La source d'identité d'Active Directory over LDAP est préférable à l'option Active Directory (authentification Windows intégrée). La source d'identité du serveur OpenLDAP est disponible pour les environnements qui utilisent OpenLDAP.

Si vous configurez une source d'identité OpenLDAP, consultez l'article de la base de connaissances VMware accessible à l'adresse http://kb.vmware.com/kb/2064977 pour connaître les exigences supplémentaires.

Note : Une prochaine mise à jour de Microsoft Windows modifiera le comportement par défaut d'Active Directory pour exiger une authentification renforcée et un chiffrement fort. Cette modification aura un impact sur la manière dont vCenter Server s'authentifie avec Active Directory. Si vous utilisez Active Directory comme source d'identité pour vCenter Server, vous devez prévoir d'activer LDAPS. Pour plus d'informations sur cette mise à jour de sécurité Microsoft, consultez https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023 et https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html.
Tableau 1. Paramètres d'Active Directory over LDAP et du serveur OpenLDAP
Option Description
Nom Nom de la source d'identité.
Nom unique de base des utilisateurs Nom unique de base pour les utilisateurs. Entrez le nom de domaine (DN) à partir duquel lancer les recherches d'utilisateurs. Par exemple, cn=Users, dc=myCorp, dc=com.
Nom unique de base des groupes Nom unique de base pour les groupes. Entrez le nom unique à partir duquel lancer les recherches de groupes. Par exemple, cn=Groups, dc=myCorp, dc=com.
Nom de domaine Nom de domaine complet du domaine.
Alias de domaine Pour les sources d'identité Active Directory, le nom NetBIOS du domaine. Ajoutez le nom NetBIOS du domaine Active Directory en tant qu'alias de la source d'identité si vous utilisez les authentifications SSPI.

Pour les sources d'identité OpenLDAP, le nom du domaine en lettres majuscules est ajouté si vous ne spécifiez pas d'alias.

Nom d'utilisateur ID d'un utilisateur du domaine qui dispose au minimum d'un accès en lecture seule au nom de domaine (DN) de base pour les utilisateurs et les groupes. L'ID peut être dans l'un des formats suivants : Le nom d'utilisateur doit être complet. L'entrée « user » ne fonctionne pas.
Mot de passe Mot de passe de l'utilisateur spécifié par Nom d'utilisateur.
Connexion à Contrôleur de domaine auquel se connecter. Il peut s'agir de n'importe quel contrôleur dans le domaine ou de contrôleurs spécifiques.
URL du serveur principal Serveur LDAP du contrôleur de domaine principale du domaine. Vous pouvez utiliser le nom d'hôte ou l'adresse IP.

Utilisez le format ldap://hostname_or_IPaddress:port ou ldaps://hostname_or_IPaddress:port. Le port est généralement 389 pour les connexions LDAP et 636 pour les connexions LDAPS. Pour les déploiements de contrôleurs multi-domaines Active Directory, le port est généralement 3268 pour les connexions LDAP et 3269 pour les connexions LDAPS.

Un certificat qui établit la confiance du point de terminaison LDAPS du serveur Active Directory est requis lorsque vous utilisez ldaps:// dans l'URL LDAP principale ou secondaire.

URL secondaire du serveur Adresse du serveur LDAP d'un contrôleur de domaine secondaire utilisé pour le basculement. Vous pouvez utiliser le nom d'hôte ou l'adresse IP.
Certificats (pour LDAPS) Si vous souhaitez utiliser LDAPS avec votre source d'identité du serveur Active Directory LDAP ou OpenLDAP , cliquez sur Parcourir pour sélectionner un certificat qui a été exporté à partir du contrôleur de domaine spécifié dans l'URL LDAPS. (Notez que le certificat utilisé ici n'est pas un certificat d'autorité de certification racine.) Pour exporter le certificat à partir de Active Directory, consultez la documentation Microsoft.