vCenter SSO身份认证概述

云计算 虚拟化
vSphere 5引入了SSO,允许将不同的基础设施比如vCenter以及Web Client安装在不同的虚拟机上。SSO是一个通信通道,使管理员不用将所有的基础设施都安装在vCenter Server上,但很多人对SSO及其工作机制存在误解。

vSphere 5引入了SSO,允许将不同的基础设施比如vCenter以及Web Client安装在不同的虚拟机上。SSO是一个通信通道,使管理员不用将所有的基础设施都安装在vCenter Server上,但很多人对SSO及其工作机制存在误解。

什么是SSO?

SSO是一个可选的用于VMware用户管理、服务管理以及认证的认证系统。vCenter SSO是AD基础设施之外的另一种vCenter认证方式。

执行vCenter简易安装的用户不需要担心部署SSO的问题,因为在给出正确的证书时将会列出当前的AD配置并增加相应的配置。确保用域管理员身份而不是本地管理员身份登录运行安装镜像,否则将域用户添加到vCenter时会有问题。

如何配置vCenter SSO

对于有多个域或者希望添加一个新域的用户来说,部署SSO的过程非常简单。新用户请注意大多数SSO修改需要通过Web Client完成。

采用全新安装方式一定要注意两个不同的用户账户。***个是SSO管理账号admin@System-Domain,另一个账户是用于vCenter设备的SSO用户root@System-Domain。 root@System-Domain账号无权修改虚拟机基础设施,也不能与虚拟机基础设施进行交互,仅能用于修改SSO用户、安全性认证以及登录设置。下图使用的是admin@System-Domain账号。通过查看Web Client的右上角可以确认正在使用哪个账号。

vSphere Web Client在屏幕右上角显示vSphere清单及登录的用户

管理员账号admin@System-Domain能够与虚拟机、网络、存储进行交互。但不要混淆,admin@System-Domain仍旧是一个SSO用户而不是域用户。

如何添加域

在vCenter中添加用户时如果没有列出AD域,可以使用admin@System-Domain用户登录到Web Client解决该问题。

在vCenter中增加域授权,要使用之前安装时设置的密码登录。你会注意到Web Client中的很多选项是灰色的,这是正常的,因为登录帐号只是一个SSO帐号。

接下来,依次选择管理>登录与发现>识别资源。这将会显示所有已安装的身份源。在vCenter中添加一个新域,要单击绿色的+符号打开配置屏幕。最常见的选项就是AD,但是如果你需要配置非-AD LDAP,可以使用OpenLDAP。

***一个选项是本地操作系统,是操作系统级的认证。你可以选择一个已经配置好的域,例如在我的设置中你可以看到“VCENTER”条目。

 

在vSphere Web Client中为新域配置SSO

如果你想增加一个AD域,选择AD然后填写身份源信息。你需要选择第二个域控制器,因为在两个域中放置相同的控制器信息将会出现错误,导致过程中止。

一旦部署了第二个域控制器,vCenter就能够处理请求。问题或错误将会出现在左侧面板。为编辑该请求,可以通过双击“正在处理的工作”面板显示已填充的数据。如果你不确定LDAP的约定或配置,可以使用ADSI 编辑器从域控制器获取这些信息。

如何为新域增加权限

在vSphere Windows客户端中对新域进行测试,需要重新登录。选择你喜欢的视图,定位到权限标签,在空白空间中右键选择”添加权限“。在用户与用户组下,选择添加然后在下拉列表中选择域。你应该能看到列出的域用户。将角色分配给左侧面板的用户然后单击确认。我建议你创建一个基于域、只包含管理员的用户组。

 

使用vSphere Windows客户端将角色授予域中的用户

使用管理员登录然后在Web Client中做相同的配置。在左侧的清单树中选择你所偏爱的视图。在Web Client的右侧面板选择权限然后单击绿色的+按钮。之后的配置与Windows Client完全相同,选择认证域然后单击AD域。

 

使用vSphere Web Client为用户及用户组增加权限

SSO重要性增加

在新版vCenter中,SSO的重要性比之前更高。如果你对SSO感兴趣,可以到VMware官方网站查看vSphere 5.1手册。

作为一个附加产品,VMware建议大型站点的管理员将SSO从5.1升级至***版本以增加功能与可靠性。该过程相当简单而且不需要升级vCenter。

责任编辑:黄丹 来源: TechTarget中国
相关推荐

2012-11-28 09:55:35

2014-02-14 13:21:22

2011-09-15 14:21:38

2011-03-30 13:21:17

2023-12-25 08:04:42

2013-11-15 09:43:02

2012-04-16 09:54:26

2010-09-06 14:03:06

PPP身份认证

2024-08-07 12:14:39

2013-08-30 10:54:53

2021-09-28 10:48:07

开源双因素认证单点登录

2017-04-27 02:08:18

身份认证人工智能首都网络安全日

2018-03-06 09:26:27

数据身份认证区块链

2018-07-05 14:52:05

2010-09-03 09:19:13

PPP身份认证

2012-05-07 14:50:32

ASP.NET

2011-07-14 15:34:08

2011-08-10 15:34:17

身份认证云安全CA Technolo

2011-02-24 17:48:23

2011-11-07 14:15:30

点赞
收藏

51CTO技术栈公众号