僅當使用者位於已新增為 vCenter Single Sign-On 身分識別來源的網域中時,才可以登入 vCenter Server。vCenter Single Sign-On 管理員使用者可以從 vSphere Web Client 新增身分識別來源。

執行這項作業的原因和時機

身分識別來源可以是原生 Active Directory (整合式 Windows 驗證) 網域,也可以是 OpenLDAP 目錄服務。為實現回溯相容性,做為 LDAP 伺服器的 Active Directory 也可供使用。

完成安裝後,下列預設身分識別來源和使用者便立即可用:

localos

所有本機作業系統使用者。這些使用者可以取得 vCenter Server 的權限。如果要進行升級,已取得權限的使用者將保留這些權限。

vsphere.local

包含 vCenter Single Sign-On 內部使用者。

程序

  1. 以 administrator@vsphere.local 或擁有 vCenter Single Sign-On 管理員權限的其他使用者身分登入 vSphere Web Client。
  2. 瀏覽到管理 > Single Sign-On > 組態
  3. 身分識別來源索引標籤上,按一下新增身分識別來源圖示。
  4. 選取身分識別來源的類型,然後輸入身分識別來源設定。

    選項

    說明

    Active Directory (整合式 Windows 驗證)

    身分識別來源為 Microsoft Active Directory 伺服器。支援 Active Directory 2003 及更新版本。遵循 Microsoft 網站上的指示設定 Active Directory 網域 (包括 Kerberos)。

    做為 LDAP 伺服器的 Active Directory

    此選項支援與 vSphere 5.1 隨附的 vCenter Single Sign-On 服務回溯相容。請改用原生 Active Directory 身分識別來源。

    OpenLDAP

    身分識別來源為 OpenLDAP 伺服器。支援 OpenLDAP 2.4 及更新版本。

    本機作業系統

    安裝有 vCenter Single Sign-On 服務之作業系統 (例如 Windows) 的本機使用者。僅支援一個本機作業系統身分識別來源。

    備註︰

    如果使用者帳戶已鎖定或停用,Active Directory 網域中的驗證以及群組和使用者搜尋會失敗。使用者帳戶必須具有使用者和群組 OU 的唯讀存取權,並且必須能夠讀取使用者和群組屬性。這是使用者權限的預設 Active Directory 網域組態。VMware 建議使用特殊服務使用者。

  5. 如果將 Active Directory 設定為 LDAP 伺服器或 OpenLDAP 身分識別來源,請按一下測試連線以確保您可以連線到身分識別來源。
  6. 按一下確定

下一步

新增身分識別來源後,所有使用者皆可進行驗證但僅具有無存取權權限。具有vCenter Server修改.權限權限的使用者可向使用者或使用者群組指派權限,以便他們能夠登入 vCenter Server。請參閱在 vSphere Web Client 中指派權限