Si selecciona el tipo de origen de identidad de Active Directory (autenticación de Windows integrada), puede usar la cuenta de equipo local como un nombre de entidad de seguridad de servicio (Service Principal Name, SPN) o especificar un SPN explícitamente. Puede usar esta opción únicamente si el servidor vCenter Single Sign-On está asociado a un dominio de Active Directory.
Requisitos previos para usar un origen de identidad de Active Directory
- Para una instalación de Windows, únase al equipo Windows en el dominio de Active Directory.
- Para vCenter Server Appliance, siga las instrucciones en la documentación de Configuración de vCenter Server Appliance.
Seleccione Usar cuenta de equipo para acelerar la configuración. Si desea cambiar el nombre del equipo local en el que se ejecuta vCenter Single Sign-On, es preferible que especifique un SPN explícitamente.
Si habilitó el registro de eventos de diagnóstico en Active Directory para identificar dónde es posible que se necesite una protección, puede que vea un evento de registro con el identificador 2889 en ese servidor de directorio. El identificador de evento 2889 se genera como una anomalía en lugar de un riesgo de seguridad cuando se utiliza la autenticación integrada de Windows. Para obtener más información sobre el identificador de evento 2889, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/78644.
Cuadro de texto | Descripción |
---|---|
Nombre de dominio | FQDN del nombre de dominio (por ejemplo, midominio.com). No incluya una dirección IP. El sistema vCenter Server debe poder resolver este nombre de dominio mediante DNS. Si utiliza vCenter Server Appliance, use la información sobre la configuración de parámetros de red para actualizar la configuración del servidor DNS. |
Usar cuenta de equipo | Seleccione esta opción para usar la cuenta de equipo local como el SPN. Si selecciona esta opción, solo debe especificar el nombre de dominio. No seleccione esta opción si desea cambiar el nombre de este equipo. |
Usar nombre de entidad de seguridad de servicio (SPN) | Seleccione esta opción si desea cambiar el nombre del equipo local. Debe especificar un SPN, un usuario que pueda autenticarse con el origen de identidad y una contraseña para el usuario. |
Nombre de entidad de seguridad de servicio (SPN) | SPN ayuda a que Kerberos identifique el servicio de Active Directory. Incluya un dominio en el nombre (por ejemplo, STS/ejemplo.com). El SPN debe ser único en todo el dominio. La ejecución de setspn -S comprueba que no se creen duplicados. Consulte la documentación de Microsoft para obtener información sobre setspn. |
Nombre principal de usuario (UPN) Contraseña |
Nombre y contraseña de un usuario que puede autenticarse con este origen de identidad. Utilice el formato de dirección de correo electrónico (por ejemplo, [email protected]). Puede comprobar el nombre principal de usuario con el editor de interfaces del servicio de Active Directory (editor ADSI). |