Puede unirse a un dispositivo de Platform Services Controller o vCenter Server Appliance con una instancia de Platform Services Controller integrada a un dominio de Active Directory. Puede asociar los usuarios y grupos del dominio de Active Directory a su dominio de vCenter Single Sign-On.

Por qué y cuándo se efectúa esta tarea

Importante:

No se admite la unión de un dispositivo de Platform Services Controller o una instancia de vCenter Server Appliance con una instancia integrada de Platform Services Controller a un dominio de Active Directory que tenga un controlador de dominio de solo lectura (Read-Only Domain Controller, RODC). Puede unir Platform Services Controller o vCenter Server Appliance con una instancia integrada de Platform Services Controller solo a un dominio de Active Directory que tenga un controlador de dominio que permita escritura.

Si desea configurar permisos para usuarios y grupos de un dominio de Active Directory para acceder a los componentes de vCenter Server, debe unir la instancia asociada integrada o externa de Platform Services Controller al dominio de Active Directory.

Por ejemplo, para permitir que un usuario de Active Directory inicie sesión en la instancia de vCenter Server en vCenter Server Appliance con una instancia integrada de Platform Services Controller mediante el uso de vSphere Web Clientcon autenticación de sesión de Windows (SSPI), debe unir vCenter Server Appliance al dominio de Active Directory y asignar la función de administrador a este usuario. Para permitir que un usuario de Active Directory inicie sesión en una instancia de vCenter Server que usa un dispositivo externo de Platform Services Controller mediante el uso de vSphere Web Client con SSPI, se debe unir el dispositivo de Platform Services Controller al dominio de Active Directory y asignar la función de administrador a este usuario.

Requisitos

  • Compruebe que el usuario que inicia sesión en la instancia de vCenter Server en vCenter Server Appliance sea miembro del grupo SystemConfiguration.Administrators en vCenter Single Sign-On.

  • Compruebe que el nombre del sistema del dispositivo sea un FQDN. Si, durante la implementación del dispositivo, se establece una dirección IP como nombre del sistema, vCenter Server Appliance no se puede unir al dominio de Active Directory.

Procedimiento

  1. Utilice vSphere Web Client para iniciar sesión como administrator@your_domain_name en la instancia de vCenter Server en vCenter Server Appliance.

    La dirección es del tipo http://appliance-IP-address-or-FQDN/vsphere-client.

  2. En la página principal de vSphere Web Client, pase el cursor sobre el icono Inicio, haga clic en Inicio y seleccione Configuración del sistema.
  3. En Implementación, haga clic en Configuración del sistema.
  4. En Configuración del sistema, haga clic en Nodos.
  5. En Nodos, seleccione un nodo y haga clic en la pestaña Administrar.
  6. En Opciones avanzadas, seleccione Active Directory y haga clic en Unir.
  7. Escriba los detalles de Active Directory.

    Opción

    Descripción

    Dominio

    Nombre de dominio de Active Directory, por ejemplo, mydomain.com. No proporcione una dirección IP en este cuadro de texto.

    Unidad organizativa

    Opcional. El FQDN de LDAP de UO completo, por ejemplo, OU=Engineering, DC=mydomain, DC=com.

    Importante:

    Use este cuadro de texto solo si está familiarizado con LDAP.

    Nombre de usuario

    Nombre de usuario en el formato de nombre principal del usuario (UPN); por ejemplo, jchin@mydomain.com.

    Importante:

    No se admite el formato de nombre de inicio de sesión de nivel inferior; por ejemplo, DOMAIN\UserName.

    Contraseña

    Contraseña del usuario.

  8. Haga clic en Aceptar para unir vCenter Server Appliance al dominio de Active Directory.

    La operación se completa correctamente en forma silenciosa y se puede ver que el botón Unirse cambia a Salir.

  9. Haga clic con el botón derecho en el nodo que editó y seleccione Reiniciar para reiniciar el dispositivo, de modo que se apliquen los cambios.
    Importante:

    Si no reinicia el dispositivo, podrían surgir problemas al utilizar vSphere Web Client.

  10. Desplácese hasta Desplácese hasta > Single Sign-On > Configuración.
  11. En la pestaña Orígenes de identidad, haga clic en el icono Agregar origen de identidad.
  12. Seleccione Active Directory (autenticación integrada de Windows), introduzca la configuración del origen de identidad del dominio de Active Directory que se unió y haga clic en Aceptar.
    Tabla 1. Agregar opciones de orígenes de identidad

    Cuadro de texto

    Descripción

    Nombre de dominio

    FQDN del dominio. No proporcione una dirección IP en este cuadro de texto.

    Usar cuenta de equipo

    Seleccione esta opción para usar la cuenta de equipo local como el SPN. Si selecciona esta opción, solo debe especificar el nombre de dominio. No seleccione esta opción si desea cambiar el nombre de este equipo.

    Utilización del nombre principal de servicio (SPN)

    Seleccione esta opción si desea cambiar el nombre del equipo local. Debe especificar un SPN, un usuario que pueda autenticarse con el origen de identidad y una contraseña para el usuario.

    Nombre principal del servicio (SPN)

    SPN ayuda a que Kerberos identifique el servicio de Active Directory. Incluya un dominio en el nombre; por ejemplo, STS/ejemplo.com.

    Es posible que deba ejecutar setspn -S para agregar el usuario que desea utilizar. Consulte la documentación de Microsoft para obtener información sobre setspn.

    El SPN debe ser único en todo el dominio. La ejecución de setspn -S comprueba que no se creen duplicados.

    Nombre principal del usuario (UPN)

    Nombre de un usuario que pueda autenticarse con este origen de identidad. Utilice el formato de dirección de correo electrónico; por ejemplo, jchin@midominio.com. Puede comprobar el nombre de entidad de seguridad de usuario con el editor de interfaces del servicio de Active Directory (editor ADSI).

    Contraseña

    La contraseña del usuario que se utiliza para autenticarse en este origen de identidad, que es el usuario especificado en Nombre de entidad de seguridad de usuario. Incluya el nombre de dominio; por ejemplo, jdoe@ejemplo.com.

Resultados

En la pestaña Orígenes de identidad, puede ver el dominio de Active Directory que se unió.

Qué hacer a continuación

Puede configurar permisos para usuarios y grupos del dominio de Active Directory que se unió para acceder a los componentes de vCenter Server. Para obtener información acerca de la administración de permisos, consulte la documentación sobre Seguridad de vSphere.