vSphere 5引入了SSO,允许将不同的基础设施比如vCenter以及Web Client安装在不同的虚拟机上。SSO是一个通信通道,使管理员不用将所有的基础设施都安装在vCenter Server上,但很多人对SSO及其工作机制存在误解。
什么是SSO?
SSO是一个可选的用于VMware用户管理、服务管理以及认证的认证系统。vCenter SSO是AD基础设施之外的另一种vCenter认证方式。
执行vCenter简易安装的用户不需要担心部署SSO的问题,因为在给出正确的证书时将会列出当前的AD配置并增加相应的配置。确保用域管理员身份而不是本地管理员身份登录运行安装镜像,否则将域用户添加到vCenter时会有问题。
如何配置vCenter SSO
对于有多个域或者希望添加一个新域的用户来说,部署SSO的过程非常简单。新用户请注意大多数SSO修改需要通过Web Client完成。
采用全新安装方式一定要注意两个不同的用户账户。***个是SSO管理账号admin@System-Domain,另一个账户是用于vCenter设备的SSO用户root@System-Domain。 root@System-Domain账号无权修改虚拟机基础设施,也不能与虚拟机基础设施进行交互,仅能用于修改SSO用户、安全性认证以及登录设置。下图使用的是admin@System-Domain账号。通过查看Web Client的右上角可以确认正在使用哪个账号。
vSphere Web Client在屏幕右上角显示vSphere清单及登录的用户
管理员账号admin@System-Domain能够与虚拟机、网络、存储进行交互。但不要混淆,admin@System-Domain仍旧是一个SSO用户而不是域用户。
如何添加域
在vCenter中添加用户时如果没有列出AD域,可以使用admin@System-Domain用户登录到Web Client解决该问题。
在vCenter中增加域授权,要使用之前安装时设置的密码登录。你会注意到Web Client中的很多选项是灰色的,这是正常的,因为登录帐号只是一个SSO帐号。
接下来,依次选择管理>登录与发现>识别资源。这将会显示所有已安装的身份源。在vCenter中添加一个新域,要单击绿色的+符号打开配置屏幕。最常见的选项就是AD,但是如果你需要配置非-AD LDAP,可以使用OpenLDAP。
***一个选项是本地操作系统,是操作系统级的认证。你可以选择一个已经配置好的域,例如在我的设置中你可以看到“VCENTER”条目。
在vSphere Web Client中为新域配置SSO
如果你想增加一个AD域,选择AD然后填写身份源信息。你需要选择第二个域控制器,因为在两个域中放置相同的控制器信息将会出现错误,导致过程中止。
一旦部署了第二个域控制器,vCenter就能够处理请求。问题或错误将会出现在左侧面板。为编辑该请求,可以通过双击“正在处理的工作”面板显示已填充的数据。如果你不确定LDAP的约定或配置,可以使用ADSI 编辑器从域控制器获取这些信息。
如何为新域增加权限
在vSphere Windows客户端中对新域进行测试,需要重新登录。选择你喜欢的视图,定位到权限标签,在空白空间中右键选择”添加权限“。在用户与用户组下,选择添加然后在下拉列表中选择域。你应该能看到列出的域用户。将角色分配给左侧面板的用户然后单击确认。我建议你创建一个基于域、只包含管理员的用户组。
使用vSphere Windows客户端将角色授予域中的用户
使用管理员登录然后在Web Client中做相同的配置。在左侧的清单树中选择你所偏爱的视图。在Web Client的右侧面板选择权限然后单击绿色的+按钮。之后的配置与Windows Client完全相同,选择认证域然后单击AD域。
使用vSphere Web Client为用户及用户组增加权限
SSO重要性增加
在新版vCenter中,SSO的重要性比之前更高。如果你对SSO感兴趣,可以到VMware官方网站查看vSphere 5.1手册。
作为一个附加产品,VMware建议大型站点的管理员将SSO从5.1升级至***版本以增加功能与可靠性。该过程相当简单而且不需要升级vCenter。