Puede unir vCenter Server a un dominio de Active Directory. Puede asociar los usuarios y grupos del dominio de Active Directory a su dominio de vCenter Single Sign-On. Puede abandonar el dominio de Active Directory.

Importante: No se admite la unión de vCenter Server a un dominio de Active Directory con una controladora de dominio de solo lectura (Read-Only Domain Controller, RODC). Solo puede unir vCenter Server a un dominio de Active Directory con una controladora de dominio que permita escritura.

Si desea configurar permisos para que los usuarios y grupos del dominio de Active Directory puedan acceder a los componentes de vCenter Server, debe unir la instancia de vCenter Server al dominio de Active Directory.

Por ejemplo, para permitir que un usuario de Active Directory inicie sesión en la instancia de vCenter Server mediante vSphere Client, debe unir la instancia de vCenter Server al dominio de Active Directory y asignar la función de administrador a este usuario.

Requisitos previos

  • Compruebe que el usuario que inicia sesión en la instancia de vCenter Server sea miembro del grupo SystemConfiguration.Administrators en vCenter Single Sign-On.

  • Compruebe que el nombre del sistema del dispositivo sea un FQDN. Si, durante la implementación del dispositivo, se establece una dirección IP como nombre del sistema, no se puede unir vCenter Server al dominio de Active Directory.

Procedimiento

  1. Utilice vSphere Client para iniciar sesión como administrator@su_nombre_de_dominio en la instancia de vCenter Server.
  2. En el menú vSphere Client, seleccione Administración.
  3. Seleccione Single Sign On > Configuración.
  4. Haga clic en la pestaña Proveedor de identidad y seleccione Dominio de Active Directory como el tipo de proveedor de identidad.
  5. Haga clic en Unirse a AD.
  6. En la ventana Unirse a dominio de Active Directory, proporcione los siguientes detalles.
    Opción Descripción
    Dominio Nombre de dominio de Active Directory, por ejemplo, midominio.com. No proporcione una dirección IP en este cuadro de texto.
    Unidad de organización (opcional) El FQDN de LDAP de unidad de organización (UO) completo, por ejemplo, OU=Engineering, DC=midominio, DC=com.
    Importante: Use este cuadro de texto solo si está familiarizado con LDAP.
    Nombre de usuario Nombre de usuario en el formato de nombre principal de usuario (User Principal Name, UPN); por ejemplo, [email protected].
    Importante: No se admite el formato de nombre de inicio de sesión de nivel inferior (por ejemplo, DOMINIO\NombreDeUsuario).
    Contraseña Contraseña del usuario.
    Nota: Reinicie el nodo para aplicar los cambios.
  7. Haga clic en UNIR para unir vCenter Server al dominio de Active Directory.
    La operación se completa correctamente de forma silenciosa y se puede ver que la opción Unirse a AD cambia a Abandonar AD.
  8. (opcional) Para abandonar el dominio de Active Directory, haga clic en ABANDONAR AD.
  9. Reinicie vCenter Server para aplicar los cambios.
    Importante: Si no reinicia vCenter Server, podrían surgir problemas al utilizar vSphere Client.
  10. Seleccione la pestaña Orígenes de identidad y haga clic en Agregar.
    1. En la ventana Agregar origen de identidad, seleccione Active Directory (autenticación integrada de Windows) como el tipo de origen de identidad.
    2. Introduzca la configuración del origen de identidad del dominio de Active Directory que se unió y haga clic en AGREGAR.
      Tabla 1. Agregar opciones de orígenes de identidad
      Cuadro de texto Descripción
      Nombre de dominio Nombre de dominio completo. No proporcione una dirección IP en este cuadro de texto.
      Usar cuenta de equipo Seleccione esta opción para usar la cuenta de equipo local como el SPN. Si selecciona esta opción, solo debe especificar el nombre de dominio. No seleccione esta opción si desea cambiar el nombre de este equipo.
      Usar nombre de entidad de seguridad de servicio (SPN) Seleccione esta opción si desea cambiar el nombre del equipo local. Debe especificar un SPN, un usuario que pueda autenticarse con el origen de identidad y una contraseña para el usuario.
      Nombre de entidad de seguridad de servicio SPN ayuda a que Kerberos identifique el servicio de Active Directory. Incluya un dominio en el nombre (por ejemplo, STS/ejemplo.com).

      Es posible que deba ejecutar setspn -S para agregar el usuario que desea utilizar. Consulte la documentación de Microsoft para obtener información sobre setspn.

      El SPN debe ser único en todo el dominio. La ejecución de setspn -S comprueba que no se creen duplicados.

      Nombre de usuario Nombre de un usuario que pueda autenticarse con este origen de identidad. Utilice el formato de dirección de correo electrónico (por ejemplo, [email protected]). Puede comprobar el nombre principal de usuario con el editor de interfaces del servicio de Active Directory (editor ADSI).
      Contraseña La contraseña del usuario que se utiliza para autenticarse en este origen de identidad, que es el usuario especificado en Nombre principal de usuario. Incluya el nombre de dominio; por ejemplo, [email protected].

Resultados

En la pestaña Orígenes de identidad, puede ver el dominio de Active Directory que se unió.

Qué hacer a continuación

Puede configurar permisos para que los usuarios y grupos del dominio de Active Directory puedan acceder a los componentes de vCenter Server. Para obtener información acerca de la administración de permisos, consulte la documentación sobre Seguridad de vSphere.