내장된 Platform Services Controller가 포함된 vCenter Server Appliance 또는 Platform Services Controller 장치를 Active Directory 도메인에 가입시킬 수 있습니다. 이 Active Directory 도메인에서 vCenter Single Sign-On 도메인으로 사용자 및 그룹을 연결할 수 있습니다.

이 태스크 정보

중요:

RODC(읽기 전용 도메인 컨트롤러)를 사용하여 Platform Services Controller 장치 또는 내장된 Platform Services Controller가 포함된 vCenter Server Appliance를 Active Directory 도메인에 가입시키는 것은 지원되지 않습니다. 쓰기 가능 도메인 컨트롤러를 사용하여 Platform Services Controller 또는 내장된 Platform Services Controller가 포함된 vCenter Server Appliance만 Active Directory 도메인에 가입시킬 수 있습니다.

Active Directory 도메인의 사용자 및 그룹이 vCenter Server 구성 요소에 액세스할 수 있는 사용 권한을 구성하려면 관련 내장된 또는 외부 Platform Services Controller 인스턴스를 Active Directory 도메인에 가입시켜야 합니다.

예를 들어 Active Directory 사용자가 Windows 세션 인증(SSPI)과 함께 vSphere Web Client를 사용하여 내장된 Platform Services Controller가 있는 vCenter Server Appliance에서 vCenter Server 인스턴스에 로그인할 수 있게 하려면 vCenter Server Appliance를 Active Directory 도메인에 가입시키고 이 사용자에게 관리자 역할을 할당해야 합니다. Active Directory 사용자가 SSPI와 함께 vSphere Web Client를 사용하여 외부 Platform Services Controller 장치를 사용하는 vCenter Server 인스턴스에 로그인할 수 있게 하려면 Platform Services Controller 장치를 Active Directory 도메인에 가입시키고 이 사용자에게 관리자 역할을 할당해야 합니다.

필수 조건

  • vCenter Server Appliance에서 vCenter Server 인스턴스에 로그인하는 사용자가 vCenter Single Sign-On에서 SystemConfiguration.Administrators 그룹의 멤버인지 확인합니다.

  • 장치의 시스템 이름이 FQDN인지 확인합니다. 장치 배포 과정에서 시스템 이름으로 IP 주소를 설정한 경우 vCenter Server Appliance를 Active Directory 도메인에 가입할 수 없습니다.

프로시저

  1. vCenter Server Appliance에서 vCenter Server 인스턴스에 administrator@your_domain_name으로 로그인하려면 vSphere Web Client를 사용합니다.

    주소의 유형은 http://appliance-IP-address-or-FQDN/vsphere-client입니다.

  2. vSphere Web Client 기본 페이지에서 아이콘을 가리키고 을 클릭한 다음 시스템 구성을 선택합니다.
  3. 배포 아래에서 시스템 구성을 클릭합니다.
  4. 시스템 구성에서 노드를 클릭합니다.
  5. 노드에서 노드를 선택하고 관리 탭을 클릭합니다.
  6. 고급 아래에서 Active Directory를 선택하고 가입을 클릭합니다.
  7. Active Directory 세부 정보를 입력합니다.

    옵션

    설명

    도메인

    Active Directory 도메인 이름(예: mydomain.com)입니다. 이 텍스트 상자에 IP 주소를 입력하지 마십시오.

    조직 구성 단위

    선택 사항입니다. 예를 들어 전체 OU LDAP FQDN은 OU=Engineering,DC=mydomain,DC=com입니다.

    중요:

    LDAP에 익숙한 경우에만 이 텍스트 상자를 사용합니다.

    사용자 이름

    UPN(사용자 계정 이름) 형식의 사용자 이름입니다(예: jchin@mydomain.com).

    중요:

    다운 레벨 로그인 이름 형식(예: DOMAIN\UserName)은 지원되지 않습니다.

    암호

    사용자의 암호입니다.

  8. 확인를 클릭하여 vCenter Server Appliance를 Active Directory 도메인에 가입시킵니다.

    작업이 자동으로 성공하고 [가입] 버튼이 [탈퇴]로 전환되는 것을 볼 수 있습니다.

  9. 변경 내용이 적용되도록 편집한 노드를 마우스 오른쪽 버튼으로 클릭하고 재부팅을 선택하여 장치를 다시 시작합니다.
    중요:

    장치를 다시 시작하지 않을 경우 vSphere Web Client를 사용할 때 문제가 발생할 수 있습니다.

  10. 관리 > Single Sign-On > 구성으로 이동합니다.
  11. ID 소스 탭에서 ID 소스 추가 아이콘을 클릭합니다.
  12. Active Directory(통합 Windows 인증)를 선택하고 가입된 Active Directory 도메인의 ID 소스 설정을 입력한 후 확인을 클릭합니다.
    표 1. ID 소스 추가 설정

    텍스트 상자

    설명

    도메인 이름

    도메인의 FQDN입니다. 이 텍스트 상자에 IP 주소를 입력하지 마십시오.

    시스템 계정 사용

    로컬 시스템 계정을 SPN으로 사용하려면 이 옵션을 선택합니다. 이 옵션을 선택하는 경우 도메인 이름만 지정하십시오. 이 시스템의 이름을 변경해야 할 경우에는 이 옵션을 선택하지 마십시오.

    SPN(서비스 사용자 이름) 사용:

    로컬 시스템의 이름을 변경해야 할 경우 이 옵션을 선택합니다. SPN, ID 소스를 사용하여 인증할 수 있는 사용자 및 사용자 암호를 지정해야 합니다.

    SPN(서비스 사용자 이름)

    Kerberos가 Active Directory 서비스를 식별하는 데 도움이 되는 SPN입니다. 이름에 도메인을 포함합니다(예: STS/example.com).

    setspn -S를 실행하여 사용할 사용자를 추가해야 할 수도 있습니다. setspn에 대한 자세한 내용은 Microsoft 설명서를 참조하십시오.

    SPN은 전체 도메인에서 고유해야 합니다. setspn -S를 실행하면 중복 SPN이 생성되지 않았는지 확인할 수 있습니다.

    UPN(사용자 계정 이름)

    이 ID 소스를 사용하여 인증할 수 있는 사용자의 이름입니다. 이메일 주소 형식(예: jchin@mydomain.com)을 사용합니다. Active Directory 서비스 인터페이스 편집기(ADSI 편집)를 사용하여 사용자 계정 이름을 확인할 수 있습니다.

    암호

    이 ID 소스를 사용하여 인증하는 데 사용되는 사용자(사용자 계정 이름에 지정된 사용자)의 암호입니다. 도메인 이름을 포함합니다(예: jdoe@example.com).

결과

ID 소스 탭에서 가입된 Active Directory 도메인을 볼 수 있습니다.

다음에 수행할 작업

가입된 Active Directory 도메인의 사용자 및 그룹이 vCenter Server 구성 요소에 액세스하기 위한 사용 권한을 구성할 수 있습니다. 사용 권한 관리에 대한 자세한 내용은 vSphere 보안 설명서를 참조하십시오.