Active Directory over LDAP 身分識別來源優先於 Active Directory (整合式 Windows 驗證) 選項。OpenLDAP 伺服器身分識別來源適用於使用 OpenLDAP 的環境。

如果要設定 OpenLDAP 身分識別來源,請參閱 VMware 知識庫文章 (網址為 http://kb.vmware.com/kb/2064977) 瞭解其他需求。

備註: 對 Microsoft Windows 的未來更新將變更 Active Directory 的預設行為,以要求使用強式驗證和加密。此變更會影響 vCenter Server向 Active Directory 進行驗證的方式。如果您使用 Active Directory 做為 vCenter Server 的身分識別來源,則必須計劃啟用 LDAPS。如需有關此 Microsoft 安全性更新的詳細資訊,請參閱 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html
表 1. Active Directory over LDAP 和 OpenLDAP 伺服器設定
選項 說明
名稱 身分識別來源的名稱。
使用者的基本 DN 使用者的基本辨別名稱。輸入要從中開始使用者搜尋的 DN。例如,cn=Users,dc=myCorp,dc=com。
群組的基本 DN 群組的基本辨別名稱。輸入要從中開始群組搜尋的 DN。例如,cn=Groups,dc=myCorp,dc=com。
網域名稱 網域的 FQDN。
網域別名 對於 Active Directory 身分識別來源,網域的 NetBIOS 名稱。如果使用 SSPI 驗證,請將 Active Directory 網域的 NetBIOS 名稱新增為身分識別來源的別名。

對於 OpenLDAP 身分識別來源,如果沒有指定別名,則會新增大寫字母的網域名稱。

使用者名稱 網域中使用者的識別碼,該使用者對使用者和群組的基本 DN 僅具有最小唯讀存取權。識別碼可以採用以下任何格式: 使用者名稱必須為完整限定名稱。「user」項目不起作用。
密碼 使用者名稱所指定使用者的密碼。
連線到 連線到的網域控制站。可以是網域中的任何網域控制站或特定的控制器。
主要伺服器 URL 網域的網域主控站 LDAP 伺服器。您可以使用主機名稱或 IP 位址。

使用 ldap://hostname_or_IPaddress:portldaps://hostname_or_IPaddress:port 格式。通常為連接埠 389 用於 LDAP 連線,而連接埠 636 用於 LDAPS 連線。對於 Active Directory 多網域控制站部署,通常為連接埠 3268 用於 LDAP,而連接埠 3269 用於 LDAPS。

在主要或次要 LDAP URL 中使用 ldaps:// 時,需要為 Active Directory 伺服器的 LDAPS 端點建立信任的憑證。

次要伺服器 URL 用於容錯移轉之次要網域控制站 LDAP 伺服器的位址。您可以使用主機名稱或 IP 位址。
憑證 (適用於 LDAPS) 如果要將 LDAPS 與 Active Directory LDAP 伺服器或 OpenLDAP 伺服器身分識別來源搭配使用,請按一下瀏覽,選取從 LDAPS URL 中指定的網域控制站匯出的憑證。(請注意,此處使用的憑證不是根 CA 憑證。)若要從 Active Directory 匯出憑證,請參閱 Microsoft 說明文件。