Konfigurowanie źródeł tożsamości programu vCenter do korzystania z usługi Active Directory
Informacje o źródłach tożsamości VMware vCenter
Program VMware vCenter obsługuje różne źródła tożsamości na potrzeby uwierzytelniania użytkowników, którzy uzyskują dostęp do programu vCenter. Chmura prywatna CloudSimple vCenter można skonfigurować do uwierzytelniania w usłudze Active Directory dla administratorów programu VMware w celu uzyskania dostępu do programu vCenter. Po zakończeniu instalacji użytkownik właściciela chmury może dodać użytkowników ze źródła tożsamości do programu vCenter.
Domenę i kontrolery domeny usługi Active Directory można skonfigurować w dowolny z następujących sposobów:
- Domeny i kontrolery domeny usługi Active Directory uruchomione lokalnie
- Domeny usługi Active Directory i kontrolery domeny uruchomione na platformie Azure jako maszyny wirtualne w ramach subskrypcji platformy Azure
- Nowa domena usługi Active Directory i kontrolery domeny uruchomione w chmurze prywatnej
- Usługa Azure Active Directory
W tym przewodniku opisano zadania konfigurowania domeny usługi Active Directory i kontrolerów domeny z systemem lokalnym lub jako maszyn wirtualnych w subskrypcjach. Jeśli chcesz użyć Azure AD jako źródła tożsamości, zobacz Use Azure AD as an identity provider for vCenter on CloudSimple Private Cloud (Używanie Azure AD jako dostawcy tożsamości dla chmury prywatnej w chmurze CloudSimple), aby uzyskać szczegółowe instrukcje dotyczące konfigurowania źródła tożsamości.
Przed dodaniem źródła tożsamości tymczasowo eskaluj uprawnienia programu vCenter.
Przestroga
Nowi użytkownicy muszą zostać dodani tylko do grupy Cloud-Owner-Group, Cloud-Global-Cluster-Administracja-Group, Cloud-Global-Storage-Administracja-Group, Cloud-Global-Network-Administracja-Group lub Cloud-Global-VM-Administracja-Group. Użytkownicy dodani do grupy Administratorzy zostaną usunięci automatycznie. Tylko konta usług należy dodać do grupy Administratorzy i konta usług nie mogą być używane do logowania się do internetowego interfejsu użytkownika vSphere.
Opcje źródła tożsamości
- Dodawanie lokalna usługa Active Directory jako źródła tożsamości logowania jednokrotnego
- Konfigurowanie nowej usługi Active Directory w chmurze prywatnej
- Konfigurowanie usługi Active Directory na platformie Azure
Ważne
Usługa Active Directory (zintegrowane uwierzytelnianie systemu Windows) nie jest obsługiwana. Opcja Tylko usługa Active Directory za pośrednictwem protokołu LDAP jest obsługiwana jako źródło tożsamości.
Dodawanie lokalnej usługi Active Directory jako pojedynczego źródła tożsamości Sign-On
Aby skonfigurować lokalna usługa Active Directory jako jedno źródło tożsamości Sign-On, potrzebne są następujące elementy:
- Połączenie sieci VPN typu lokacja-lokacja z lokalnego centrum danych do chmury prywatnej.
- Lokalny adres IP serwera DNS dodany do programu vCenter i kontrolera usług platformy (PSC).
Podczas konfigurowania domeny usługi Active Directory skorzystaj z informacji w poniższej tabeli.
| Opcja | Opis |
|---|---|
| Nazwa | Nazwa źródła tożsamości. |
| Podstawowa nazwa wyróżniająca dla użytkowników | Podstawowa nazwa wyróżniająca dla użytkowników. |
| Nazwa domeny | Nazwa FQDN domeny, na przykład example.com. Nie należy podawać adresu IP w tym polu tekstowym. |
| Alias domeny | Nazwa NetBIOS domeny. Dodaj nazwę NetBIOS domeny usługi Active Directory jako alias źródła tożsamości, jeśli używasz uwierzytelniania SSPI. |
| Podstawowa nazwa wyróżniająca dla grup | Podstawowa nazwa wyróżniająca grup. |
| Adres URL serwera podstawowego | Podstawowy serwer LDAP kontrolera domeny dla domeny. Użyj formatu ldap://hostname:port lub ldaps://hostname:port. Port jest zazwyczaj 389 dla połączeń LDAP i 636 dla połączeń LDAPS. W przypadku wdrożeń kontrolera z wieloma domenami usługi Active Directory port jest zazwyczaj 3268 dla protokołu LDAP i 3269 dla protokołu LDAPS.Certyfikat, który ustanawia zaufanie dla punktu końcowego LDAPS serwera usługi Active Directory jest wymagany w przypadku użycia ldaps:// w podstawowym lub pomocniczym adresie URL LDAP. |
| Adres URL serwera pomocniczego | Adres pomocniczego serwera LDAP kontrolera domeny, który jest używany do pracy w trybie failover. |
| Wybieranie certyfikatu | Jeśli chcesz użyć protokołu LDAPS z serwerem LDAP usługi Active Directory lub źródłem tożsamości serwera OpenLDAP, po wpisaniu ldaps:// adresu URL zostanie wyświetlony przycisk Wybierz certyfikat. Pomocniczy adres URL nie jest wymagany. |
| Nazwa użytkownika | Identyfikator użytkownika w domenie, który ma minimalny dostęp tylko do odczytu do podstawowej nazwy wyróżniającej dla użytkowników i grup. |
| Password (Hasło) | Hasło użytkownika, który jest określony przez nazwę użytkownika. |
Jeśli masz informacje z poprzedniej tabeli, możesz dodać lokalna usługa Active Directory jako jedno Sign-On źródło tożsamości w programie vCenter.
Porada
Więcej informacji na temat źródeł tożsamości z pojedynczymi Sign-On można znaleźć na stronie dokumentacji oprogramowania VMware.
Konfigurowanie nowej usługi Active Directory w chmurze prywatnej
Możesz skonfigurować nową domenę usługi Active Directory w chmurze prywatnej i użyć jej jako źródła tożsamości na potrzeby logowania jednokrotnego. Domena usługi Active Directory może być częścią istniejącego lasu usługi Active Directory lub może być skonfigurowana jako niezależny las.
Nowy las i domena usługi Active Directory
Do skonfigurowania nowego lasu i domeny usługi Active Directory potrzebne są następujące elementy:
- Co najmniej jedna maszyna wirtualna z systemem Microsoft Windows Server do użycia jako kontrolery domeny dla nowego lasu i domeny usługi Active Directory.
- Co najmniej jedna maszyna wirtualna z uruchomioną usługą DNS na potrzeby rozpoznawania nazw.
Aby uzyskać szczegółowe instrukcje, zobacz Install a New Windows Server 2012 Active Directory Forest (Instalowanie nowego lasu usługi Active Directory).
Porada
Aby uzyskać wysoką dostępność usług, zalecamy skonfigurowanie wielu kontrolerów domeny i serwerów DNS.
Po skonfigurowaniu lasu i domeny usługi Active Directory możesz dodać źródło tożsamości w programie vCenter dla nowej usługi Active Directory.
Nowa domena usługi Active Directory w istniejącym lesie usługi Active Directory
Aby skonfigurować nową domenę usługi Active Directory w istniejącym lesie usługi Active Directory, potrzebne są następujące elementy:
- Połączenie sieci VPN typu lokacja-lokacja z lokalizacją lasu usługi Active Directory.
- Serwer DNS do rozpoznawania nazwy istniejącego lasu usługi Active Directory.
Aby uzyskać szczegółowe instrukcje, zobacz Install a new Windows Server 2012 Active Directory child or tree domain (Instalowanie nowej domeny podrzędnej lub domeny drzewa usługi Active Directory).
Po skonfigurowaniu domeny usługi Active Directory możesz dodać źródło tożsamości w programie vCenter dla nowej usługi Active Directory.
Konfigurowanie usługi Active Directory na platformie Azure
Usługa Active Directory uruchomiona na platformie Azure jest podobna do usługi Active Directory działającej lokalnie. Aby skonfigurować usługę Active Directory działającą na platformie Azure jako jedno Sign-On źródła tożsamości w programie vCenter, serwer vCenter i psC muszą mieć łączność sieciową z usługą Azure Virtual Network, w której są uruchomione usługi Active Directory. Możesz ustanowić tę łączność przy użyciu usługi Azure Virtual Network Connection przy użyciu usługi ExpressRoute z sieci wirtualnej platformy Azure, w której usługi Active Directory są uruchomione w chmurze prywatnej CloudSimple.
Po nawiązaniu połączenia sieciowego wykonaj kroki opisane w temacie Dodawanie lokalnej usługi Active Directory jako pojedynczego źródła tożsamości Sign-On, aby dodać je jako źródło tożsamości.
Dodawanie źródła tożsamości w programie vCenter
Eskaluj uprawnienia do chmury prywatnej.
Zaloguj się do programu vCenter dla chmury prywatnej.
Wybierz pozycję Administracja domowa>.
Wybierz pozycję Konfiguracja logowania jednokrotnego>.
Otwórz kartę Źródła tożsamości i kliknij, + aby dodać nowe źródło tożsamości.
Wybierz usługę Active Directory jako serwer LDAP , a następnie kliknij przycisk Dalej.
Określ parametry źródła tożsamości dla środowiska i kliknij przycisk Dalej.
Przejrzyj ustawienia i kliknij przycisk Zakończ.