vCenter-Identitätsquellen für die Verwendung von Active Directory einrichten

VMware vCenter unterstützt verschiedene Identitätsquellen zur Authentifizierung von Nutzern, die auf vCenter zugreifen. vCenter privater Clouds können für die Authentifizierung mit Active Directory eingerichtet werden, damit VMware-Administratoren auf vCenter zugreifen können. Nach erfolgter Einrichtung kann der CloudOwner-Nutzer aus der Identitätsquelle Nutzer zu vCenter hinzufügen.

Sie können Ihre Active Directory-Domain und Domain-Controller auf folgende Arten einrichten:

  • Active Directory-Domain- und Domain-Controller, die lokal ausgeführt werden
  • Neue Active Directory-Domain und Domain-Controller, die in Ihrer privaten Cloud ausgeführt werden

Bevor Sie eine Identitätsquelle hinzufügen müssen Sie vorübergehend Ihre vCenter-Berechtigungen erhöhen.

Optionen für Identitätsquellen

Lokales Active Directory als Identitätsquelle für die Einmalanmeldung (SSO) hinzufügen

Sie benötigen Folgendes, um Ihr lokales Active Directory als Identitätsquelle für die Einmalanmeldung (SSO) einzurichten:

  • Eine Site-zu-Site-VPN-Verbindung von Ihrem lokalen Rechenzentrum zu Ihrer privaten Cloud.
  • Eine lokale DNS-Server-IP-Adresse, die Ihrem vCenter und dem Platform Services Controller (PSC) hinzugefügt wurde.

Die folgende Tabelle listet die Informationen auf, die bei der Einrichtung einer lokalen Active Directory-Domain als SSO-Identitätsquelle in vCenter benötigt werden.

Option Beschreibung
Name Der Name der Identitätsquelle.
Basis-DN für Nutzer Der Base Distinguished Name für Nutzer.
Domainname Die FDQN der Domain, z. B. "example.com". Geben Sie in diesem Feld keine IP-Adresse an.
Domain-Alias Der NetBIOS-Domainname. Wenn Sie die SSPI-Authentifizierung verwenden, fügen Sie den NetBIOS-Namen der Active Directory-Domain als Alias der Identitätsquelle hinzu.
Basis-DN für Gruppen Der Base Distinguished Name für Gruppen.
URL des primären Servers Der LDAP-Server des primären Domain-Controllers für die Domain.

Verwenden Sie das Format ldap://hostname:port oder ldaps://hostname:port. Normalerweise lautet der Port für LDAP-Verbindungen 389 und für LDAPS-Verbindungen 636. Bei Active Directory-Bereitstellungen mit Controllern mit mehreren Domains ist der Port in der Regel 3268 für LDAP und 3269 für LDAPS.

Wenn Sie ldaps:// in der primären oder sekundären LDAP-URL verwenden, ist ein Zertifikat erforderlich, das eine Vertrauensstellung für den LDAPS-Endpunkt des Active Directory-Servers herstellt.
Sekundäre Server-URL Die Adresse eines LDAP-Servers des sekundären Domain-Controllers, der für das Failover verwendet wird.
Zertifikat auswählen Wenn Sie LDAPS mit Ihrem Active Directory-LDAP-Server oder der OpenLDAP-Server-Identitätsquelle verwenden möchten, klicken Sie auf die Schaltfläche Zertifikat auswählen, die nach der Eingabe von ldaps:// in das URL-Textfeld angezeigt wird. Eine sekundäre Server-URL ist nicht erforderlich.
Nutzername Die ID eines Nutzers in der Domain, der mindestens Lesezugriff auf den Basis-DN für Nutzer und Gruppen hat.
Passwort Das Passwort des durch den Nutzernamen bestimmten Nutzers.

Weitere Informationen zu SSO-Identitätsquellen finden Sie in der VMware-Dokumentation.

Neues Active Directory in einer privaten Cloud einrichten

Sie können eine neue Active Directory-Domain in Ihrer privaten Cloud einrichten und als SSO-Identitätsquelle verwenden. Die Active Directory-Domain kann Teil einer vorhandenen Active Directory-Gesamtstruktur sein oder als unabhängige Struktur eingerichtet sein.

Neue Active Directory-Gesamtstruktur und -Domain

Um eine neue Active Directory-Gesamtstruktur und -Domain einzurichten, benötigen Sie Folgendes:

  • Eine oder mehrere VMs mit Microsoft Windows Server zur Verwendung als Domain-Controller für die neue Active Directory-Gesamtstruktur und -Domain.
  • Eine oder mehrere VMs, auf denen der DNS-Dienst zur Namensauflösung ausgeführt wird.

Eine ausführliche Anleitung finden Sie unter Neue Windows Server 2012 Active Directory-Gesamtstruktur installieren.

Für eine hohe Verfügbarkeit von Diensten empfiehlt Google die Einrichtung mehrerer Domain-Controller und DNS-Server.

Nach dem Einrichten der Active Directory-Gesamtstruktur und -Domain können Sie in vCenter dem neuen Active Directory eine Identitätsquelle hinzufügen.

Neue Active Directory-Domain in einer vorhandenen Active Directory-Gesamtstruktur

Sie benötigen folgende Elemente, um eine neue Active Directory-Domain in einer vorhandenen Active Directory-Gesamtstruktur einzurichten:

  • Eine Site-to-Site-VPN-Verbindung zum Standort Ihrer Active Directory-Gesamtstruktur.
  • Einen DNS-Server, um den Namen der vorhandenen Active Directory-Gesamtstruktur aufzulösen.

Weitere Informationen finden Sie unter Neue untergeordnete oder übergeordnete Active Directory-Domain in Windows Server 2012 installieren.

Nach dem Einrichten der Active Directory-Domain können Sie in vCenter dem neuen Active Directory eine Identitätsquelle hinzufügen.

Identitätsquelle in vCenter hinzufügen

  1. Erhöhen Sie die Berechtigungen für Ihre private Cloud
  2. Melden Sie sich bei vCenter für Ihre private Cloud an
  3. Wählen Sie Startseite > Verwaltung
  4. Wählen Sie Einmalanmeldung > Konfiguration.
  5. Öffnen Sie den Tab Identitätsquellen und klicken Sie auf +Hinzufügen, um eine neue Identitätsquelle hinzuzufügen.
  6. Wählen Sie Active Directory als LDAP-Server aus und klicken Sie auf Weiter.
  7. Geben Sie die Parameter der Identitätsquelle für Ihre Umgebung an und klicken Sie auf Weiter.
  8. Prüfen Sie die Einstellungen und klicken Sie auf Fertigstellen.

Weitere Informationen