如果選取 Active Directory (整合式 Windows 驗證) 身分識別來源類型,則可以使用本機機器帳戶做為 SPN (服務主體名稱) 或者明確指定 SPN。僅當 vCenter Single Sign-On 伺服器加入 Active Directory 網域時,您才能使用此選項。
使用 Active Directory 身分識別來源的必要條件
僅在身分識別來源可用的情況下,才能設定
vCenter Single Sign-On 使用該 Active Directory 身分識別來源。
- 對於 Windows 安裝,請將 Windows 機器加入 Active Directory 網域。
- 對於 vCenter Server Appliance,請遵循 vCenter Server Appliance 組態說明文件中的指示進行操作。
備註: Active Directory (整合式 Windows 驗證) 一律使用 Active Directory 網域樹系的根。若要將您的整合式 Windows 驗證身分識別來源設定為 Active Directory 樹系內的子網域,請參閱 VMware 知識庫文章
2070433。
選取使用機器帳戶可加快組態速度。如果您打算重新命名執行 vCenter Single Sign-On 的本機機器,則最好明確指定 SPN。
| 文字方塊 | 說明 |
|---|---|
| 網域名稱 | 網域名稱的 FQDN,例如 mydomain.com。不提供 IP 位址。此網域名稱必須可由 vCenter Server 系統進行 DNS 解析。如果您使用 vCenter Server Appliance,請使用進行網路設定時使用的資訊來更新 DNS 伺服器設定。 |
| 使用機器帳戶 | 選取此選項可將本機機器帳戶用作 SPN。選取此選項時,應僅指定網域名稱。如果您打算重新命名此機器,請勿選取此選項。 |
| 使用服務主體名稱 (SPN) | 如果您打算重新命名本機機器,請選取此選項。您必須指定 SPN、能夠透過身分識別來源進行驗證的使用者,以及該使用者的密碼。 |
| 服務主體名稱 (SPN) | 可協助 Kerberos 識別 Active Directory 服務的 SPN。請在名稱中包含網域,例如 STS/example.com。 SPN 在網域中必須是唯一的。執行 setspn -S 可檢查是否未建立任何重複項目。如需 setspn的相關資訊,請參閱 Microsoft 說明文件。 |
| 使用者主體名稱 (UPN) 密碼 |
能夠透過此身分識別來源進行驗證之使用者的名稱和密碼。請使用電子郵件地址格式,例如 [email protected]。您可以透過 Active Directory 服務介面編輯器 (ADSI 編輯) 來驗證使用者主體名稱。 |
