Vous pouvez joindre vCenter Server à un domaine Active Directory. Vous pouvez attacher les utilisateurs et groupes de ce domaine Active Directory à votre domaine vCenter Single Sign-On. Vous pouvez quitter le domaine Active Directory.

Important : La jonction de vCenter Server à un domaine Active Directory avec un contrôleur de domaine en lecture seule (RODC) n'est pas prise en charge. Vous pouvez joindre vCenter Server uniquement à un domaine Active Directory avec un contrôleur de domaine accessible en écriture.

Si vous souhaitez configurer les autorisations afin que des utilisateurs et des groupes d'un domaine Active Directory puissent accéder aux composants de vCenter Server, vous devez joindre l'instance de vCenter Server au domaine Active Directory.

Par exemple, pour permettre à un utilisateur Active Directory de se connecter à l'instance de vCenter Server à l'aide de vSphere Client, vous devez joindre l'instance de vCenter Server au domaine Active Directory et attribuer le rôle Administrateur à cet utilisateur.

Conditions préalables

  • Vérifiez que l'utilisateur qui se connecte à l'instance de vCenter Server fait partie du groupe SystemConfiguration.Administrators dans vCenter Single Sign-On.

  • Assurez-vous que le nom du système et du dispositif est un nom de domaine complet. Si, pendant le déploiement du dispositif, vous définissez une adresse IP en tant que nom de système, vous ne pouvez pas joindre vCenter Server à un domaine Active Directory.

Procédure

  1. Utilisez vSphere Client pour vous connecter en tant qu'administrateur@votre_nom_domaine à l'instance de vCenter Server.
  2. Dans le menu vSphere Client, sélectionnez Administration.
  3. Sélectionnez Single Sign On > Configuration.
  4. Cliquez sur l'onglet Fournisseur d'identité, puis sélectionnez Domaine Active Directory comme type de fournisseur d'identité.
  5. Cliquez sur JOIN AD.
  6. Dans la fenêtre Joindre un domaine Active Directory , fournissez les détails suivants.
    Option Description
    Domaine Nom de domaine Active Directory (par exemple, mondomaine.com). N'entrez pas d'adresse IP dans cette zone de texte.
    Unité d'organisation (facultatif) Nom de domaine complet LDAP de l'unité d'organisation. Par exemple, OU=Engineering,DC=mydomain,DC=com.
    Important : Utilisez cette zone de texte uniquement si vous maîtrisez LDAP.
    Nom d'utilisateur Nom d'utilisateur au format UPN (nom principal de l'utilisateur) format, par exemple, jchin@mondomaine.com.
    Important : Le format de nom de connexion de bas niveau, par exemple, DOMAIN\UserName, n'est pas pris en charge.
    Mot de passe Mot de passe de l'administrateur.
    Note : Redémarrez le nœud pour appliquer les modifications.
  7. Cliquez sur JOIN pour joindre vCenter Server au domaine Active Directory.
    L'opération réussit sans aucune confirmation et l'option Joindre AD devient Quitter AD.
  8. (Facultatif) Pour quitter le domaine Active Directory, cliquez sur Quitter AD.
  9. Redémarrez le système vCenter Server pour appliquer les modifications.
    Important : Si vous ne redémarrez pas l'instance de vCenter Server, des problèmes risquent de survenir lors de l'utilisation de vSphere Client.
  10. Sélectionnez l'onglet Sources d'identité, puis cliquez sur AJOUTER.
    1. Dans la fenêtre Ajouter une source d'identité, sélectionnez Active Directory (authentification Windows intégrée) comme type de source d'identité.
    2. Entrez les paramètres de source d'identité du domaine Active Directory joint, puis cliquez sur AJOUTER.
      Tableau 1. Ajouter des paramètres de source d'identité
      Zone de texte Description
      Nom de domaine Nom de domaine complet (FDQN) du domaine. N'entrez pas d'adresse IP dans cette zone de texte.
      Utiliser un compte d'ordinateur Sélectionnez cette option pour utiliser le compte de l'ordinateur local en tant que SPN. Lorsque vous sélectionnez cette option, vous spécifiez uniquement le nom de domaine. Si vous prévoyez de renommer l'ordinateur, ne sélectionnez pas cette option.
      Utiliser le nom du service principal (SPN) Sélectionnez cette option si vous prévoyez de renommer l'ordinateur local. Vous devez spécifier un SPN, un utilisateur pouvant s'authentifier auprès de la source d'identité et un mot de passe pour cet utilisateur.
      Nom du principal de service SPN permettant à Kerberos d'identifier le service Active Directory. Incluez le domaine dans le nom. Par exemple, STS/exemple.com.

      Il peut s'avérer nécessaire d'exécuter la commande setspn -S pour ajouter l'utilisateur souhaité. Pour obtenir des informations sur l'outil de ligne de commande setspn, reportez-vous à la documentation de Microsoft.

      Le SPN doit être unique dans le domaine. L'exécution de la commande setspn -S permet de vérifier qu'aucun doublon n'est créé.

      Nom d'utilisateur Nom d'un utilisateur pouvant s'authentifier auprès de cette source d'identité. Utilisez le format d'adresse e-mail. Par exemple, jchin@mondomaine.com. Vous pouvez vérifier le nom d'utilisateur principal (UPN, User Principal Name) dans l'Éditeur ASDI (Active Directory Service Interfaces Editor).
      Mot de passe Mot de passe de l'utilisateur qui s'authentifie généralement auprès de cette source d'identité. Cet utilisateur est également celui qui est spécifié dans le champ Nom d'utilisateur principal (UPN). Incluez le nom de domaine. Par exemple, jdoe@exemple.com.

Résultats

Dans l'onglet Sources d'identité, le domaine Active Directory joint apparaît.

Que faire ensuite

Vous pouvez configurer les autorisations afin que des utilisateurs et des groupes du domaine Active Directory joint puissent accéder aux composants de vCenter Server. Pour des informations sur la gestion des autorisations, reportez-vous à la documentation Sécurité vSphere.