VCenter5.5的用户体系与5.1及之前版本略有不同,安装完成后,默认所在OS已经不能用于VC的用户验证(验证是指验证登陆,授权是指功能权限,用户授权当然是VC自己管理的)。从5.1起,如果要使用LDAP或者AD作为VC的用户验证源,需要进行专门设置(4.x直接就用windows的用户验证体系,所以只要vc的os在ad域里,自动就能用ad验证了),这篇博客将给出配置的方法。
SSO的配置需要登陆vSphere web client进行,vSphere web client的地址为https://VC所在OS的IP:9443/vsphere-client,要进行sso配置,需要使用超级管理员登陆,5.5的超级管理员为administrator@vsphere.local(5.1的超级管理员为admin@System-Domain),密码实在安装过程中输入的,具体的VC安装请参见基于VMware的虚拟机资源池实现。
登陆后,点击界面左侧的“系统管理”-》“Single Sign-On”-》“配置”,在右侧界面中选择“标识源”页签,点击“+”工具按钮添加标识源,如使用AD,在窗口上方选择“Active Directory作为LDAP服务器”,如果使用的是LDAP,直接选“Open LDAP”即可。不管选择哪一项,需要输入的项目是相同的,如下图。
如果标识源是AD,假定域名为mydomain.com,则各项目输入说明如下:
- 名称:mydomain-ad
- 用户的基本DN:dc=mydomain,dc=com
- 域名:mydomain.com
- 域别名:mydomain
- 组的基本DN:dc=mydomain,dc=com
- 主服务器URL:ldap://mydomain.com
- 辅助服务器URL:
- 用户名:mydomain\vcadmin-ad,这里vcadmin-ad为mydomain.com里的普通用户
- 密码:mydomain\vcadmin-ad的密码
如果标识源是LDAP,假定ldap服务器的dns地址为ldap.mydns.com,ldap里的根为dc=mydomain,dc=com,则各项目的输入说明如下:
- 名称:mydomain-ldap
- 用户的基本DN:cn=users,dc=mydomain,dc=com
- 域名:ldap.mydns.com
- 域别名:mydns
- 组的基本DN:cn=groups,dc=mydomain,dc=com
- 主服务器URL:ldap://ldap.mydns.com:389
- 辅助服务器URL:
- 用户名:uid=vcadmin,cn=users,dc=mydomain,dc=com,这里vcadmin为ldap中的普通用户,属性如下图:
- 密码:vcadmin的密码
输入上述信息后,点击测试连接,成功后,即可使用配置的ldap或ad进行用户验证了,可以通过界面左侧的“系统管理”-》“Single Sign-On”-》“用户和组”,对ldap或ad用户授予sso管理权限,也可以通过vSphere client或还在vSphere web client中,对ldap或ad用户授予VC里的各项管理权限。
