设置 vCenter 身份源以使用 Active Directory

VMware vCenter 支持不同的身份源,以对访问 vCenter 的用户进行身份验证。您可以将您的私有云 vCenter 设置为通过 Active Directory 进行身份验证,以允许您的 VMware 管理员访问 vCenter。设置完成后,CloudOwner 用户可以从身份源将用户添加到 vCenter。

您可以通过以下任一方式设置 Active Directory 网域和网域控制器:

  • 在本地运行的 Active Directory 网域和网域控制器
  • 在私有云中运行的新 Active Directory 网域和网域控制器

添加身份源之前,请暂时升级您的 vCenter 权限

身份源选项

将本地 Active Directory 添加为单点登录身份源

如需将您的本地 Active Directory 设置为单点登录 (SSO) 身份源,您需要:

  • 从本地数据中心到私有云的站点到站点 VPN 连接
  • 将本地 DNS 服务器 IP 添加到 vCenter 和 Platform Services Controller (PSC)。

下表列出了在将本地 Active Directory 网域设置为 vCenter 上的单点登录 (SSO) 身份源时所需的信息。

选项 说明
名称 身份源的名称。
用户的基本 DN 用户的基本标识名。
域名 网域的 FDQN,例如 example.com。请勿在此字段中提供 IP 地址。
网域别名 网域 NetBIOS 名称。如果您使用 SSPI 身份验证,请添加 Active Directory 网域的 NetBIOS 名称作为身份源的别名。
群组的基本 DN 群组的基本标识名。
主服务器网址 网域的主域名控制器 LDAP 服务器。

使用 ldap://hostname:portldaps://hostname:port 格式。对于 LDAP 连接,端口通常为 389;对于 LDAPS 连接,端口通常为 636。在 Active Directory 多网域控制器部署中:对于 LDAP,端口通常为 3268;对于 LDAPS,端口通常为 3269。

在主要或辅助 LDAP 网址中使用 ldaps:// 时,需要使用证书为 Active Directory 服务器的 LDAPS 端点建立信任。
辅助服务器网址 用于故障转移的辅助网域控制器 LDAP 服务器的地址。
选择证书 如需将 LDAPS 用于您的 Active Directory LDAP 服务器或 OpenLDAP 服务器身份源,请点击在网址文本框中输入 ldaps:// 后显示的选择证书按钮。不需要辅助服务器网址。
用户名 对用户和群组的基本 DN 至少拥有只读权限的网域用户的 ID。
密码 用户名指定的用户密码。

如需详细了解单点登录 (SSO) 身份源,请参阅 VMware 文档

在私有云上设置新的 Active Directory

您可以在私有云上设置新的 Active Directory 网域,并将其用作单点登录 (SSO) 身份源。Active Directory 网域可以是现有 Active Directory 林的一部分,也可以设置为独立林。

新的 Active Directory 林和网域

如需设置新的 Active Directory 林和网域,您需要:

  • 一个或多个运行 Microsoft Windows Server 的虚拟机,用作新的 Active Directory 林和网域的网域控制器。
  • 一个或多个运行 DNS 服务以进行域名解析的虚拟机。

如需了解详细步骤,请参阅安装新的 Windows Server 2012 Active Directory 林

为确保服务的高可用性,Google 建议您设置多个网域控制器和 DNS 服务器。

设置 Active Directory 林和网域后,您可以在 vCenter 上为新的 Active Directory 添加身份源

现有 Active Directory 林中的新 Active Directory 网域

如需在现有 Active Directory 林中设置新的 Active Directory 网域,您需要:

  • 连到 Active Directory 林位置的站点到站点 VPN 连接。
  • 用于解析现有 Active Directory 林的域名的 DNS 服务器。

如需了解详情,请参阅安装新的 Windows Server 2012 Active Directory 子域或树域

设置 Active Directory 网域后,您可以在 vCenter 上为新的 Active Directory 添加身份源

在 vCenter 上添加身份源

  1. 在您的私有云上提升权限
  2. 登录到私有云的 vCenter。
  3. 选择首页 > 管理
  4. 选择单点登录 > 配置
  5. 打开身份源标签页,然后点击 +添加以添加新的身份源。
  6. 选择 Active Directory 作为 LDAP 服务器,然后点击下一步
  7. 为您的环境指定身份源参数,然后点击下一步
  8. 检查设置,然后点击完成

后续步骤