사용자는 vCenter Single Sign-On ID 소스로 추가된 도메인에 있는 경우에만 vCenter Server에 로그인할 수 있습니다. vCenter Single Sign-On 관리자 사용자는 ID 소스를 추가하거나 추가한 ID 소스에 대한 설정을 변경할 수 있습니다.
ID 소스는 LDAP를 통한 Active Directory, 네이티브 Active Directory(통합 Windows 인증) 도메인 또는 OpenLDAP 디렉토리 서비스일 수 있습니다. vCenter Single Sign-On을 사용하는 vCenter Server에 대한 ID 소스의 내용을 참조하십시오.
설치 직후 vCenter Single Sign-On 내부 사용자가 있는 vsphere.local 도메인(또는 설치 중에 지정한 도메인)을 사용할 수 있습니다.
Active Directory SSL 인증서를 업데이트했거나 교체한 경우 vCenter Server에서 ID 소스를 제거하고 다시 추가해야 합니다.
사전 요구 사항
Active Directory(통합 Windows 인증) ID 소스를 추가하는 경우 vCenter Server가 Active Directory 도메인에 있어야 합니다. Active Directory 도메인에 vCenter Server 추가의 내용을 참조하십시오.
프로시저
다음에 수행할 작업
처음에는 각 사용자에게 권한 없음 역할이 할당됩니다. 사용자가 로그인하려면 vCenter Server 관리자가 해당 사용자에게 최소한 읽기 전용 역할을 할당해야 합니다. "vSphere 보안" 설명서에서 역할을 사용하여 권한을 할당하는 방법에 대한 항목을 참조하십시오.
LDAP를 통한 Active Directory 및 OpenLDAP 서버 ID 소스 설정
LDAP를 통한 Active Directory ID 소스는 Active Directory(통합 Windows 인증) 옵션보다 선호됩니다. OpenLDAP 서버 ID 소스는 OpenLDAP를 사용하는 환경에서 사용할 수 있습니다.
OpenLDAP ID 소스를 구성하는 경우 추가 요구 사항은 VMware 기술 자료 문서(https://kb.vmware.com/s/article/2064977)를 참조하십시오.
LDAP ID 소스의 그룹은 지정된 사용자 기반 DN에 존재하는 사용자만 인식합니다. 이로 인해 하위 도메인이 있는 대규모 Active Directory 환경에서 예기치 않은 문제가 발생할 수 있습니다. 예를 들어 다음과 같은 시나리오를 고려해야 합니다.
- 하위 도메인 2개(Child 및 Child)가 있는 Active Directory 포리스트.
- AD-over-LDAP ID 소스 2개(하위 도메인 ChildA용 1개 및 하위 도메인 ChildB용 1개)로 구성된 vCenter Server.
- ChildA에는 UserA1 및 UserA2라는 2명의 사용자가 포함되어 있습니다.
- ChildB에는 UserB1 및 UserB2라는 2명의 사용자가 포함되어 있습니다.
vCenter Server 관리자가 ChildA에 UserA1, UserA2, UserB1 및 UserB2를 포함하는 TestGroup이라는 그룹을 생성합니다. vCenter Server 관리자가 TestGroup에 로그인(또는 임의) 권한을 부여합니다. 안타깝게도 UserB1과 UserB2는 그룹과 다른 도메인에 상주하기 때문에 로그인할 수 없습니다.
이 문제를 해결하려면 다음을 수행합니다.
- ChildB에 SecondTestGroup이라는 다른 그룹을 생성합니다.
- TestGroup에서 UserB1 및 UserB2를 제거합니다.
- UserB1 및 UserB2를 SecondTestGroup에 추가합니다.
- vCenter Server에서 SecondTestGroup에 TestGroup에 부여된 것과 동일한 권한을 할당합니다.
옵션 | 설명 |
---|---|
이름 | ID 소스의 이름입니다. |
사용자의 기본 DN | 사용자의 기본 고유 이름입니다. 사용자 검색을 시작할 DN을 입력합니다. 예: cn=Users,dc=myCorp,dc=com. |
그룹의 기본 DN | 그룹의 기본 고유 이름입니다. 그룹 검색을 시작할 DN을 입력합니다. 예: cn=Groups,dc=myCorp,dc=com. |
도메인 이름 | 도메인의 FQDN입니다. |
도메인 별칭 | Active Directory ID 소스의 경우 도메인의 NetBIOS 이름입니다. SSPI 인증을 사용하는 경우 Active Directory 도메인의 NetBIOS 이름을 ID 소스의 별칭으로 추가합니다. OpenLDAP ID 소스의 경우 별칭을 지정하지 않으면 대문자로 표시된 도메인 이름이 추가됩니다. |
사용자 이름 | 도메인에서 사용자 및 그룹의 기본 DN에 대해 최소한 읽기 전용 액세스 권한이 있는 사용자의 ID입니다. ID는 다음 형식 중 하나일 수 있습니다.
|
암호 | 사용자 이름에서 지정된 사용자의 암호입니다. |
연결 대상 | 연결할 도메인 컨트롤러입니다. 도메인의 모든 도메인 컨트롤러 또는 특정 컨트롤러가 될 수 있습니다. |
기본 서버 URL | 도메인의 기본 도메인 컨트롤러 LDAP 서버입니다. 호스트 이름 또는 IP 주소를 사용할 수 있습니다. ldap://hostname_or_IPaddress:port 또는 ldaps://hostname_or_IPaddress:port 형식을 사용합니다. 일반적으로 포트는 LDAP 연결의 경우 389이고 LDAPS 연결의 경우 636입니다. Active Directory 다중 도메인 컨트롤러 배포의 경우 일반적으로 포트는 LDAP의 경우 3268이고 LDAPS의 경우 3269입니다. 기본 또는 보조 LDAP URL에 ldaps://를 사용하는 경우 Active Directory 서버의 LDAPS 끝점에 대한 신뢰를 설정하는 인증서가 필요합니다. |
보조 서버 URL | 기본 도메인 컨트롤러를 사용할 수 없을 때 사용되는 보조 도메인 컨트롤러 LDAP 서버의 주소입니다. 호스트 이름 또는 IP 주소를 사용할 수 있습니다. 모든 LDAP 작업에 대해 vCenter Server는 보조 도메인 컨트롤러로 폴백하기 전에 항상 기본 도메인 컨트롤러를 시도합니다. 따라서 기본 도메인 컨트롤러를 사용할 수 없을 때는 Active Directory 로그인에 다소 시간이 걸리고 실패할 수도 있습니다.
참고: 기본 도메인 컨트롤러에 장애가 발생해도 보조 도메인 컨트롤러가 자동으로 그 역할을 인계받지 못할 수 있습니다.
|
인증서(LDAPS용) | Active Directory LDAP 서버 또는 OpenLDAP 서버 ID 소스와 함께 LDAPS를 사용하려면 찾아보기를 클릭하여 LDAPS URL에 지정된 도메인 컨트롤러에서 내보낸 인증서를 선택합니다. (여기에 사용된 인증서는 루트 CA 인증서가 아닙니다.) Active Directory에서 인증서를 내보내려면 Microsoft 설명서를 참조하십시오. 여러 인증서를 찾아서 선택할 수 있습니다.
팁: 여러 인증서를 찾아서 선택할 때는 해당 인증서가 동일한 디렉토리에 있어야 합니다.
vCenter Server는 등록되고 신뢰할 수 있는 CA(인증 기관)에서 직접 서명한 인증서만 신뢰합니다. vCenter Server는 등록된 CA 인증서까지의 경로를 추적하지 않으며 인증서가 등록되고 신뢰할 수 있는 CA(인증 기관)에서 서명했는지 여부만 확인합합니다. 인증서가 공개적으로 신뢰할 수 있는 인증 기관에서 서명했거나 자체 서명된 것이라면 추가 작업이 필요하지 않습니다. 그러나 자체 내부 인증서를 만드는 경우(즉, 사설 CA(인증 기관)를 사용하는 경우) 해당 인증서를 포함해야 할 수도 있습니다. 예를 들어, 조직에서 Microsoft Enterprise Root CA(인증 기관)를 사용하여 LDAPS 인증서를 생성하는 경우 Enterprise Root 인증서도 선택하여 vCenter Server에 추가해야 합니다. 또한 LDAPS 인증서와 Enterprise Root 인증서 사이에 중간 인증 기관을 사용하는 경우 해당 중간 인증서도 선택하여 vCenter Server에 추가해야 합니다. |
Active Directory ID 소스 설정
Active Directory(통합 Windows 인증) ID 소스 유형을 선택하면 로컬 시스템 계정을 SPN(서비스 사용자 이름)으로 사용하거나 SPN을 명시적으로 지정할 수 있습니다. vCenter Single Sign-On 서버가 Active Directory 도메인에 가입된 경우에만 이 옵션을 사용할 수 있습니다.
Active Directory(통합 Windows 인증) ID 소스 사용을 위한 필수 구성 요소
해당 ID 소스를 사용할 수 있는 경우에만 Active Directory(통합 Windows 인증) ID 소스를 사용하도록 vCenter Single Sign-On을 설정할 수 있습니다. "vCenter Server 구성" 설명서에 나와 있는 지침을 따르십시오.
구성 속도를 높이려면 시스템 계정 사용을 선택합니다. If you expect to rename the local machine on which vCenter Single Sign-On runs, specifying an SPN explicitly is preferable.
강화가 필요한 위치를 식별하기 위해 Active Directory에서 진단 이벤트 로깅을 사용하도록 설정한 경우, 해당 디렉토리 서버에서 이벤트 ID가 2889인 로그 이벤트를 볼 수 있습니다. 통합 Windows 인증을 사용하는 경우 ID 2889는 이벤트 보안 위험이 아닌 이상 징후로 생성됩니다. 이벤트 ID 2889에 대한 자세한 내용은 https://kb.vmware.com/s/article/78644에서 VMware 기술 자료 문서를 참조하십시오.
텍스트 상자 | 설명 |
---|---|
도메인 이름 | 도메인 이름의 FQDN입니다(예: mydomain.com). IP 주소를 제공하지 마십시오. 이 도메인 이름은 vCenter Server 시스템을 통해 DNS에서 확인할 수 있어야 합니다. |
시스템 계정 사용 | 로컬 시스템 계정을 SPN으로 사용하려면 이 옵션을 선택합니다. 이 옵션을 선택하는 경우 도메인 이름만 지정하십시오. 이 시스템의 이름을 변경해야 할 경우에는 이 옵션을 선택하지 마십시오. |
SPN(서비스 사용자 이름) 사용 | 로컬 시스템의 이름을 변경해야 할 경우 이 옵션을 선택합니다. SPN, ID 소스를 사용하여 인증할 수 있는 사용자 및 사용자 암호를 지정해야 합니다. |
SPN(서비스 사용자 이름) | Kerberos가 Active Directory 서비스를 식별하는 데 도움이 되는 SPN입니다. 이름에 도메인을 포함합니다(예: STS/example.com). SPN은 전체 도메인에서 고유해야 합니다. setspn -S 명령을 실행하면 중복이 생성되지 않았는지 확인할 수 있습니다. setspn에 대한 자세한 내용은 Microsoft 설명서를 참조하십시오. |
UPN(사용자 계정 이름) 암호 |
이 ID 소스를 사용하여 인증할 수 있는 사용자의 이름 및 암호입니다. 이메일 주소 형식(예: [email protected])을 사용합니다. Active Directory 서비스 인터페이스 편집기(ADSI 편집)를 사용하여 사용자 계정 이름을 확인할 수 있습니다. |
CLI를 사용하여 ID 소스 추가 또는 제거
sso-config 유틸리티를 사용하여 ID 소스를 추가하거나 제거할 수 있습니다.
ID 소스는 네이티브 Active Directory(통합 Windows 인증) 도메인, LDAP를 통한 AD, LDAPS를 사용하는 LDAP를 통한 AD(SSL을 통한 LDAP) 또는OpenLDAP일 수 있습니다. vCenter Single Sign-On을 사용하는 vCenter Server에 대한 ID 소스의 내용을 참조하십시오. 또한 sso-config 유틸리티를 사용하여 스마트 카드 및 RSA SecurID 인증을 설정할 수 있습니다.
사전 요구 사항
Active Directory ID 소스를 추가하는 경우 vCenter Server가 Active Directory 도메인에 있어야 합니다. Active Directory 도메인에 vCenter Server 추가의 내용을 참조하십시오.
SSH 로그인을 사용하도록 설정합니다. vCenter Server 셸을 사용하여 vCenter Server 관리의 내용을 참조하십시오.