您可以將 Platform Services Controller 應用裝置或含內嵌式 Platform Services ControllervCenter Server Appliance 加入 Active Directory 網域,然後將這個 Active Directory 網域的使用者和群組連結到 vCenter Single Sign-On 網域。

開始之前

確認您用於登入 vCenter Server AppliancevCenter Server 執行個體的使用者名稱是 vCenter Single Sign-On 中 SystemConfiguration.Administrators 群組的成員。

執行這項作業的原因和時機

重要事項︰

不支援將 Platform Services Controller 應用裝置或含內嵌式 Platform Services ControllervCenter Server Appliance 加入具有唯讀網域控制站 (RODC) 的 Active Directory 網域。您僅可以將 Platform Services Controller 或含內嵌式 Platform Services ControllervCenter Server Appliance 加入具有可寫入網域控制站的 Active Directory 網域。

如果您想要為 Active Directory 網域的使用者和群組設定存取 vCenter Server 元件的權限,則必須將其相關聯的內嵌式或外部 Platform Services Controller 執行個體加入 Active Directory 網域。

例如,若要讓 Active Directory 使用者能透過使用 vSphere Web Client 搭配 Windows 工作階段驗證 (SSPI) 的方式,在含內嵌式 Platform Services ControllervCenter Server Appliance 中登入 vCenter Server 執行個體,您必須將 vCenter Server Appliance 加入 Active Directory 網域,然後將管理員角色指派給這個使用者。若要讓 Active Directory 使用者能透過使用 vSphere Web Client 搭配 SSPI 的方式,登入使用外部 Platform Services Controller 應用裝置的 vCenter Server 執行個體,您必須將 Platform Services Controller 應用裝置加入 Active Directory 網域,然後將管理員角色指派給這個使用者。

備註︰

如果要讓 Active Directory 使用者能夠透過使用 vSphere Client 搭配 SSPI 的方式登入 vCenter Server 執行個體,則必須將 vCenter Server 執行個體加入 Active Directory 網域。如需將含外部 Platform Services ControllervCenter Server Appliance 加入 Active Directory 網域的相關資訊,請參閱 VMware 知識庫文章,網址為 http://kb.vmware.com/kb/2118543

程序

  1. 使用 vSphere Web Client,以 administrator@your_domain_name 身分登入 vCenter Server Appliance 中的 vCenter Server 執行個體。

    位址類型為 http://appliance-IP-address-or-FQDN/vsphere-client。

  2. 在 [部署] 下,按一下系統組態
  3. 在 [系統組態] 下,按一下節點
  4. 在 [節點] 下,選取節點,然後按一下管理索引標籤。
  5. 在 [進階] 下,選取 Active Directory,然後按一下加入
  6. 輸入 Active Directory 詳細資料。

    選項

    說明

    網域

    Active Directory 網域名稱,例如 mydomain.com。請勿在此欄位中提供 IP 位址。

    組織單位

    選擇性。完整的 OU LDAP FQDN,例如,OU=Engineering,DC=mydomain,DC=com。

    重要事項︰

    僅當您很熟悉 LDAP 時,才使用此欄位。

    使用者名稱

    使用者名稱為使用者主體名稱 (UPN) 格式,例如 jchin@mydomain.com。

    重要事項︰

    不支援下層登入名稱格式,例如 DOMAIN\UserName。

    密碼

    使用者的密碼。

  7. 按一下確定,將 vCenter Server Appliance 加入 Active Directory 網域。

    作業隨即以無訊息方式成功,並且您可以發現 [加入] 按鈕變成了 [離開]。

  8. 在您編輯的節點上按一下滑鼠右鍵,然後選取重新開機重新啟動應用裝置以套用變更。
    重要事項︰

    如果不重新啟動應用裝置,您可能會在使用 vSphere Web Client 時遇到問題。

  9. 導覽至管理 > Single Sign-On > 組態
  10. 身分識別來源索引標籤上,按一下新增身分識別來源圖示。
  11. 選取 Active Directory (整合式 Windows 驗證),輸入加入的 Active Directory 網域的身分識別來源設定,然後按一下確定
    表格 1. 新增身分識別來源設定

    欄位

    說明

    網域名稱

    網域的 FDQN。請勿在此欄位中提供 IP 位址。

    使用機器帳戶

    選取此選項可將本機機器帳戶用作 SPN。選取此選項時,應僅指定網域名稱。如果您打算重新命名此機器,請勿選取此選項。

    使用服務主體名稱 (SPN)

    如果您打算重新命名本機機器,請選取此選項。您必須指定 SPN、能夠透過身分識別來源進行驗證的使用者,以及該使用者的密碼。

    服務主體名稱 (SPN)

    可協助 Kerberos 識別 Active Directory 服務的 SPN。請在名稱中包含網域,例如 STS/example.com。

    您可能必須執行 setspn -S 才能新增要使用的使用者。如需 setspn 的相關資訊,請參閱 Microsoft 說明文件。

    SPN 在網域中必須是唯一的。執行 setspn -S 可檢查是否未建立任何重複項目。

    使用者主體名稱 (UPN)

    能夠透過此身分識別來源進行驗證之使用者的名稱。請使用電子郵件地址格式,例如 jchin@mydomain.com。您可以透過 Active Directory 服務介面編輯器 (ADSI 編輯) 來驗證使用者主體名稱。

    密碼

    用於透過此身分識別來源進行驗證之使用者 (使用者主體名稱中所指定的使用者) 的密碼。請包含網域名稱,例如 jdoe@example.com。

結果

身分識別來源索引標籤上,您可以看到加入的 Active Directory 網域。

下一步

您可以為加入的 Active Directory 網域中的使用者和群組設定存取 vCenter Server 元件的權限。如需管理權限的相關資訊,請參閱 vSphere 安全性說明文件。