僅在使用者位於已新增為 vCenter Single Sign-On 身分識別來源的網域中時,才可登入 vCenter ServervCenter Single Sign-On 管理員使用者可以新增身分識別來源,或變更使用者新增的身分識別來源設定。

身分識別來源可以是 Active Directory over LDAP、原生 Active Directory (整合式 Windows 驗證) 網域,也可以是 OpenLDAP 目錄服務。請參閱具有 vCenter Single Sign-On 的 vCenter Server 的身分識別來源

安裝之後,具有 vCenter Single Sign-On 內部使用者的 vsphere.local 網域 (或您在安裝期間指定的網域) 立即可供使用。

備註:

如果您已更新或取代 Active Directory SSL 憑證,則必須移除身分識別來源,然後將其重新新增到 vCenter Server 中。

必要條件

如果要新增 Active Directory (整合式 Windows 驗證) 身分識別來源,則 vCenter Server 必須位於 Active Directory 網域中。請參閱將 vCenter Server 新增到 Active Directory 網域

程序

  1. 使用 vSphere Client 登入 vCenter Server
  2. 指定 [email protected] 或 vCenter Single Sign-On 管理員群組的其他成員的使用者名稱和密碼。
    如果在安裝期間指定了其他網域,請以 administrator@ mydomain 身分登入。
  3. 導覽至組態 UI。
    1. 首頁功能表中,選取管理
    2. Single Sign On 下,按一下組態
  4. 身分識別提供者索引標籤上,按一下身分識別來源,然後按一下新增
  5. 選取身分識別來源,然後輸入身分識別來源設定。
    選項 說明
    Active Directory (整合式 Windows 驗證) 對於原生 Active Directory 實作,請使用此選項。如果您想要使用此選項,則執行 vCenter Single Sign-On 服務所在的機器必須位於 Active Directory 網域。

    請參閱Active Directory 身分識別來源設定
    Active Directory over LDAP 此選項需要您指定網域控制站和其他資訊。請參閱Active Directory over LDAP 和 OpenLDAP 伺服器身分識別來源設定
    OpenLDAP 對於 OpenLDAP 身分識別來源,請使用此選項。請參閱Active Directory over LDAP 和 OpenLDAP 伺服器身分識別來源設定
    備註:

    如果使用者帳戶已鎖定或停用,則 Active Directory 網域中的驗證以及群組和使用者搜尋會失敗。使用者帳戶必須具有使用者和群組 OU 的唯讀存取權,並且必須能夠讀取使用者和群組屬性。依預設,Active Directory 會提供此存取權。使用特殊服務使用者以提升安全性。

  6. 按一下新增

下一步

系統初始會向每個使用者指派「無存取權」的角色。vCenter Server 管理員必須至少為使用者指派「唯讀」角色,使用者才能登入。請參閱《vSphere 安全性》說明文件中有關使用角色指派權限的主題。

Active Directory over LDAP 和 OpenLDAP 伺服器身分識別來源設定

Active Directory over LDAP 身分識別來源優先於 Active Directory (整合式 Windows 驗證) 選項。OpenLDAP 伺服器身分識別來源適用於使用 OpenLDAP 的環境。

如果要設定 OpenLDAP 身分識別來源,請參閱 VMware 知識庫文章 (網址為 https://kb.vmware.com/s/article/2064977) 瞭解其他需求。

重要: 即使為每個網域建立一個其他身分識別來源,AD-over-LDAP 身分識別來源中的群組也無法使用不同網域中的使用者。

LDAP 身分識別來源中的群組只能識別指定使用者基本 DN 中存在的那些使用者。這可能會導致在具有子網域的大型 Active Directory 環境中出現非預期問題。例如,請考慮以下案例:

  1. 具有兩個子網域 (ChildA 和 ChildB) 的 Active Directory 樹系。
  2. vCenter Server 設定有兩個 AD-over-LDAP 身分識別來源,一個用於子網域 ChildA,一個用於子網域 ChildB。
  3. ChildA 包含兩個名為 UserA1 和 UserA2 的使用者。
  4. ChildB 包含兩個名為 UserB1 和 UserB2 的使用者。

vCenter Server 管理員在 ChildA 中建立一個名為 TestGroup 的群組,其中包含 UserA1、UserA2、UserB1 和 UserB2。vCenter Server 管理員授與 TestGroup 登入 (或任何) 權限。很遺憾,UserB1 和 UserB2 無法登入,因為它們與該群組位於不同的網域中。

做為因應措施,請執行下列操作:

  1. 在 ChildB 中建立另一個名為 SecondTestGroup 的群組。
  2. 從 TestGroup 中移除 UserB1 和 UserB2。
  3. 將 UserB1 和 UserB2 新增到 SecondTestGroup 中。
  4. 在 vCenter Server 中,為 SecondTestGroup 指派授與給 TestGroup 的相同權限。
備註: Microsoft Windows 變更了 Active Directory 的預設行為,以要求使用強式驗證和加密。此變更會影響 vCenter Server 向 Active Directory 進行驗證的方式。如果您使用 Active Directory 作為 vCenter Server 的身分識別來源,則必須啟用 LDAPS。如需有關此 Microsoft 安全性更新的詳細資訊,請參閱 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html
表 1. Active Directory over LDAP 和 OpenLDAP 伺服器設定
選項 說明
名稱 身分識別來源的名稱。
使用者的基本 DN 使用者的基本辨別名稱。輸入要從中開始使用者搜尋的 DN。例如,cn=Users,dc=myCorp,dc=com。
群組的基本 DN 群組的基本辨別名稱。輸入要從中開始群組搜尋的 DN。例如,cn=Groups,dc=myCorp,dc=com。
網域名稱 網域的 FQDN。
網域別名 對於 Active Directory 身分識別來源,網域的 NetBIOS 名稱。如果使用 SSPI 驗證,請將 Active Directory 網域的 NetBIOS 名稱新增為身分識別來源的別名。

對於 OpenLDAP 身分識別來源,如果沒有指定別名,則會新增大寫字母的網域名稱。

使用者名稱 網域中使用者的識別碼,該使用者對使用者和群組的基本 DN 僅具有最小唯讀存取權。識別碼可以採用以下任何格式: 使用者名稱必須為完整限定名稱。「user」項目不起作用。
密碼 使用者名稱所指定使用者的密碼。
連線到 連線到的網域控制站。可以是網域中的任何網域控制站或特定的控制器。
主要伺服器 URL 網域的網域主控站 LDAP 伺服器。您可以使用主機名稱或 IP 位址。

使用 ldap://hostname_or_IPaddress:portldaps://hostname_or_IPaddress:port 格式。通常為連接埠 389 用於 LDAP 連線,而連接埠 636 用於 LDAPS 連線。對於 Active Directory 多網域控制站部署,通常為連接埠 3268 用於 LDAP,而連接埠 3269 用於 LDAPS。

在主要或次要 LDAP URL 中使用 ldaps:// 時,需要為 Active Directory 伺服器的 LDAPS 端點建立信任的憑證。

次要伺服器 URL 主要網域控制站不可用時使用的次要網域控制站 LDAP 伺服器的位址。您可以使用主機名稱或 IP 位址。對於每項 LDAP 作業,vCenter Server 在回復到次要網域控制站前,始終會先嘗試主要網域控制站。當主要網域控制站不可用時,此行為可能會導致 Active Directory 登入需要一些時間,甚至失敗。
備註: 當主要網域控制站出現故障時,次要網域控制站可能不會自動接管。
憑證 (適用於 LDAPS) 如果要將 LDAPS 與 Active Directory LDAP 伺服器或 OpenLDAP 伺服器身分識別來源搭配使用,請按一下瀏覽,選取從 LDAPS URL 中指定的網域控制站匯出的憑證。(請注意,此處使用的憑證不是根 CA 憑證。)若要從 Active Directory 匯出憑證,請參閱 Microsoft 說明文件。

您可以瀏覽並選取多個憑證。

提示: 瀏覽並選取多個憑證時,這些憑證必須位於同一目錄中。

vCenter Server 僅信任由已登錄的受信任憑證授權機構直接簽署的憑證。vCenter Server 不會追蹤已登錄 CA 憑證的路徑,只會檢查憑證是否由已註冊的受信任憑證授權機構簽署。只要您的憑證由公開信任的憑證授權機構簽署或自我簽署,就無需執行進一步動作。但是,如果您建立自己的內部憑證 (即,使用私人憑證授權機構),則可能需要包括這些憑證。例如,如果您的組織使用 Microsoft 企業根憑證授權機構產生 LDAPS 憑證,則還必須選取企業根憑證以將其新增至 vCenter Server。此外,如果在 LDAPS 憑證和企業根憑證之間使用中繼憑證授權機構,則還必須選取這些中繼憑證以將其新增至 vCenter Server

Active Directory 身分識別來源設定

如果選取 Active Directory (整合式 Windows 驗證) 身分識別來源類型,則可以使用本機機器帳戶做為 SPN (服務主體名稱) 或者明確指定 SPN。僅當 vCenter Single Sign-On 伺服器加入 Active Directory 網域時,您才能使用此選項。

使用 Active Directory (整合式 Windows 驗證)身分識別來源的必要條件

僅在身分識別來源可用的情況下,才能設定 vCenter Single Sign-On 使用該 Active Directory (整合式 Windows 驗證) 身分識別來源。請依照vCenter Server 組態說明文件中的指示進行操作。

備註: Active Directory (整合式 Windows 驗證) 一律使用 Active Directory 網域樹系的根。若要使用 Active Directory 樹系內的子網域設定整合式 Windows 驗證身分識別來源,請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/s/article/2070433

選取使用機器帳戶可加快組態速度。如果您打算重新命名執行 vCenter Single Sign-On 的本機機器,則最好明確指定 SPN。

如果您已在 Active Directory 中啟用診斷事件記錄來確定可能需要強化的位置,您可能會在該目錄伺服器上看到事件識別碼為 2889 的記錄事件。使用整合式 Windows 驗證時,事件識別碼 2889 會作為異常產生,而非安全性風險。如需有關事件識別碼 2889 的詳細資訊,請參閱 VMware 知識庫文章,網址為:https://kb.vmware.com/s/article/78644

表 2. 新增身分識別來源設定
文字方塊 說明
網域名稱 網域名稱的 FQDN,例如 mydomain.com。不提供 IP 位址。此網域名稱必須可由 vCenter Server 系統進行 DNS 解析。
使用機器帳戶 選取此選項可將本機機器帳戶用作 SPN。選取此選項時,應僅指定網域名稱。如果您打算重新命名此機器,請勿選取此選項。
使用服務主體名稱 (SPN) 如果您打算重新命名本機機器,請選取此選項。您必須指定 SPN、能夠透過身分識別來源進行驗證的使用者,以及該使用者的密碼。
服務主體名稱 (SPN) 可協助 Kerberos 識別 Active Directory 服務的 SPN。請在名稱中包含網域,例如 STS/example.com

SPN 在網域中必須是唯一的。執行 setspn -S 命令可檢查是否未建立任何重複項目。如需 setspn 的相關資訊,請參閱 Microsoft 說明文件。

使用者主體名稱 (UPN)

密碼

能夠透過此身分識別來源進行驗證之使用者的名稱和密碼。請使用電子郵件地址格式,例如 [email protected]。您可以透過 Active Directory 服務介面編輯器 (ADSI 編輯) 來驗證使用者主體名稱。

使用 CLI 新增或移除身分識別來源

您可以使用 sso-config公用程式來新增或移除身分識別來源。

身分識別來源可以是原生 Active Directory (整合式 Windows 驗證) 網域、AD over LDAP、使用 LDAPS (LDAP over SSL) 的 AD over LDAP,或 OpenLDAP。請參閱具有 vCenter Single Sign-On 的 vCenter Server 的身分識別來源。您也可以使用 sso-config公用程式來設定智慧卡和 RSA SecurID 驗證。

必要條件

如果要新增 Active Directory 身分識別來源,則vCenter Server必須位於 Active Directory 網域中。請參閱將 vCenter Server 新增到 Active Directory 網域

啟用 SSH 登入。請參閱使用 vCenter Server Shell 管理 vCenter Server

程序

  1. 使用 SSH 或其他遠端主控台連線,以啟動 vCenter Server系統上的工作階段。
  2. 以 root 身分登入。
  3. 變更至 sso-config公用程式所在的目錄。 
    cd /opt/vmware/bin
  4. 若要參閱 sso-config說明,請執行 sso-config.sh -help,或參閱 VMware 知識庫文章 (網址為 https://kb.vmware.com/s/article/67304) 以瞭解使用範例。