Les utilisateurs peuvent se connecter à vCenter Server uniquement s'ils sont dans un domaine qui a été ajouté comme source d'identité vCenter Single Sign-On. Les utilisateurs administrateurs de vCenter Single Sign-On peuvent ajouter des sources d'identité ou modifier les paramètres des sources d'identité qu'ils ont ajoutées.

Une source d'identité peut être une source d'identité Active Directory sur LDAP, un domaine Active Directory natif (authentification Windows intégrée) ou un service d'annuaire OpenLDAP. Reportez-vous à la section Sources d'identité pour vCenter Server avec vCenter Single Sign-On.

Immédiatement après l'installation, le domaine vsphere.local (ou le domaine spécifié lors de l'installation) comportant les utilisateurs internes de vCenter Single Sign-On est disponible.

Note :

Si vous avez mis à jour ou remplacé votre certificat SSL Active Directory, vous devez supprimer et rajouter la source d'identité dans vCenter Server.

Conditions préalables

Si vous ajoutez une source d'identité Active Directory (authentification Windows intégrée), l'instance de vCenter Server doit être dans le domaine Active Directory. Reportez-vous à la section Ajouter une instance de vCenter Server à un domaine Active Directory.

Procédure

  1. Connectez-vous avec vSphere Client à l'instance de vCenter Server.
  2. Spécifiez le nom d'utilisateur et le mot de passe pour [email protected] ou un autre membre du groupe d'administrateurs de vCenter Single Sign-On.
    Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tant qu'administrator@ mydomain.
  3. Accédez à l'interface utilisateur de configuration.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Single Sign-On, cliquez sur Configuration.
  4. Dans l'onglet Fournisseur d'identité, cliquez sur Sources d'identité, puis sur Ajouter.
  5. Sélectionnez la source d'identité et entrez les paramètres de source d'identité.
    Option Description
    Active Directory (authentification Windows intégrée) Utilisez cette option pour les mises en œuvre Active Directory natives. Si vous souhaitez utiliser cette option, la machine sur laquelle le service vCenter Single Sign-On s'exécute doit se trouver dans un domaine Active Directory.

    Reportez-vous à la section Paramètres de source d'identité Active Directory.

    Active Directory sur LDAP Cette option nécessite la spécification du contrôleur de domaine et d'autres informations. Reportez-vous à la section Paramètres d'Active Directory over LDAP et de la source d'identité du serveur OpenLDAP.
    OpenLDAP Utilisez cette option pour une source d'identité OpenLDAP. Reportez-vous à la section Paramètres d'Active Directory over LDAP et de la source d'identité du serveur OpenLDAP.
    Note :

    Si le compte d'utilisateur est verrouillé ou désactivé, les authentifications et les recherches d'utilisateurs et de groupes dans le domaine Active Directory échouent. Le compte d'utilisateur doit disposer d'un accès en lecture seule sur l'UO utilisateur et du groupe, et il doit être en mesure de lire les attributs de l'utilisateur et du groupe. Active Directory fournit cet accès par défaut. Utilisez un utilisateur spécial de service pour plus de sécurité.

  6. Cliquez sur Ajouter.

Que faire ensuite

Le rôle Aucun accès est attribué initialement à chaque utilisateur. Pour qu'un utilisateur puisse se connecter, un administrateur vCenter Server doit au moins lui attribuer le rôle Lecture seule. Reportez-vous à la rubrique sur l'utilisation des rôles pour attribuer des privilèges dans la documentation de Sécurité vSphere.

Paramètres d'Active Directory over LDAP et de la source d'identité du serveur OpenLDAP

La source d'identité d'Active Directory over LDAP est préférable à l'option Active Directory (authentification Windows intégrée). La source d'identité du serveur OpenLDAP est disponible pour les environnements qui utilisent OpenLDAP.

Si vous configurez une source d'identité OpenLDAP, consultez l'article de la base de connaissances VMware accessible à l'adresse https://kb.vmware.com/s/article/2064977 pour en savoir plus sur les exigences supplémentaires.

Important : Les groupes dans les sources d'identité AD-over-LDAP ne peuvent pas utiliser des utilisateurs dans des domaines différents, même si vous créez une source d'identité supplémentaire pour chaque domaine.

Les groupes dans les sources d'identité LDAP reconnaissent uniquement les utilisateurs qui existent dans le nom unique de base de l'utilisateur spécifié. Cela peut entraîner des problèmes inattendus dans des environnements Active Directory de grande envergure comportant des domaines enfants. Par exemple, envisagez le scénario suivant :

  1. Une forêt Active Directory avec deux domaines enfants, ChildA et ChildB.
  2. Une instance de vCenter Server configurée avec deux sources d'identité AD-over-LDAP, l'une pour le domaine enfant ChildA et l'autre pour le domaine enfant ChildB.
  3. ChildA contient deux utilisateurs nommés UserA1 et UserA2.
  4. ChildB contient deux utilisateurs nommés UserB1 et UserB2.

L'administrateur vCenter Server crée un groupe dans ChildA nommé TestGroup qui contient UserA1, UserA2, UserB1 et UserB2. L'administrateur vCenter Server octroie des privilèges de connexion (ou d'autres) à TestGroup. Malheureusement, UserB1 et UserB2 ne peuvent pas se connecter, car ils résident dans un domaine différent de celui du groupe.

Pour contourner le problème, procédez comme suit :

  1. Créez un autre groupe nommé SecondTestGroup dans ChildB.
  2. Supprimez UserB1 et UserB2 de TestGroup.
  3. Ajoutez UserB1 et UserB2 à SecondTestGroup.
  4. Dans vCenter Server, attribuez à SecondTestGroup les mêmes privilèges que ceux qui ont été accordés à TestGroup.
Note : Microsoft Windows a modifié le comportement par défaut d'Active Directory pour exiger une authentification renforcée et un chiffrement fort. Cette modification aura une incidence sur la manière dont vCenter Server s'authentifie avec Active Directory. Si vous utilisez Active Directory comme source d'identité pour vCenter Server, vous devez prévoir d'activer LDAPS. Pour plus d'informations sur cette mise à jour de sécurité Microsoft, consultez https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023 et https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html.
Tableau 1. Paramètres d'Active Directory over LDAP et du serveur OpenLDAP
Option Description
Nom Nom de la source d'identité.
Nom unique de base des utilisateurs Nom unique de base pour les utilisateurs. Entrez le nom de domaine (DN) à partir duquel lancer les recherches d'utilisateurs. Par exemple, cn=Users, dc=myCorp, dc=com.
Nom unique de base des groupes Nom unique de base pour les groupes. Entrez le nom unique à partir duquel lancer les recherches de groupes. Par exemple, cn=Groups, dc=myCorp, dc=com.
Nom de domaine Nom de domaine complet du domaine.
Alias de domaine Pour les sources d'identité Active Directory, le nom NetBIOS du domaine. Ajoutez le nom NetBIOS du domaine Active Directory en tant qu'alias de la source d'identité si vous utilisez les authentifications SSPI.

Pour les sources d'identité OpenLDAP, le nom du domaine en lettres majuscules est ajouté si vous ne spécifiez pas d'alias.

Nom d'utilisateur ID d'un utilisateur du domaine qui dispose au minimum d'un accès en lecture seule au nom de domaine (DN) de base pour les utilisateurs et les groupes. L'ID peut être dans l'un des formats suivants : Le nom d'utilisateur doit être complet. L'entrée « user » ne fonctionne pas.
Mot de passe Mot de passe de l'utilisateur spécifié par Nom d'utilisateur.
Connexion à Contrôleur de domaine auquel se connecter. Il peut s'agir de n'importe quel contrôleur dans le domaine ou de contrôleurs spécifiques.
URL du serveur principal Serveur LDAP du contrôleur de domaine principale du domaine. Vous pouvez utiliser le nom d'hôte ou l'adresse IP.

Utilisez le format ldap://hostname_or_IPaddress:port ou ldaps://hostname_or_IPaddress:port. Le port est généralement 389 pour les connexions LDAP et 636 pour les connexions LDAPS. Pour les déploiements de contrôleurs multi-domaines Active Directory, le port est généralement 3268 pour les connexions LDAP et 3269 pour les connexions LDAPS.

Un certificat qui établit la confiance du point de terminaison LDAPS du serveur Active Directory est requis lorsque vous utilisez ldaps:// dans l'URL LDAP principale ou secondaire.

URL secondaire du serveur Adresse d'un serveur LDAP de contrôleur de domaine secondaire qui est utilisé lorsque le contrôleur de domaine principal n'est pas disponible . Vous pouvez utiliser le nom d'hôte ou l'adresse IP. Pour chaque opération LDAP, vCenter Server essaie toujours le contrôleur de domaine principal avant de revenir au contrôleur de domaine secondaire. Les connexions à Active Directory peuvent être longues, voire échouer lorsque le contrôleur de domaine principal n'est pas disponible.
Note : Lorsque le contrôleur de domaine principal échoue, le contrôleur de domaine secondaire peut ne pas prendre le relais automatiquement.
Certificats (pour LDAPS) Si vous souhaitez utiliser LDAPS avec votre source d'identité du serveur Active Directory LDAP ou OpenLDAP , cliquez sur Parcourir pour sélectionner un certificat qui a été exporté à partir du contrôleur de domaine spécifié dans l'URL LDAPS. (Notez que le certificat utilisé ici n'est pas un certificat d'autorité de certification racine.) Pour exporter le certificat à partir de Active Directory, consultez la documentation Microsoft.

Vous pouvez rechercher et sélectionner plusieurs certificats.

Info-bulle : Lorsque vous recherchez et sélectionnez plusieurs certificats, ceux-ci doivent se trouver dans le même répertoire.

Le système vCenter Server approuve uniquement les certificats signés directement par une autorité de certification enregistrée et approuvée. Le système vCenter Server ne suit pas un chemin jusqu'à un certificat d'autorité de certification enregistré et vérifie uniquement si le certificat est signé par une autorité de certification enregistrée et approuvée. Tant que votre certificat est signé par une autorité de certification approuvée publiquement ou qu'il est auto-signé, aucune autre action n'est requise. Cependant, si vous créez vos propres certificats internes (c'est-à-dire, si vous utilisez une autorité de certification privée), vous devrez peut-être inclure ces certificats. Par exemple, si votre organisation utilise l'autorité de certification racine d'entreprise de Microsoft pour générer le certificat LDAPS, vous devez également sélectionner le certificat racine d'entreprise pour l'ajouter au système vCenter Server. En outre, si vous utilisez des autorités de certification intermédiaires entre le certificat LDAPS et le certificat racine d'entreprise, vous devez également sélectionner ces certificats intermédiaires pour les ajouter au système vCenter Server.

Paramètres de source d'identité Active Directory

Si vous sélectionnez le type de source d'identité Active Directory (authentification Windows intégrée), vous pouvez utiliser le compte de l'ordinateur local en tant que nom de principal du service (SPN, Service Principal Name) ou spécifier un SPN de manière explicite. Vous pouvez utiliser cette option uniquement si le serveur vCenter Single Sign-On est joint à un domaine Active Directory.

Conditions préalables à l'utilisation d'une source d'identité Active Directory (authentification Windows intégrée)

Vous pouvez configurer vCenter Single Sign-On pour utiliser une source d'identité Active Directory (authentification Windows intégrée) uniquement si cette source d'identité est disponible. Suivez les instructions de la documentation Configuration de vCenter Server.

Note : Active Directory (authentification Windows intégrée) utilise toujours la racine de la forêt du domaine Active Directory. Pour configurer votre source d'identité d'authentification Windows intégrée avec un domaine enfant dans votre forêt Active Directory, consultez l'article de la base de connaissances VMware accessible à l'adresse https://kb.vmware.com/s/article/2070433.

Sélectionnez Utiliser un compte d'ordinateur pour accélérer la configuration. Si vous prévoyez de renommer l'ordinateur local sur lequel s'exécute vCenter Single Sign-On, il est préférable de spécifier un SPN de manière explicite.

Si vous avez activé la journalisation des événements de diagnostic dans votre annuaire Active Directory pour identifier vos besoins en sécurisation renforcée, vous pouvez voir un événement de journal avec l'ID d'événement 2889 sur ce serveur d'annuaire. L'ID d'événement 2889 est généré comme une anomalie plutôt qu'un risque de sécurité lorsque vous utilisez l'authentification Windows intégrée. Pour plus d'informations sur l'ID d'événement 2889, consultez l'article de la base de connaissances VMware https://kb.vmware.com/s/article/78644.

Tableau 2. Ajouter des paramètres de source d'identité
Zone de texte Description
Nom de domaine Nom de domaine complet du nom de domaine, par exemple mondomaine.com. Ne fournissez pas une adresse IP. Ce nom de domaine doit pouvoir être résolu par DNS par le système vCenter Server
Utiliser un compte d'ordinateur Sélectionnez cette option pour utiliser le compte de l'ordinateur local en tant que SPN. Lorsque vous sélectionnez cette option, vous spécifiez uniquement le nom de domaine. Si vous prévoyez de renommer l'ordinateur, ne sélectionnez pas cette option.
Utiliser le nom de principal du service (SPN) Sélectionnez cette option si vous prévoyez de renommer l'ordinateur local. Vous devez spécifier un SPN, un utilisateur pouvant s'authentifier auprès de la source d'identité et un mot de passe pour cet utilisateur.
Nom de principal du service (SPN) SPN permettant à Kerberos d'identifier le service Active Directory. Incluez le domaine dans le nom (STS/example.com, par exemple).

Le SPN doit être unique dans le domaine. L'exécution de la commande setspn -S permet de vérifier qu'aucun doublon n'est créé. Pour obtenir des informations sur l'outil de ligne de commande setspn, reportez-vous à la documentation de Microsoft.

Nom d'utilisateur principal (UPN)

Mot de passe

Nom et mot de passe d'un utilisateur pouvant s'authentifier auprès de cette source d'identité. Utilisez le format d'adresse e-mail ( [email protected], par exemple). Vous pouvez vérifier le nom d'utilisateur principal (UPN, User Principal Name) dans l'éditeur ASDI (Active Directory Service Interfaces Editor).

Ajouter ou supprimer une source d'identité à l'aide de l'interface de ligne de commande

Vous pouvez utiliser l'utilitaire sso-config pour ajouter ou supprimer une source d'identité.

Une source d'identité peut être un domaine Active Directory natif (authentification Windows intégrée), AD sur LDAP, AD sur LDAP avec LDAPS (LDAP sur SSL) ou OpenLDAP. Reportez-vous à la section Sources d'identité pour vCenter Server avec vCenter Single Sign-On. Vous pouvez également utiliser l'utilitaire sso-config pour configurer l'authentification par carte à puce et RSA SecurID.

Conditions préalables

Si vous ajoutez une source d'identité Active Directory, l'instance de vCenter Server doit être dans le domaine Active Directory. Reportez-vous à la section Ajouter une instance de vCenter Server à un domaine Active Directory.

Activez la connexion SSH. Reportez-vous à la section Gérer vCenter Server à l'aide du shell de vCenter Server.

Procédure

  1. Utilisez SSH ou une autre connexion de console à distance pour démarrer une session sur le système vCenter Server.
  2. Connectez-vous en tant qu'utilisateur racine.
  3. Modifiez vers le répertoire dans lequel l'utilitaire sso-config réside.
    cd /opt/vmware/bin
  4. Consultez l'aide de sso-config en exécutant sso-config.sh -help ou consultez l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/67304 pour obtenir des exemples d'utilisation.