Les utilisateurs peuvent se connecter à vCenter Server uniquement s'ils sont dans un domaine qui a été ajouté comme source d'identité vCenter Single Sign-On. Les utilisateurs administrateurs de vCenter Single Sign-On peuvent ajouter des sources d'identité ou modifier les paramètres des sources d'identité qu'ils ont ajoutées.

Une source d'identité peut être une source d'identité Active Directory sur LDAP, un domaine Active Directory natif (authentification Windows intégrée) ou un service d'annuaire OpenLDAP. Reportez-vous à la section Sources d'identité pour vCenter Server avec vCenter Single Sign-On.

Immédiatement après l'installation, le domaine vsphere.local (ou le domaine spécifié lors de l'installation) comportant les utilisateurs internes de vCenter Single Sign-On est disponible.

Note :

Si vous avez mis à jour ou remplacé votre certificat SSL Active Directory, vous devez supprimer et rajouter la source d'identité dans vCenter Server.

Conditions préalables

Si vous ajoutez une source d'identité Active Directory (authentification Windows intégrée), l'instance de vCenter Server doit être dans le domaine Active Directory. Reportez-vous à la section Ajouter une instance de vCenter Server à un domaine Active Directory.

Procédure

  1. Connectez-vous avec vSphere Client à l'instance de vCenter Server.
  2. Spécifiez le nom d'utilisateur et le mot de passe pour administrator@vsphere.local ou un autre membre du groupe d'administrateurs de vCenter Single Sign-On.
    Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tant qu'administrator@ mydomain.
  3. Accédez à l'interface utilisateur de configuration.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Single Sign-On, cliquez sur Configuration.
  4. Dans l'onglet Fournisseur d'identité, cliquez sur Sources d'identité, puis sur Ajouter.
  5. Sélectionnez la source d'identité et entrez les paramètres de source d'identité.
    Option Description
    Active Directory (authentification Windows intégrée) Utilisez cette option pour les mises en œuvre Active Directory natives. Si vous souhaitez utiliser cette option, la machine sur laquelle le service vCenter Single Sign-On s'exécute doit se trouver dans un domaine Active Directory.

    Reportez-vous à la section Paramètres de source d'identité Active Directory.

    Active Directory sur LDAP Cette option nécessite la spécification du contrôleur de domaine et d'autres informations. Reportez-vous à la section Paramètres d'Active Directory over LDAP et de la source d'identité du serveur OpenLDAP.
    OpenLDAP Utilisez cette option pour une source d'identité OpenLDAP. Reportez-vous à la section Paramètres d'Active Directory over LDAP et de la source d'identité du serveur OpenLDAP.
    Note :

    Si le compte d'utilisateur est verrouillé ou désactivé, les authentifications et les recherches d'utilisateurs et de groupes dans le domaine Active Directory échouent. Le compte d'utilisateur doit disposer d'un accès en lecture seule sur l'UO utilisateur et du groupe, et il doit être en mesure de lire les attributs de l'utilisateur et du groupe. Active Directory fournit cet accès par défaut. Utilisez un utilisateur spécial de service pour plus de sécurité.

  6. Cliquez sur Ajouter.

Que faire ensuite

Le rôle Aucun accès est attribué initialement à chaque utilisateur. Pour qu'un utilisateur puisse se connecter, un administrateur vCenter Server doit au moins lui attribuer le rôle Lecture seule. Consultez la documentation de Sécurité vSphere.

Paramètres d'Active Directory over LDAP et de la source d'identité du serveur OpenLDAP

La source d'identité d'Active Directory over LDAP est préférable à l'option Active Directory (authentification Windows intégrée). La source d'identité du serveur OpenLDAP est disponible pour les environnements qui utilisent OpenLDAP.

Si vous configurez une source d'identité OpenLDAP, consultez l'article de la base de connaissances VMware accessible à l'adresse http://kb.vmware.com/kb/2064977 pour connaître les exigences supplémentaires.

Note : Une prochaine mise à jour de Microsoft Windows modifiera le comportement par défaut d'Active Directory pour exiger une authentification renforcée et un chiffrement fort. Cette modification aura un impact sur la manière dont vCenter Server s'authentifie avec Active Directory. Si vous utilisez Active Directory comme source d'identité pour vCenter Server, vous devez prévoir d'activer LDAPS. Pour plus d'informations sur cette mise à jour de sécurité Microsoft, consultez https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023 et https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html.
Tableau 1. Paramètres d'Active Directory over LDAP et du serveur OpenLDAP
Option Description
Nom Nom de la source d'identité.
Nom unique de base des utilisateurs Nom unique de base pour les utilisateurs. Entrez le nom de domaine (DN) à partir duquel lancer les recherches d'utilisateurs. Par exemple, cn=Users, dc=myCorp, dc=com.
Nom unique de base des groupes Nom unique de base pour les groupes. Entrez le nom unique à partir duquel lancer les recherches de groupes. Par exemple, cn=Groups, dc=myCorp, dc=com.
Nom de domaine Nom de domaine complet du domaine.
Alias de domaine Pour les sources d'identité Active Directory, le nom NetBIOS du domaine. Ajoutez le nom NetBIOS du domaine Active Directory en tant qu'alias de la source d'identité si vous utilisez les authentifications SSPI.

Pour les sources d'identité OpenLDAP, le nom du domaine en lettres majuscules est ajouté si vous ne spécifiez pas d'alias.

Nom d'utilisateur ID d'un utilisateur du domaine qui dispose au minimum d'un accès en lecture seule au nom de domaine (DN) de base pour les utilisateurs et les groupes. L'ID peut être dans l'un des formats suivants :
  • UPN (user@domain.com)
  • NetBIOS (DOMAIN/user)
  • DN (cn=user,cn=Users,dc=domain,dc=com)
Le nom d'utilisateur doit être complet. L'entrée « user » ne fonctionne pas.
Mot de passe Mot de passe de l'utilisateur spécifié par Nom d'utilisateur.
Connexion à Contrôleur de domaine auquel se connecter. Il peut s'agir de n'importe quel contrôleur dans le domaine ou de contrôleurs spécifiques.
URL du serveur principal Serveur LDAP du contrôleur de domaine principale du domaine. Vous pouvez utiliser le nom d'hôte ou l'adresse IP.

Utilisez le format ldap://hostname_or_IPaddress:port ou ldaps://hostname_or_IPaddress:port. Le port est généralement 389 pour les connexions LDAP et 636 pour les connexions LDAPS. Pour les déploiements de contrôleurs multi-domaines Active Directory, le port est généralement 3268 pour les connexions LDAP et 3269 pour les connexions LDAPS.

Un certificat qui établit la confiance du point de terminaison LDAPS du serveur Active Directory est requis lorsque vous utilisez ldaps:// dans l'URL LDAP principale ou secondaire.

URL secondaire du serveur Adresse du serveur LDAP d'un contrôleur de domaine secondaire utilisé pour le basculement. Vous pouvez utiliser le nom d'hôte ou l'adresse IP.
Certificats SSL Si vous souhaitez utiliser LDAPS avec votre source d'identité du serveur Active Directory LDAP ou OpenLDAP, cliquez sur Parcourir pour sélectionner un certificat. Pour exporter le certificat d'une autorité de certification racine à partir d'Active Directory, consultez la documentation de Microsoft.

Paramètres de source d'identité Active Directory

Si vous sélectionnez le type de source d'identité Active Directory (authentification Windows intégrée), vous pouvez utiliser le compte de l'ordinateur local en tant que nom de principal du service (SPN, Service Principal Name) ou spécifier un SPN de manière explicite. Vous pouvez utiliser cette option uniquement si le serveur vCenter Single Sign-On est joint à un domaine Active Directory.

Conditions préalables à l'utilisation d'une source d'identité Active Directory (authentification Windows intégrée)

Vous pouvez configurer vCenter Single Sign-On pour utiliser une source d'identité Active Directory (authentification Windows intégrée) uniquement si cette source d'identité est disponible. Suivez les instructions de la documentation Configuration de vCenter Server.

Note : Active Directory (authentification Windows intégrée) utilise toujours la racine de la forêt du domaine Active Directory. Pour configurer votre source d'identité d'authentification Windows intégrée avec un domaine enfant dans votre forêt Active Directory, consultez l'article de la base de connaissances VMware accessible à l'adresse http://kb.vmware.com/kb/2070433.

Sélectionnez Utiliser un compte d'ordinateur pour accélérer la configuration. Si vous prévoyez de renommer l'ordinateur local sur lequel s'exécute vCenter Single Sign-On, il est préférable de spécifier un SPN de manière explicite.

Si vous avez activé la journalisation des événements de diagnostic dans votre annuaire Active Directory pour identifier vos besoins en sécurisation renforcée, vous pouvez voir un événement de journal avec l'ID d'événement 2889 sur ce serveur d'annuaire. L'ID d'événement 2889 est généré comme une anomalie plutôt qu'un risque de sécurité lorsque vous utilisez l'authentification Windows intégrée. Pour plus d'informations sur l'ID d'événement 2889, consultez l'article de la base de connaissances VMware https://kb.vmware.com/s/article/78644.

Tableau 2. Ajouter des paramètres de source d'identité
Zone de texte Description
Nom de domaine Nom de domaine complet du nom de domaine, par exemple mondomaine.com. Ne fournissez pas une adresse IP. Ce nom de domaine doit pouvoir être résolu par DNS par le système vCenter Server
Utiliser un compte d'ordinateur Sélectionnez cette option pour utiliser le compte de l'ordinateur local en tant que SPN. Lorsque vous sélectionnez cette option, vous spécifiez uniquement le nom de domaine. Si vous prévoyez de renommer l'ordinateur, ne sélectionnez pas cette option.
Utiliser le nom de principal du service (SPN) Sélectionnez cette option si vous prévoyez de renommer l'ordinateur local. Vous devez spécifier un SPN, un utilisateur pouvant s'authentifier auprès de la source d'identité et un mot de passe pour cet utilisateur.
Nom de principal du service (SPN) SPN permettant à Kerberos d'identifier le service Active Directory. Incluez le domaine dans le nom (STS/example.com, par exemple).

Le SPN doit être unique dans le domaine. L'exécution de la commande setspn -S permet de vérifier qu'aucun doublon n'est créé. Pour obtenir des informations sur l'outil de ligne de commande setspn, reportez-vous à la documentation de Microsoft.

Nom d'utilisateur principal (UPN)

Mot de passe

Nom et mot de passe d'un utilisateur pouvant s'authentifier auprès de cette source d'identité. Utilisez le format d'adresse e-mail ( jchin@mydomain.com, par exemple). Vous pouvez vérifier le nom d'utilisateur principal (UPN, User Principal Name) dans l'éditeur ASDI (Active Directory Service Interfaces Editor).

Ajouter ou supprimer une source d'identité à l'aide de l'interface de ligne de commande

Vous pouvez utiliser l'utilitaire sso-config pour ajouter ou supprimer une source d'identité.

Une source d'identité peut être un domaine Active Directory natif (authentification Windows intégrée), AD sur LDAP, AD sur LDAP avec LDAPS (LDAP sur SSL) ou OpenLDAP. Reportez-vous à la section Sources d'identité pour vCenter Server avec vCenter Single Sign-On. Vous pouvez également utiliser l'utilitaire sso-config pour configurer l'authentification par carte à puce et RSA SecurID.

Conditions préalables

Si vous ajoutez une source d'identité Active Directory, l'instance de vCenter Server doit être dans le domaine Active Directory. Reportez-vous à la section Ajouter une instance de vCenter Server à un domaine Active Directory.

Activez la connexion SSH. Reportez-vous à la section Gérer vCenter Server à l'aide du shell de vCenter Server.

Procédure

  1. Utilisez SSH ou une autre connexion de console à distance pour démarrer une session sur le système vCenter Server.
  2. Connectez-vous en tant qu'utilisateur racine.
  3. Modifiez vers le répertoire dans lequel l'utilitaire sso-config réside.
    cd /opt/vmware/bin
  4. Consultez l'aide de sso-config en exécutant sso-config.sh -help ou consultez l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/67304 pour obtenir des exemples d'utilisation.