关于 VMware vCenter 标识源
VMware vCenter 支持不同的标识源,以便对访问 vCenter 的用户进行身份验证。 可以将 CloudSimple 私有云 vCenter 设置为使用 Active Directory 进行身份验证,以便 VMware 管理员能够访问 vCenter。 设置完成后, cloudowner 用户可以将标识源中的用户添加到 vCenter。
可以通过以下任一方式设置 Active Directory 域和域控制器:
- 在本地运行的 Active Directory 域和域控制器
- 在 Azure 订阅中,作为虚拟机运行于 Azure 上的 Active Directory 域及域控制器
- 在私有云中运行的新 Active Directory 域和域控制器
- Azure Active Directory 服务
本指南介绍了设置在本地或订阅中作为虚拟机运行的 Active Directory 域和域控制器的任务。 若要将 Azure AD 用作标识源,请参阅 将 Azure AD 用作 CloudSimple 私有云上的 vCenter 的标识提供者 ,以获取有关设置标识源的详细说明。
在添加标识源之前,暂时升级 vCenter 特权。
谨慎
必须将新用户添加到 Cloud-owner-Group、Cloud-Global-Cluster-Admin-Group、Cloud-Global-Storage-Admin-Group、Cloud-Global-Network-Admin-Group 或 Cloud-Global-VM-Admin-Group。 将自动删除添加到 管理员 组的用户。 只有服务帐户才能添加到 管理员 组和服务帐户不得用于登录到 vSphere Web UI。
身份源选项
重要
不支持 Active Directory (Windows 集成身份验证)。 仅支持使用 Active Directory over LDAP 选项作为标识源。
将本地部署的 Active Directory 添加为单个 Sign-On 标识源
若要将本地 Active Directory 设置为单个 Sign-On 标识源,需要:
- 从本地数据中心到私有云的站点到站点 VPN 连接。
- 已将本地部署的 DNS 服务器 IP 添加到 vCenter 和平台服务控制器(PSC)。
设置 Active Directory 域时,请使用下表中的信息。
| 选项 | 说明 |
|---|---|
| 名称 | 标识源的名称。 |
| 用户的基本 DN | 用户的基准识别名称。 |
| 域名 | 域名的完全限定域名(FQDN),例如 example.com。 不要在此文本框中提供 IP 地址。 |
| 域别名 | 域 NetBIOS 名称。 如果使用 SSPI 身份验证,请将 Active Directory 域的 NetBIOS 名称添加为标识源的别名。 |
| 组的基本 DN | 组的基准可分辨名称。 |
| 主服务器 URL | 域的主域控制器 LDAP 服务器。 使用格式 ldap://hostname:port 或 ldaps://hostname:port。 对于 LDAP 连接,端口通常为 389,LDAPS 连接为 636。 对于 Active Directory 多域控制器部署,端口通常为 LDAP 3268,LDAPS 为 3269。在主或辅助 LDAP URL 中使用 ldaps:// 时,需要为 Active Directory 服务器的 LDAPS 终结点建立信任的证书。 |
| 辅助服务器 URL | 用于故障转移的辅助域控制器 LDAP 服务器的地址。 |
| 选择证书 | 如果要将 LDAPS 与 Active Directory LDAP 服务器或 OpenLDAP 服务器标识源一起使用,请在键入 ldaps:// URL 文本框后显示“选择证书”按钮。 不需要辅助 URL。 |
| 用户名 | 域中至少对用户和组的 Base DN 具有只读访问权限的用户的 ID。 |
| 密码 | 由用户名指定的用户的密码。 |
当你具备上表中的信息时,可以在 vCenter 上将本地 Active Directory 添加为单一 Sign-On 标识源。
小窍门
可以在 VMware 文档页上找到有关单 Sign-On 标识源的详细信息。
在私有云上设置新的 Active Directory
可以在私有云上设置新的 Active Directory 域,并将其用作单一登录的标识源。 Active Directory 域可以是现有 Active Directory 林的一部分,也可以设置为独立林。
新建 Active Directory 林和域
若要设置新的 Active Directory 林和域,需要:
- 运行Microsoft Windows Server 的一个或多个虚拟机,用作新 Active Directory 林和域的域控制器。
- 用于名称解析的一个或多个运行 DNS 服务的虚拟机。
有关详细步骤,请参阅 安装新的 Windows Server 2012 Active Directory 林 。
小窍门
为了获得服务的高可用性,我们建议设置多个域控制器和 DNS 服务器。
设置 Active Directory 林和域后,可以在 vCenter 上为新的 Active Directory 添加标识源 。
现有 Active Directory 林中的新 Active Directory 域
若要在现有 Active Directory 林中设置新的 Active Directory 域,需要:
- 与 Active Directory 林位置建立站点到站点 VPN 连接。
- DNS 服务器,用于解析现有 Active Directory 林的名称。
有关详细步骤,请参阅 安装新的 Windows Server 2012 Active Directory 子域或树域 。
设置 Active Directory 域后,可以在 vCenter 上为新的 Active Directory 添加标识源 。
在 Azure 上设置 Active Directory
在 Azure 上运行的 Active Directory 类似于在本地运行的 Active Directory。 若要将 Azure 上运行的 Active Directory 设置为 vCenter 上的单个 Sign-On 标识源,vCenter 服务器和 PSC 必须与运行 Active Directory 服务的 Azure 虚拟网络建立网络连接。 可以使用 ExpressRoute 的 Azure 虚拟网络连接,从运行 Active Directory 服务的 Azure 虚拟网络建立到 CloudSimple 私有云的连接。
建立网络连接后,请按照 “将本地 Active Directory 添加为单个 Sign-On 身份源” 中的步骤,将其添加为身份源。
在 vCenter 上添加标识源
提升 私有云上的特权。
登录到私有云的 vCenter。
选择 “主页 > 管理”。
选择 “单一登录 > 配置”。
打开“ 标识源 ”选项卡,然后单击 + 以添加新的标识源。
选择 Active Directory 作为 LDAP 服务器 ,然后单击“ 下一步”。
指定环境的标识源参数,然后单击“ 下一步”。
查看设置,然后单击“ 完成”。