El origen de identidad de Active Directory en LDAP es preferible a la opción de Active Directory (autenticación de Windows integrada). El origen de identidad de servidores OpenLDAP está disponible para los entornos que usan OpenLDAP.

Si planea configurar un origen de identidad de OpenLDAP, consulte el artículo de la base de conocimientos de VMware en http://kb.vmware.com/kb/2064977 para obtener información sobre los requisitos adicionales.

Nota: Una actualización futura a Microsoft Windows cambiará el comportamiento predeterminado de Active Directory para exigir una autenticación y un cifrado seguros. Este cambio afectará al modo en que vCenter Server se autentica en Active Directory. Si utiliza Active Directory como origen de identidad para vCenter Server, debe tener previsto habilitar LDAP. Para obtener más información sobre esta actualización de seguridad de Microsoft, consulte https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023 y https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html.
Tabla 1. Configuración de orígenes de servidores OpenLDAP y Active Directory en LDAP
Opción Descripción
Nombre Nombre del origen de identidad.
DN base para usuarios El nombre distintivo base para los usuarios. Introduzca el DN desde el que se iniciarán las búsquedas de usuarios. Por ejemplo, cn=Users,dc=myCorp,dc=com.
DN base para grupos El nombre distintivo base de los grupos. Introduzca el DN a partir del que se iniciarán las búsquedas de grupos. Por ejemplo, cn=Groups,dc=myCorp,dc=com.
Nombre de dominio El nombre de dominio completo.
Alias de dominio Para los orígenes de identidad de Active Directory, el nombre de NetBIOS del dominio. Si usa autenticaciones de SSPI, agregue el nombre de NetBIOS del dominio de Active Directory como alias del origen de identidad.

Para los orígenes de identidad de OpenLDAP, si no se especifica un alias, se agrega el nombre del dominio en mayúsculas.

Nombre de usuario Identificador de un usuario del dominio que tiene, como mínimo, acceso de solo lectura al DN base para los usuarios y los grupos. El identificador puede tener cualquiera de estos formatos:
  • UPN ([email protected])
  • NetBIOS (DOMINIO\usuario)
  • DN (cn=usuario,cn=Usuarios,dc=dominio,dc=com)
El nombre de usuario debe ser completo. Una entrada de "usuario" no funciona.
Contraseña Contraseña del usuario especificado en el campo Nombre de usuario.
Conectar con Controladora de dominio a la cual conectarse. Puede ser cualquier controladora de dominio en el dominio o controladoras específicas.
URL de servidor principal El servidor LDAP de la controladora de dominio principal para el dominio. Puede utilizar el nombre de host o la dirección IP.

Use el formato ldap://nombre de host o dirección IP:puerto o ldaps://nombre de host o dirección IP:puerto. Por lo general, el puerto es el 389 para las conexiones de LDAP y 636 para las conexiones de LDAPS. Para las implementaciones de controladoras de varios dominios de Active Directory, el puerto suele ser el 3268 para las conexiones de LDAP y el 3269 para las conexiones de LDAPS.

Se necesita un certificado que establezca la confianza para el endpoint de LDAPS del servidor Active Directory cuando se usa ldaps:// en la dirección URL del servidor LDAP principal o secundario.

URL de servidor secundario Dirección de un servidor LDAP de controladora de dominio secundario que se usa para la conmutación por error. Puede utilizar el nombre de host o la dirección IP.
Certificados (para LDAPS) Si desea utilizar LDAPS con su origen de identidad de servidor Active Directory LDAP o servidor OpenLDAP, haga clic en Navegar para seleccionar un certificado que se exportó del controlador de dominio especificado en la URL de LDAPS. (Tenga en cuenta que el certificado utilizado aquí no es un certificado de CA raíz). Para exportar el certificado de Active Directory, consulte la documentación de Microsoft.