Los usuarios pueden iniciar sesión en vCenter Server solo si están en un dominio que se agregó como origen de identidad de vCenter Single Sign-On. Los usuarios administradores de vCenter Single Sign-On pueden agregar orígenes de identidad o cambiar la configuración de los orígenes de identidad que agregaron.

Un origen de identidad puede ser un dominio de Active Directory en LDAP, un dominio nativo de Active Directory (autenticación integrada de Windows) o un servicio de directorio de OpenLDAP. Consulte Orígenes de identidad para vCenter Server con vCenter Single Sign-On.

Inmediatamente después de la instalación, está disponible el dominio vsphere.local (o el dominio que especificó durante la instalación) con los usuarios internos de vCenter Single Sign-On.

Nota:

Si actualizó o reemplazó el certificado SSL de Active Directory, debe eliminar y volver a agregar el origen de identidad en vCenter Server.

Requisitos previos

Si va a agregar un origen de identidad de Active Directory (autenticación integrada de Windows), vCenter Server debe estar en el dominio de Active Directory. Consulte Agregar una instancia de vCenter Server a un dominio de Active Directory.

Procedimiento

  1. Inicie sesión con vSphere Client en vCenter Server.
  2. Especifique el nombre de usuario y la contraseña para [email protected] u otro miembro del grupo de administradores de vCenter Single Sign-On.
    Si especificó otro dominio durante la instalación, inicie sesión como administrator@ mydomain.
  3. Desplácese hasta la interfaz de usuario de configuración.
    1. En el menú Inicio, seleccione Administración.
    2. En Single Sign On, haga clic en Configuración.
  4. En la pestaña Proveedor de identidad, haga clic en Orígenes de identidad y, a continuación, en Agregar.
  5. Seleccione el origen de identidad e introduzca su configuración.
    Opción Descripción
    Active Directory (autenticación integrada de Windows) Utilice esta opción para las implementaciones nativas de Active Directory. Si desea utilizar esta opción, la máquina en la que se ejecuta el servicio vCenter Single Sign-On debe estar en un dominio de Active Directory.

    Consulte Configurar orígenes de identidad de Active Directory.

    Active Directory en LDAP Esta opción requiere que especifique el controlador de dominio y otra información. Consulte Configurar orígenes de identidad de servidores OpenLDAP y Active Directory en LDAP.
    OpenLDAP Utilice esta opción para un origen de identidad OpenLDAP. Consulte Configurar orígenes de identidad de servidores OpenLDAP y Active Directory en LDAP.
    Nota:

    Si se bloquea o se desactiva la cuenta, las autenticaciones y las búsquedas de grupos y de usuarios en el dominio de Active Directory no funcionan. La cuenta del usuario debe tener acceso de solo lectura a la unidad organizativa del usuario y del grupo, y debe poder leer los atributos del usuario y del grupo. Active Directory ofrece este acceso de manera predeterminada. Utilice un usuario de servicio especial para obtener una mayor seguridad.

  6. Haga clic en Agregar.

Qué hacer a continuación

Al principio, se asigna la función Sin acceso a cada usuario. Un administrador de vCenter Server debe asignar al menos la función Solo lectura al usuario para que pueda iniciar sesión. Consulte el tema sobre el uso de funciones para asignar privilegios en la documentación de Seguridad de vSphere.

Configurar orígenes de identidad de servidores OpenLDAP y Active Directory en LDAP

El origen de identidad de Active Directory en LDAP es preferible a la opción de Active Directory (autenticación de Windows integrada). El origen de identidad de servidores OpenLDAP está disponible para los entornos que usan OpenLDAP.

Si planea configurar un origen de identidad de OpenLDAP, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/2064977 para ver los requisitos adicionales.

Importante: Los grupos de orígenes de identidad de AD sobre LDAP no pueden utilizar usuarios en diferentes dominios, incluso si se crea un origen de identidad adicional para cada dominio.

Los grupos de orígenes de identidad de LDAP solo reconocen a los usuarios que existen en el DN base de usuarios especificado. Esto puede provocar problemas inesperados en entornos grandes de Active Directory con dominios secundarios. Por ejemplo, supongamos el siguiente escenario:

  1. Un bosque de Active Directory con dos dominios secundarios: ChildA y ChildB.
  2. Una instancia de vCenter Server configurada con dos orígenes de identidad de AD sobre LDAP, uno para el dominio secundario ChildA y otro para el dominio secundario ChildB.
  3. ChildA contiene dos usuarios denominados UserA1 y UserA2.
  4. ChildB contiene dos usuarios denominados UserB1 y UserB2.

El administrador de vCenter Server crea un grupo en ChildA denominado TestGroup que contiene UserA1, UserA2, UserB1 y UserB2. El administrador de vCenter Server concede privilegios de inicio de sesión (o cualquiera) a TestGroup. Lamentablemente, UserB1 y UserB2 no pueden iniciar sesión porque residen en un dominio diferente al del grupo.

Como solución alternativa, haga lo siguiente:

  1. Cree otro grupo denominado SecondTestGroup en ChildB.
  2. Elimine UserB1 y UserB2 de TestGroup.
  3. Agregue UserB1 y UserB2 a SecondTestGroup.
  4. En vCenter Server, asigne a SecondTestGroup los mismos privilegios que se concedieron a TestGroup.
Nota: Microsoft Windows cambió el comportamiento predeterminado de Active Directory para exigir una autenticación y un cifrado seguros. Este cambio afecta el modo en que vCenter Server se autentica en Active Directory. Si utiliza Active Directory como origen de identidad para vCenter Server, debe habilitar LDAPS. Para obtener más información sobre esta actualización de seguridad de Microsoft, consulte https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023 y https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html.
Tabla 1. Configuración de orígenes de servidores OpenLDAP y Active Directory en LDAP
Opción Descripción
Nombre Nombre del origen de identidad.
DN base para usuarios El nombre distintivo base para los usuarios. Introduzca el DN desde el que se iniciarán las búsquedas de usuarios. Por ejemplo, cn=Users,dc=myCorp,dc=com.
DN base para grupos El nombre distintivo base de los grupos. Introduzca el DN a partir del que se iniciarán las búsquedas de grupos. Por ejemplo, cn=Groups,dc=myCorp,dc=com.
Nombre de dominio El nombre de dominio completo.
Alias de dominio Para los orígenes de identidad de Active Directory, el nombre de NetBIOS del dominio. Si usa autenticaciones de SSPI, agregue el nombre de NetBIOS del dominio de Active Directory como alias del origen de identidad.

Para los orígenes de identidad de OpenLDAP, si no se especifica un alias, se agrega el nombre del dominio en mayúsculas.

Nombre de usuario Identificador de un usuario del dominio que tiene, como mínimo, acceso de solo lectura al DN base para los usuarios y los grupos. El identificador puede tener cualquiera de estos formatos:
  • UPN ([email protected])
  • NetBIOS (DOMINIO\usuario)
  • DN (cn=usuario,cn=Usuarios,dc=dominio,dc=com)
El nombre de usuario debe ser completo. Una entrada de "usuario" no funciona.
Contraseña Contraseña del usuario especificado en el campo Nombre de usuario.
Conectar con Controladora de dominio a la cual conectarse. Puede ser cualquier controladora de dominio en el dominio o controladoras específicas.
URL de servidor principal El servidor LDAP de la controladora de dominio principal para el dominio. Puede utilizar el nombre de host o la dirección IP.

Use el formato ldap://nombre de host o dirección IP:puerto o ldaps://nombre de host o dirección IP:puerto. Por lo general, el puerto es el 389 para las conexiones de LDAP y 636 para las conexiones de LDAPS. Para las implementaciones de controladoras de varios dominios de Active Directory, el puerto suele ser el 3268 para las conexiones de LDAP y el 3269 para las conexiones de LDAPS.

Se necesita un certificado que establezca la confianza para el endpoint de LDAPS del servidor Active Directory cuando se usa ldaps:// en la dirección URL del servidor LDAP principal o secundario.

URL de servidor secundario Dirección de un servidor LDAP del controlador de dominio secundario que se utiliza cuando el controlador de dominio principal no está disponible. Puede utilizar el nombre de host o la dirección IP. Para cada operación LDAP, vCenter Server siempre prueba con el controlador de dominio principal antes de conmutar por recuperación al controlador de dominio secundario. Esto puede provocar que los inicios de sesión de Active Directory tarden más tiempo e incluso generen errores cuando el controlador de dominio principal no está disponible.
Nota: Cuando se produce un error en el controlador de dominio principal, es posible que el controlador de dominio secundario no asuma la función automáticamente.
Certificados (para LDAPS) Si desea utilizar LDAPS con su origen de identidad de servidor Active Directory LDAP o servidor OpenLDAP, haga clic en Navegar para seleccionar un certificado que se exportó del controlador de dominio especificado en la URL de LDAPS. (Tenga en cuenta que el certificado utilizado aquí no es un certificado de CA raíz). Para exportar el certificado de Active Directory, consulte la documentación de Microsoft.

Puede buscar y seleccionar varios certificados.

Sugerencia: Al buscar y seleccionar varios certificados, estos deben encontrarse en el mismo directorio.

vCenter Server solo confía en certificados que estén firmados directamente por una entidad de certificación registrada y de confianza. vCenter Server no rastrea una ruta de acceso hasta un certificado de CA registrada y solo comprueba si el certificado está firmado por una entidad de certificación registrada y de confianza. Siempre que el certificado esté firmado por una entidad de certificación de confianza pública o esté autofirmado, no es necesario realizar ninguna otra acción. Sin embargo, si crea sus propios certificados internos (es decir, utiliza una entidad de certificación privada), es posible que deba incluir esos certificados. Por ejemplo, si su organización utiliza una entidad de certificación raíz empresarial de Microsoft para generar el certificado LDAPS, también debe seleccionar el certificado raíz empresarial para agregarlo a vCenter Server. Asimismo, si utiliza entidades de certificación intermedias entre el certificado LDAPS y el certificado raíz empresarial, también debe seleccionar esos certificados intermedios para agregarlos a vCenter Server.

Configurar orígenes de identidad de Active Directory

Si selecciona el tipo de origen de identidad de Active Directory (autenticación integrada de Windows), puede usar la cuenta de equipo local como un nombre de entidad de seguridad de servicio (Service Principal Name, SPN) o especificar un SPN explícitamente. Puede usar esta opción únicamente si el servidor vCenter Single Sign-On está asociado a un dominio de Active Directory.

Requisitos previos para el uso de un origen de identidad de Active Directory (autenticación integrada de Windows)

Puede configurar vCenter Single Sign-On para que use un origen de identidad de Active Directory (autenticación integrada de Windows) solo si ese origen de identidad está disponible. Siga las instrucciones en la documentación de Configuración de vCenter Server.

Nota: Active Directory (autenticación integrada de Windows) usa siempre la raíz del bosque de dominios de Active Directory. Para configurar un origen de identidad para Autenticación integrada de Windows con un dominio secundario dentro del bosque de Active Directory, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/2070433.

Seleccione Usar cuenta de equipo para acelerar la configuración. Si desea cambiar el nombre del equipo local en el que se ejecuta vCenter Single Sign-On, es preferible que especifique un SPN explícitamente.

Si habilitó el registro de eventos de diagnóstico en Active Directory para identificar dónde es posible que se necesite una protección, puede que vea un evento de registro con el identificador 2889 en ese servidor de directorio. El identificador de evento 2889 se genera como una anomalía en lugar de un riesgo de seguridad cuando se utiliza la autenticación integrada de Windows. Para obtener más información sobre el identificador de evento 2889, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/78644.

Tabla 2. Agregar opciones de orígenes de identidad
Cuadro de texto Descripción
Nombre de dominio FQDN del nombre de dominio (por ejemplo, midominio.com). No incluya una dirección IP. El sistema vCenter Server debe poder resolver este nombre de dominio mediante DNS.
Usar cuenta de equipo Seleccione esta opción para usar la cuenta de equipo local como el SPN. Si selecciona esta opción, solo debe especificar el nombre de dominio. No seleccione esta opción si desea cambiar el nombre de este equipo.
Usar nombre de entidad de seguridad de servicio (SPN) Seleccione esta opción si desea cambiar el nombre del equipo local. Debe especificar un SPN, un usuario que pueda autenticarse con el origen de identidad y una contraseña para el usuario.
Nombre de entidad de seguridad de servicio (SPN) SPN ayuda a que Kerberos identifique el servicio de Active Directory. Incluya un dominio en el nombre (por ejemplo, STS/ejemplo.com).

El SPN debe ser único en todo el dominio. La ejecución de setspn -S comprueba que no se creen duplicados. Consulte la documentación de Microsoft para obtener información sobre setspn.

Nombre principal de usuario (UPN)

Contraseña

Nombre y contraseña de un usuario que puede autenticarse con este origen de identidad. Utilice el formato de dirección de correo electrónico (por ejemplo, [email protected]). Puede comprobar el nombre principal de usuario con el editor de interfaces del servicio de Active Directory (editor ADSI).

Agregar o quitar un origen de identidad mediante la CLI

Puede usar la utilidad sso-config para agregar o quitar un origen de identidad.

Un origen de identidad puede ser un dominio nativo de Active Directory (autenticación integrada de Windows), AD over LDAP, AD over LDAP using LDAPS (LDAP over SSL) u OpenLDAP. Consulte Orígenes de identidad para vCenter Server con vCenter Single Sign-On. También puede utilizar la utilidad sso-config para configurar la autenticación de tarjeta inteligente y de RSA SecurID.

Requisitos previos

Si va a agregar un origen de identidad de Active Directory, vCenter Server debe estar en el dominio de Active Directory. Consulte Agregar una instancia de vCenter Server a un dominio de Active Directory.

Habilite el inicio de sesión en SSH. Consulte Administrar vCenter Server mediante el shell de vCenter Server.

Procedimiento

  1. Utilice SSH u otra conexión de consola remota para iniciar una sesión en el sistema de vCenter Server.
  2. Inicie sesión como raíz.
  3. Pase al directorio donde se ubica la utilidad sso-config. 
    cd /opt/vmware/bin
  4. Para consultar la ayuda de sso-config, ejecute sso-config.sh -help o vea el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/67304 para obtener ejemplos de uso.