通过连接到vCenter Server的vSphere Web客户端完成添加和删除vCenter Identity来源,或设置默认身份来源。SSO可以将多个域附加到身份源,具体取决于一组作为默认域。
有关组和用户的所有数据都存储在SSO数据库本地,或者通过Microsoft Active Directory(AD)/ Open LDAP系统检索和搜索(如果已配置)。
注意:任何给定时间只有一个默认域。您不能同时拥有两个默认域。
将身份提供者视为管理身份来源并验证用户身份的服务。身份提供者的示例包括Microsoft AD联合身份验证服务(ADFS)或vCenter SSO。
vCenter Server 7支持哪些类型的身份源?^
- LDAP上的Microsoft AD- SSO支持LDAP身份源上的多个AD
- LDAPS上的AD-使用SSL到LDAP的安全连接(LDAP安全)
- Microsoft IWA(集成Windows身份验证) –允许您将单个AD指定为身份源。该选项允许用户使用您的AD帐户登录vCenter Server。
- Open LDAP- vCenter SSO支持Open LDAP 2.4及更高版本;支持多个Open LDAP身份源。
通过管理部分> SSO配置中的选项可以使用不同的选项。本节提供了不同的身份提供程序选项。
如何通过vSphere Client设置默认身份源^
使用默认的administrator@vsphere.local登录名和密码连接到vCenter Server 。这是您在安装过程中创建的默认设置。(注意:如果在安装过程中创建了其他域,请通过administrator @ yourdomain连接。)
转到“主页”>“管理”>“单点登录”>“配置”>“身份提供程序”选项卡。
当您单击按钮时,将打开一个覆盖窗口,询问您是否要继续。
您具有有关域,别名,类型,服务器URL或名称的详细信息。通过单选按钮选择连接之一后,您可以编辑,设置为默认设置或删除连接。
在“身份提供程序”选项卡之外,还有一个“本地帐户”选项卡,您可以在其中指定和更改密码策略或帐户锁定策略。这些策略仅适用于本地SSO帐户。
Microsoft AD安全性更改在不久的将来会如何?
许多管理员使用“集成Windows身份验证”选项,因为这是与现有Microsoft AD环境集成的最简单方法。但是,Microsoft计划更改AD的默认行为,以要求强身份验证和加密。
更改后,集成Windows身份验证将无法正常工作。您将无法搜索SSO的用户和组,并且还有其他一些不兼容之处。
尽管集成Windows身份验证目前可以使用,但Microsoft计划进一步保护AD。这将影响VMware配置,因为将强烈要求使用强身份验证和加密。如果您使用的是未加密的LDAP(ldap://,而不是ldaps://),则需要进行一些更改。您需要计划和启用LDAPS或使用身份联合。
VMware在此处发送消息-vSphere 7中不推荐使用集成Windows身份验证(IWA)。仍支持但不推荐使用。LDAPS上的Microsoft AD和Identity Federation是将vSphere连接到Active Directory的两个主要建议。
请注意,如果您已将vCenter Server添加到Microsoft AD域, 则不 受此即将发生的更改的影响。仅在使用LDAP而不将vCenter Server添加到AD时受影响。
如您所见,我们已经将vCenter Server加入了Microsoft AD,所以应该没问题。
如何从LDAP迁移到LDAPS?
如果由于某种原因您在未加入AD的vCenter Server系统上运行,则从LDAP迁移到LDAPS时需要在DC上进行补充配置和设置,因为您将需要安装企业CA并处理证书。
使用脚本管理身份验证服务
vCenter Server Appliance(VCSA)具有一个称为sso-config的内置命令,用于管理配置服务。您可以通过运行sso-config -help来查看不同的选项。
还有另一个service-control,它允许您启动,停止和列出服务。使用service-control --list-services显示所有服务及其状态。
使用service-control --help可获得更多详细信息。