Active Directory over LDAP 身分識別來源優先於 Active Directory (整合式 Windows 驗證) 選項。OpenLDAP 伺服器身分識別來源適用於使用 OpenLDAP 的環境。
如果要設定 OpenLDAP 身分識別來源,請參閱 VMware 知識庫文章 (網址為 http://kb.vmware.com/kb/2064977) 瞭解其他需求。
備註: 對 Microsoft Windows 的未來更新將變更 Active Directory 的預設行為,以要求使用強式驗證和加密。此變更會影響
vCenter Server向 Active Directory 進行驗證的方式。如果您使用 Active Directory 做為 vCenter Server 的身分識別來源,則必須計劃啟用 LDAPS。如需有關此 Microsoft 安全性更新的詳細資訊,請參閱
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023和
https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html。
| 選項 | 說明 |
|---|---|
| 名稱 | 身分識別來源的名稱。 |
| 使用者的基本 DN | 使用者的基本辨別名稱。輸入要從中開始使用者搜尋的 DN。例如,cn=Users,dc=myCorp,dc=com。 |
| 群組的基本 DN | 群組的基本辨別名稱。輸入要從中開始群組搜尋的 DN。例如,cn=Groups,dc=myCorp,dc=com。 |
| 網域名稱 | 網域的 FQDN。 |
| 網域別名 | 對於 Active Directory 身分識別來源,網域的 NetBIOS 名稱。如果使用 SSPI 驗證,請將 Active Directory 網域的 NetBIOS 名稱新增為身分識別來源的別名。 對於 OpenLDAP 身分識別來源,如果沒有指定別名,則會新增大寫字母的網域名稱。 |
| 使用者名稱 | 網域中使用者的識別碼,該使用者對使用者和群組的基本 DN 僅具有最小唯讀存取權。識別碼可以採用以下任何格式:
|
| 密碼 | 使用者名稱所指定使用者的密碼。 |
| 連線到 | 連線到的網域控制站。可以是網域中的任何網域控制站或特定的控制器。 |
| 主要伺服器 URL | 網域的網域主控站 LDAP 伺服器。您可以使用主機名稱或 IP 位址。 使用 ldap://hostname_or_IPaddress:port 或 ldaps://hostname_or_IPaddress:port 格式。通常為連接埠 389 用於 LDAP 連線,而連接埠 636 用於 LDAPS 連線。對於 Active Directory 多網域控制站部署,通常為連接埠 3268 用於 LDAP,而連接埠 3269 用於 LDAPS。 在主要或次要 LDAP URL 中使用 ldaps:// 時,需要為 Active Directory 伺服器的 LDAPS 端點建立信任的憑證。 |
| 次要伺服器 URL | 用於容錯移轉之次要網域控制站 LDAP 伺服器的位址。您可以使用主機名稱或 IP 位址。 |
| 憑證 (適用於 LDAPS) | 如果要將 LDAPS 與 Active Directory LDAP 伺服器或 OpenLDAP 伺服器身分識別來源搭配使用,請按一下瀏覽,選取從 LDAPS URL 中指定的網域控制站匯出的憑證。(請注意,此處使用的憑證不是根 CA 憑證。)若要從 Active Directory 匯出憑證,請參閱 Microsoft 說明文件。 |
