Active Directory über LDAP, eine native Active Directory-Domäne (Integrierte Windows-Authentifizierung) oder ein OpenLDAP-Verzeichnisdienst sein. Weitere Informationen hierzu finden Sie unter Identitätsquellen für vCenter Server mit vCenter Single Sign On.

Unmittelbar nach der Installation ist die Domäne „vsphere.local“ (oder die Domäne, die Sie während der Installation angegeben haben) mit den internen vCenter Single Sign On-Benutzern verfügbar.

Hinweis:

Wenn Sie Ihr Active Directory-SSL-Zertifikat aktualisiert oder ersetzt haben, müssen Sie die Identitätsquelle entfernen und erneut in vCenter Server hinzufügen.

Voraussetzungen

Wenn Sie eine Active Directory-Identitätsquelle (Integrierte Windows-Authentifizierung) hinzufügen, muss sich der vCenter Server in der Active Directory-Domäne befinden. Weitere Informationen hierzu finden Sie unter Hinzufügen von vCenter Server zu einer Active Directory-Domäne.

Prozedur

  1. Melden Sie sich mit vSphere Client bei vCenter Server an.
  2. Geben Sie den Benutzernamen und das Kennwort für „[email protected]“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.
    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@ meinedomäne an.
  3. Navigieren Sie zur Benutzeroberfläche für die Konfiguration.
    1. Wählen Sie im Menü Home die Option Verwaltung aus.
    2. Klicken Sie unter Single Sign-On auf Konfiguration.
  4. Klicken Sie auf der Registerkarte Identitätsanbieter auf Identitätsquellen und dann auf Hinzufügen.
  5. Wählen Sie die Identitätsquelle aus und geben Sie die Einstellungen für die Identitätsquelle ein.
    Option Beschreibung
    Active Directory (Integrierte Windows-Authentifizierung) Verwenden Sie diese Option für native Active Directory-Implementierungen. Die Maschine, auf der der vCenter Single Sign On-Dienst ausgeführt wird, muss sich in einer Active Directory-Domäne befinden, wenn Sie diese Option verwenden möchten.

    Weitere Informationen hierzu finden Sie unter Einstellungen der Active Directory-Identitätsquelle.

    Active Directory über LDAP Diese Option setzt voraus, dass Sie den Domänencontroller und andere Informationen angeben. Weitere Informationen hierzu finden Sie unter Einstellungen der Active Directory-Identitätsquelle über LDAP-Server und OpenLDAP-Server.
    OpenLDAP Verwenden Sie diese Option für eine OpenLDAP-Identitätsquelle. Weitere Informationen hierzu finden Sie unter Einstellungen der Active Directory-Identitätsquelle über LDAP-Server und OpenLDAP-Server.
    Hinweis:

    Wenn das Benutzerkonto gesperrt oder deaktiviert ist, schlagen Authentifizierungen sowie Gruppen- und Benutzersuchen in der Active Directory-Domäne fehl. Das Benutzerkonto muss über Nur-Lesen-Zugriff auf die Organisationseinheit (OU) „Benutzer und Gruppe“ verfügen und in der Lage sein, Benutzer- und Gruppenattribute zu lesen. Active Directory stellt diesen Zugriff standardmäßig zur Verfügung. Verwenden Sie einen speziellen Dienstbenutzer, um die Sicherheit zu verbessern.

  6. Klicken Sie auf Hinzufügen.

Nächste Maßnahme

Zu Beginn wird jedem Benutzer die Rolle „Kein Zugriff“ zugewiesen. Ein vCenter Server-Administrator muss dem jeweiligen Benutzer mindestens die Rolle für den Zugriff „Nur Lesen“ zuweisen, bevor sich der Benutzer anmelden kann. Weitere Informationen zur Verwendung von Rollen zum Zuweisen von Rechten finden Sie in der vSphere-Sicherheit-Dokumentation.

Einstellungen der Active Directory-Identitätsquelle über LDAP-Server und OpenLDAP-Server

Die Identitätsquelle „Active Directory über LDAP“ wird gegenüber der Option „Active Directory (Integrierte Windows-Authentifizierung)“ bevorzugt. Die Identitätsquelle für den OpenLDAP-Server ist für Umgebungen verfügbar, die OpenLDAP verwenden.

Wenn Sie eine OpenLDAP-Identitätsquelle konfigurieren, finden Sie weitere Informationen im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/2064977.

Wichtig: Gruppen in AD-over-LDAP-Identitätsquellen können keine Benutzer in verschiedenen Domänen verwenden, selbst wenn Sie eine zusätzliche Identitätsquelle für jede Domäne erstellen.

Gruppen in LDAP-Identitätsquellen erkennen nur die Benutzer, die im angegebenen Benutzerbasis-DN vorhanden sind. Das kann in großen Active Directory-Umgebungen mit untergeordneten Domänen zu unerwarteten Problemen führen. Beispielszenario:

  1. eine Active Directory-Struktur mit zwei untergeordneten Domänen, ChildA und ChildB.
  2. Ein vCenter Server, der mit zwei AD-over-LDAP-Identitätsquellen konfiguriert ist, eine für untergeordnete Domäne ChildA und eine für untergeordnete Domäne ChildB.
  3. ChildA enthält zwei Benutzer mit den Namen UserA1 und UserA2.
  4. ChildB enthält zwei Benutzer mit den Namen UserB1 und UserB2.

Der vCenter Server-Administrator erstellt eine Gruppe mit dem Namen TestGroup in ChildA, die UserA1, UserA2, UserB1 und UserB2 enthält. Der vCenter Server-Administrator gewährt TestGroup Anmelderechte (oder beliebige andere Berechtigungen). UserB1 und UserB2 können sich leider nicht anmelden, da sie sich in einer anderen Domäne als die Gruppe befinden.

Um das Problem zu umgehen, führen Sie die folgenden Schritte aus:

  1. Erstellen Sie eine weitere Gruppe mit dem Namen SecondTestGroup in ChildB.
  2. Entfernen Sie UserB1 und UserB2 aus TestGroup.
  3. Fügen Sie UserB1 und UserB2 zu SecondTestGroup hinzu.
  4. Weisen Sie in vCenter Server SecondTestGroup dieselben Rechte zu, die TestGroup gewährt wurden.
Hinweis: Microsoft Windows hat das Standardverhalten von Active Directory geändert, sodass eine starke Authentifizierung und Verschlüsselung erforderlich sein wird. Diese Änderung wirkt sich auf die Authentifizierung von vCenter Server bei Active Directory aus. Wenn Sie Active Directory als Identitätsquelle für vCenter Server verwenden, müssen Sie LDAPS aktivieren. Weitere Informationen zu diesem Microsoft-Sicherheitsupdate finden Sie unter https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023 und https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html.
Tabelle 1. Einstellungen für Active Directory über LDAP und OpenLDAP
Option Beschreibung
Name Name der Identitätsquelle
Basis-DN für Benutzer Basis-DN (Distinguished Name) für Benutzer. Geben Sie den DN ein, von dem aus die Benutzersuche gestartet werden soll. Beispiel: cn=Users, dc=myCorp, dc=com.
Basis-DN für Gruppen Der Basis-DN (Distinguished Name) für Gruppen. Geben Sie den DN ein, von dem aus die Gruppensuche gestartet werden soll. Beispiel: cn=Groups, dc=myCorp, dc=com.
Domänenname Der vollständig qualifizierte Domänenname (FQDN) der Domäne.
Domänenalias Für Active Directory-Identitätsquellen, der NetBIOS-Name der Domäne. Fügen Sie den NetBIOS-Namen der Active Directory-Domäne wie Alias der Identitätsquelle hinzu, wenn Sie SSPI-Authentifizierungen verwenden.

Für OpenLDAP-Identitätsquellen wird der Domänenname in Großbuchstaben hinzugefügt, wenn Sie keinen Alias angeben.

Benutzername ID eines Benutzers in der Domäne, der über einen minimalen Base-DN-Zugriff (nur Lesen) für Benutzer und Gruppen verfügt Die ID kann in einem der folgenden Formate vorliegen: Der Benutzername muss vollqualifiziert sein. Ein Eintrag vom Typ „Benutzer“ funktioniert nicht.
Kennwort Kennwort des Benutzers, der durch den Benutzernamen angegeben wird.
Verbinden mit Domänencontroller, mit dem die Verbindung hergestellt werden soll. Kann ein beliebiger Domänencontroller in der Domäne oder ein bestimmter Controller sein.
URL des primären Servers LDAP-Server des primären Domänencontrollers für die Domäne. Sie können entweder den Hostnamen oder die IP-Adresse verwenden.

Verwenden Sie das Format ldap://hostname_or_IPaddress:port oder ldaps://hostname_or_IPaddress:port. Der Port ist in der Regel 389 für LDAP-Verbindungen und 636 für LDAPS-Verbindungen. Für Active Directory-Bereitstellungen über mehrere Domänencontroller ist der Port in der Regel 3268 für LDAP und 3269 für LDAPS.

Ein Zertifikat, das das Vertrauen für den LDAPS-Endpoint des Active Directory-Servers festlegt, ist erforderlich, wenn Sie ldaps:// in der primären oder sekundären LDAP-URL verwenden.

URL des sekundären Servers Adresse eines LDAP-Servers des sekundären Domänencontrollers, der verwendet wird, wenn der primäre Domänencontroller nicht verfügbar ist. Sie können entweder den Hostnamen oder die IP-Adresse verwenden. vCenter Server verwendet bei jedem LDAP-Vorgang immer zuerst den primären Domänencontroller, bevor auf den sekundären Domänencontroller zurückgegriffen wird. Dies kann dazu führen, dass Active Directory-Anmeldungen einige Zeit in Anspruch nehmen und sogar fehlschlagen, wenn der primäre Domänencontroller nicht verfügbar ist.
Hinweis: Wenn der primäre Domänencontroller ausfällt, übernimmt der sekundäre Domänencontroller möglicherweise nicht automatisch.
Zertifikate (für LDAPS) Wenn Sie LDAPS mit Ihrer Active Directory LDAP-Server- oder OpenLDAP-Serveridentitätsquelle verwenden möchten, klicken Sie auf Durchsuchen und wählen Sie ein Zertifikat aus, das aus dem in der LDAPS-URL angegebenen Domänencontroller exportiert wurde. (Beachten Sie, dass es sich bei dem hier verwendeten Zertifikat nicht um ein Stamm-CA-Zertifikat handelt.) Informationen zum Exportieren des Zertifikats aus Active Directory finden Sie in der Microsoft-Dokumentation.

Sie können nach mehreren Zertifikaten suchen und diese auswählen.

Tipp: Wenn Sie mehrere Zertifikate suchen und auswählen, müssen sie sich im selben Verzeichnis befinden.

vCenter Server vertraut nur Zertifikaten, die direkt von einer registrierten und vertrauenswürdigen Zertifizierungsstelle signiert wurden. vCenter Server verfolgt keinen Pfad bis zu einem registrierten CA-Zertifikat und überprüft nur, ob das Zertifikat von einer registrierten und vertrauenswürdigen Zertifizierungsstelle signiert wurde. Solange Ihr Zertifikat von einer öffentlichen vertrauenswürdigen Zertifizierungsstelle signiert oder selbstsigniert ist, sind keine weiteren Maßnahmen erforderlich. Wenn Sie jedoch Ihre eigenen internen Zertifikate erstellen (das heißt, Sie verwenden eine private Zertifizierungsstelle), müssen Sie diese Zertifikate möglicherweise aktiv einschließen. Wenn Ihre Organisation beispielsweise die Microsoft Enterprise-Stammzertifizierungsstelle zum Generieren des LDAPS-Zertifikats nutzt, müssen Sie auch das Unternehmensstammzertifikat auswählen, um es zu vCenter Server hinzuzufügen. Wenn Sie außerdem Zwischenzertifizierungsstellen zwischen dem LDAPS-Zertifikat und dem Unternehmensstammzertifikat einsetzen, müssen Sie auch diese Zwischenzertifikate auswählen, um sie zu vCenter Server hinzuzufügen.

Einstellungen der Active Directory-Identitätsquelle

Wenn Sie den Identitätsquellentyp Active Directory (Integrierte Windows-Authentifizierung) auswählen, können Sie das Konto der lokalen Maschine als SPN (Service Principal Name, Dienstprinzipalname) auswählen oder einen SPN explizit angeben. Sie können diese Option nur verwenden, wenn der vCenter Single Sign On-Server einer Active Directory-Domäne beigetreten ist.

Voraussetzungen für die Verwendung einer Active Directory-Identitätsquelle (Integrierte Windows-Authentifizierung)

Sie können vCenter Single Sign On so einrichten, dass nur dann eine Active Directory-Identitätsquelle (Integrierte Windows-Authentifizierung) verwendet wird, wenn diese Identitätsquelle verfügbar ist. Folgen Sie den Anweisungen in der Dokumentation zur vCenter Server-Konfiguration.

Hinweis: Active Directory (integrierte Windows-Authentifizierung) verwendet immer der Stamm der Active Directory-Domänengesamtstruktur. Informationen zur Konfiguration der Identitätsquelle für integrierte Windows-Authentifizierung mit einer untergeordneten Domäne in der Active Directory-Gesamtstruktur finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/2070433.

Wählen Sie Maschinenkonto verwenden aus, um die Konfiguration zu beschleunigen. Wenn Sie die lokale Maschine, auf der vCenter Single Sign On ausgeführt wird, voraussichtlich umbenennen werden, empfiehlt sich die explizite Angabe eines SPN.

Wenn Sie Protokollierung für Diagnoseereignisse in Active Directory aktiviert haben, um herauszufinden, an welcher Stelle Härtung notwendig sein könnte, wird unter Umständen ein Protokollereignis mit der Ereignis-ID 2889 auf diesem Verzeichnisserver angezeigt. Die Ereignis-ID 2889 wird bei Verwendung integrierter Windows-Authentifizierung eher als Anomalie denn als Sicherheitsrisiko erzeugt. Weitere Informationen zur Ereignis-ID 2889 finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/78644.

Tabelle 2. Hinzufügen von Einstellungen der Identitätsquelle
Textfeld Beschreibung
Domänenname FQDN des Domänennamens, zum Beispiel „mydomain.com“. Geben Sie keine IP-Adresse an. Dieser Domänenname muss durch das vCenter Server-System per DNS auflösbar sein.
Maschinenkonto verwenden Wählen Sie diese Option aus, um das Konto der lokalen Maschine als SPN zu verwenden. Mit dieser Option geben Sie nur den Domänennamen an. Verwenden Sie diese Option nicht, wenn Sie diese Maschine voraussichtlich umbenennen werden.
SPN (Dienstprinzipalname) verwenden Wählen Sie diese Option aus, wenn Sie die lokale Maschine voraussichtlich umbenennen werden. Sie müssen einen SPN, einen Benutzer, der sich mit der Identitätsquelle authentifizieren kann, und ein Kennwort für den Benutzer angeben.
SPN (Dienstprinzipalname) Der SPN, mit dem Kerberos den Active Directory-Dienst identifiziert. Schließen Sie die Domäne in den Namen ein. Beispiel: „STS/example.com“.

Der SPN muss innerhalb der Domäne eindeutig sein. Durch Ausführen des Befehls setspn -S wird sichergestellt, dass keine Duplikate erstellt werden. Weitere Informationen zu setspn finden Sie in der Microsoft-Dokumentation.

UPN (Benutzerprinzipalname)

Kennwort

Der Name und das Kennwort eines Benutzers, der sich mit dieser Identitätsquelle authentifizieren kann. Verwenden Sie beispielsweise folgendes E-Mail-Adressformat: [email protected]. Den Benutzerprinzipalnamen können Sie mit dem Active Directory-Dienstschnittstellen-Editor (ADSI Edit) überprüfen.

Hinzufügen oder Entfernen einer Identitätsquelle mithilfe der CLI

Sie können das Dienstprogramm sso-config verwenden, um eine Identitätsquelle hinzuzufügen oder zu entfernen.

Bei einer Identitätsquelle kann es sich um eine native Active Directory-Domäne (integrierte Windows-Authentifizierung), AD über LDAP, AD über LDAP unter Verwendung von LDAPS (LDAP über SSL) oder OpenLDAP handeln. Weitere Informationen hierzu finden Sie unter Identitätsquellen für vCenter Server mit vCenter Single Sign On. Sie können auch das Dienstprogramm sso-config verwenden, um die Smartcard- und RSA SecurID-Authentifizierung einzurichten.

Voraussetzungen

Wenn Sie eine Active Directory-Identitätsquelle hinzufügen, muss sich der vCenter Server in der Active Directory-Domäne befinden. Weitere Informationen hierzu finden Sie unter Hinzufügen von vCenter Server zu einer Active Directory-Domäne.

Aktivieren Sie die SSH-Anmeldung. Weitere Informationen hierzu finden Sie unter Verwalten von vCenter Server über die vCenter Server-Shell.

Prozedur

  1. Verwenden Sie SSH oder eine andere Remotekonsolenverbindung, um eine Sitzung auf dem vCenter Server-System zu starten.
  2. Melden Sie sich als „root“ an.
  3. Wechseln Sie in das Verzeichnis, in dem sich das Dienstprogramm sso-config befindet. 
    cd /opt/vmware/bin
  4. Beispiele für die Verwendung erhalten Sie, indem Sie die sso-config-Hilfe durch Ausführung von sso-config.sh -help aufrufen oder den VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/67304 lesen.