如果選取 Active Directory (整合式 Windows 驗證) 身分識別來源類型,則可以使用本機機器帳戶做為 SPN (服務主體名稱) 或者明確指定 SPN。僅當 vCenter Single Sign-On 伺服器加入 Active Directory 網域時,您才能使用此選項。
使用 Active Directory 身分識別來源的必要條件
僅在身分識別來源可用的情況下,才能設定
vCenter Single Sign-On 使用該 Active Directory 身分識別來源。
- 對於 Windows 安裝,請將 Windows 機器加入 Active Directory 網域。
- 對於 vCenter Server Appliance,請遵循 vCenter Server Appliance 組態說明文件中的指示進行操作。
備註: Active Directory (整合式 Windows 驗證) 一律使用 Active Directory 網域樹系的根。若要將您的整合式 Windows 驗證身分識別來源設定為 Active Directory 樹系內的子網域,請參閱 VMware 知識庫文章,網址為
http://kb.vmware.com/kb/2070433。
選取使用機器帳戶可加快組態速度。如果您打算重新命名執行 vCenter Single Sign-On 的本機機器,則最好明確指定 SPN。
備註: 在 vSphere 5.5 中,即使您指定 SPN,
vCenter Single Sign-On 也會使用機器帳戶。請參閱 VMware 知識庫文章,網址為
http://kb.vmware.com/kb/2087978。
如果您已在 Active Directory 中啟用診斷事件記錄來確定可能需要強化的位置,您可能會在該目錄伺服器上看到事件識別碼為 2889 的記錄事件。使用整合式 Windows 驗證時,事件識別碼 2889 會作為異常產生,而非安全性風險。如需有關事件識別碼 2889 的詳細資訊,請參閱 VMware 知識庫文章,網址為:https://kb.vmware.com/s/article/78644。
文字方塊 | 說明 |
---|---|
網域名稱 | 網域名稱的 FQDN,例如 mydomain.com。不提供 IP 位址。此網域名稱必須可由 vCenter Server 系統進行 DNS 解析。如果您使用 vCenter Server Appliance,請使用進行網路設定時使用的資訊來更新 DNS 伺服器設定。 |
使用機器帳戶 | 選取此選項可將本機機器帳戶用作 SPN。選取此選項時,應僅指定網域名稱。如果您打算重新命名此機器,請勿選取此選項。 |
使用服務主體名稱 (SPN) | 如果您打算重新命名本機機器,請選取此選項。您必須指定 SPN、能夠透過身分識別來源進行驗證的使用者,以及該使用者的密碼。 |
服務主體名稱 (SPN) | 可協助 Kerberos 識別 Active Directory 服務的 SPN。請在名稱中包含網域,例如 STS/example.com。 SPN 在網域中必須是唯一的。執行 setspn -S 可檢查是否未建立任何重複項目。如需 setspn 的相關資訊,請參閱 Microsoft 說明文件。 |
使用者主體名稱 (UPN) 密碼 |
能夠透過此身分識別來源進行驗證之使用者的名稱和密碼。請使用電子郵件地址格式,例如 [email protected]。您可以透過 Active Directory 服務介面編輯器 (ADSI 編輯) 來驗證使用者主體名稱。 |