È possibile aggiungere vCenter Server a un dominio Active Directory. È possibile collegare utenti e gruppi di questo dominio Active Directory al dominio vCenter Single Sign-On. È possibile uscire dal dominio di Active Directory.

Importante: L'aggiunta di vCenter Server a un dominio Active Directory con un controller di dominio di sola lettura (RODC) non è supportata. È possibile aggiungere vCenter Server solo a un dominio Active Directory con un controller di dominio scrivibile.

Se si desidera configurare le autorizzazioni in modo che utenti e gruppi di un'Active Directory possano accedere ai componenti di vCenter Server, è necessario aggiungere l'istanza di vCenter Server al dominio Active Directory.

Ad esempio, per consentire a un utente Active Directory di accedere all'istanza di vCenter Server utilizzando vSphere Client, è necessario aggiungere l'istanza di vCenter Server al dominio Active Directory e assegnare il ruolo Amministratore a tale utente.

Prerequisiti

  • Verificare che l'utente che accede all'istanza di vCenter Server sia membro del gruppo SystemConfiguration.Administrators in vCenter Single Sign-On.

  • Verificare che il nome di sistema dell'appliance sia un FQDN. Se, durante la distribuzione dell'appliance, si imposta un indirizzo IP come nome di sistema, non è possibile aggiungere vCenter Server a un dominio Active Directory.

Procedura

  1. Utilizzare vSphere Client per accedere come administrator@your_domain_name all'istanza di vCenter Server.
  2. Nel menu vSphere Client, selezionare Amministrazione.
  3. Selezionare Single Sign On > Configurazione.
  4. Fare clic sulla scheda Provider di identità e selezionare Dominio Active Directory come tipo di provider di identità.
  5. Fare clic su UNISCI AD.
  6. Nella finestra Aggiunta a un dominio Active Directory, specificare i dettagli seguenti.
    Opzione Descrizione
    Dominio Nome del dominio Active Directory, ad esempio mydomain.com. Non specificare un indirizzo IP in questa casella di testo.
    Unità organizzativa (facoltativa) L'FQDN LDAP completo dell'unità organizzativa (OU), ad esempio OU=Engineering,DC=mydomain,DC=com.
    Importante: Utilizzare questa casella di testo solo se si ha familiarità con LDAP.
    Nome utente Il nome utente nel formato Nome entità utente (UPN, User Principal Name), ad esempio [email protected].
    Importante: Il formato del nome di accesso di livello inattivo; ad esempio DOMINIO\NomeUtente, non è supportato.
    Password Password dell'utente.
    Nota: Riavvia il nodo per applicare le modifiche.
  7. Fare clic su UNISCI per aggiungere vCenter Server al dominio Active Directory.
    L'operazione viene completata senza avvisi e l'opzione Unisci AD è impostata su Lascia AD.
  8. (Facoltativo) Per uscire dal dominio Active Directory, fare clic su LASCIA AD.
  9. Riavviare vCenter Server per applicare le modifiche.
    Importante: Se vCenter Server non viene riavviato, è possibile che si verifichino problemi durante l'utilizzo di vSphere Client.
  10. Selezionare la scheda Origini identità e fare clic su AGGIUNGI.
    1. Nella finestra Aggiungi origine identità, selezionare Active Directory (autenticazione integrata Windows) come tipo di origine identità.
    2. Immettere le impostazioni dell'origine identità del dominio Active Directory unito e fare clic su Aggiungi.
      Tabella 1. Impostazioni aggiunta origine identità
      Casella di testo Descrizione
      Nome dominio FQDN del dominio. Non specificare un indirizzo IP in questa casella di testo.
      Usa account macchina Selezionare questa opzione per utilizzare l'account della macchina locale come SPN. Quando si seleziona questa opzione, è sufficiente specificare il nome del dominio. Non selezionare questa opzione se si prevede di rinominare la macchina.
      Usa nome entità servizio (SPN) Selezionare questa opzione se si prevede di rinominare la macchina locale. È necessario specificare un nome entità servizio, un utente in grado di autenticarsi con l'origine identità e una password utente.
      Nome entità servizio Nome dell'entità del servizio che consente a Kerberos di identificare il servizio Active Directory. Includere il dominio nel nome, ad esempio STS/example.com.

      Potrebbe essere necessario eseguire setspn -S per aggiungere l'utente che si desidera utilizzare. Per informazioni su setspn, vedere la documentazione Microsoft.

      Il nome SPN deve essere univoco nel dominio. L'esecuzione di setspn -S verifica che non venga creato alcun duplicato.

      Nome utente Nome di un utente che può autenticarsi con questa origine identità. Utilizzare il formato dell'indirizzo e-mail, ad esempio [email protected]. È possibile verificare il nome dell'entità utente con l'editor delle interfacce del servizio Active Directory (ADSI Edit).
      Password Password dell'utente utilizzato per l'autenticazione con questa origine identità, ossia l'utente specificato nel Nome entità utente. Includere il nome del dominio, ad esempio [email protected].

risultati

Nella scheda Origini identità, è possibile visualizzare il dominio Active Directory unito.

Operazioni successive

È possibile configurare le autorizzazioni in modo che gli utenti e i gruppi del dominio Active Directory unito possano accedere ai componenti di vCenter Server. Per informazioni sulla gestione delle autorizzazioni, vedere la documentazione relativa a Sicurezza di vSphere.