El origen de identidad de Active Directory en LDAP es preferible a la opción de Active Directory (autenticación de Windows integrada). El origen de identidad de servidores OpenLDAP está disponible para los entornos que usan OpenLDAP.

Si planea configurar un origen de identidad de OpenLDAP, consulte el artículo de la base de conocimientos de VMware en http://kb.vmware.com/kb/2064977 para obtener información sobre los requisitos adicionales.

Nota: Una actualización futura a Microsoft Windows cambiará el comportamiento predeterminado de Active Directory para exigir una autenticación y un cifrado seguros. Este cambio afectará al modo en que vCenter Server se autentica en Active Directory. Si utiliza Active Directory como origen de identidad para vCenter Server, debe tener previsto habilitar LDAP. Para obtener más información sobre esta actualización de seguridad de Microsoft, consulte https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023 y https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html.
Tabla 1. Configuración de servidores OpenLDAP y LDAP de Active Directory
Opción Descripción
Nombre Nombre del origen de identidad.
DN base para usuarios El nombre distintivo base para los usuarios. Introduzca el DN desde el que se iniciarán las búsquedas de usuarios. Por ejemplo, cn=Users,dc=myCorp,dc=com.
DN base para grupos El nombre distintivo base de los grupos. Introduzca el DN a partir del que se iniciarán las búsquedas de grupos. Por ejemplo, cn=Groups,dc=myCorp,dc=com.
Nombre de dominio El nombre de dominio completo.
Alias de dominio Para los orígenes de identidad de Active Directory, el nombre de NetBIOS del dominio. Si usa autenticaciones de SSPI, agregue el nombre de NetBIOS del dominio de Active Directory como alias del origen de identidad.

Para los orígenes de identidad de OpenLDAP, si no se especifica un alias, se agrega el nombre del dominio en mayúsculas.

Nombre de usuario Identificador de un usuario del dominio que tiene, como mínimo, acceso de solo lectura al DN base para los usuarios y los grupos. El identificador puede tener cualquiera de estos formatos:
  • UPN ([email protected])
  • NetBIOS (DOMINIO\usuario)
  • DN (cn=usuario,cn=Usuarios,dc=dominio,dc=com)

El nombre de usuario debe ser completo. Una entrada de "usuario" no funciona.
Contraseña Contraseña del usuario especificado en el campo Nombre de usuario.
Conectar con Controladora de dominio a la cual conectarse. Puede ser cualquier controladora de dominio en el dominio o controladoras específicas.
URL de servidor principal El servidor LDAP de la controladora de dominio principal para el dominio.

Use el formato ldap://nombre de host o dirección IP:puerto o ldaps://nombre de host o dirección IP:puerto. Por lo general, el puerto es el 389 para las conexiones de LDAP y 636 para las conexiones de LDAPS. Para las implementaciones de controladoras de varios dominios de Active Directory, el puerto suele ser el 3268 para las conexiones de LDAP y el 3269 para las conexiones de LDAPS.

Se necesita un certificado que establezca la confianza para el endpoint de LDAPS del servidor Active Directory cuando se usa ldaps:// en la dirección URL del servidor LDAP principal o secundario.

URL de servidor secundario Dirección de un servidor LDAP de controladora de dominio secundario que se usa para la conmutación por error.
certificados SSL Si desea utilizar LDAPS con el servidor de LDAP de Active Directory o el origen de identidad del servidor OpenLDAP, haga clic en Examinar para elegir un certificado. Para exportar el certificado de CA raíz de Active Directory, consulte la documentación de Microsoft.