Active Directory over LDAP 身分識別來源優先於 Active Directory (整合式 Windows 驗證) 選項。OpenLDAP 伺服器身分識別來源適用於使用 OpenLDAP 的環境。

如果要設定 OpenLDAP 身分識別來源,請參閱 VMware 知識庫文章 (網址為 http://kb.vmware.com/kb/2064977) 瞭解其他需求。

備註: 對 Microsoft Windows 的未來更新將變更 Active Directory 的預設行為,以要求使用強式驗證和加密。此變更會影響 vCenter Server向 Active Directory 進行驗證的方式。如果您使用 Active Directory 做為 vCenter Server 的身分識別來源,則必須計劃啟用 LDAPS。如需有關此 Microsoft 安全性更新的詳細資訊,請參閱 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html
表 1. 做為 LDAP 伺服器的 Active Directory 和 OpenLDAP 設定
選項 說明
名稱 身分識別來源的名稱。
使用者的基本 DN 使用者的基本辨別名稱。輸入要從中開始使用者搜尋的 DN。例如,cn=Users,dc=myCorp,dc=com。
群組的基本 DN 群組的基本辨別名稱。輸入要從中開始群組搜尋的 DN。例如,cn=Groups,dc=myCorp,dc=com。
網域名稱 網域的 FQDN。
網域別名 對於 Active Directory 身分識別來源,網域的 NetBIOS 名稱。如果使用 SSPI 驗證,請將 Active Directory 網域的 NetBIOS 名稱新增為身分識別來源的別名。

對於 OpenLDAP 身分識別來源,如果沒有指定別名,則會新增大寫字母的網域名稱。

使用者名稱 網域中使用者的識別碼,該使用者對使用者和群組的基本 DN 僅具有最小唯讀存取權。識別碼可以採用以下任何格式:

使用者名稱必須為完整限定名稱。「user」項目不起作用。

密碼 使用者名稱所指定使用者的密碼。
連線到 連線到的網域控制站。可以是網域中的任何網域控制站或特定的控制器。
主要伺服器 URL 網域的網域主控站 LDAP 伺服器。

使用 ldap://hostname_or_IPaddress:portldaps://hostname_or_IPaddress:port 格式。通常為連接埠 389 用於 LDAP 連線,而連接埠 636 用於 LDAPS 連線。對於 Active Directory 多網域控制站部署,通常為連接埠 3268 用於 LDAP,而連接埠 3269 用於 LDAPS。

在主要或次要 LDAP URL 中使用 ldaps:// 時,需要為 Active Directory 伺服器的 LDAPS 端點建立信任的憑證。

次要伺服器 URL 用於容錯移轉之次要網域控制站 LDAP 伺服器的位址。
SSL 憑證 如果您想要將 LDAPS 用於 Active Directory LDAP 伺服器或 OpenLDAP 伺服器身分識別來源,請按一下 Browse 以選擇憑證。若要從 Active Directory 匯出根 CA 憑證,請參閱 Microsoft 說明文件。