vCenter SSO身份認證概述
vSphere 5引入了SSO,允許將不同的基礎(chǔ)設(shè)施比如vCenter以及Web Client安裝在不同的虛擬機上。SSO是一個通信通道,使管理員不用將所有的基礎(chǔ)設(shè)施都安裝在vCenter Server上,但很多人對SSO及其工作機制存在誤解。
什么是SSO?
SSO是一個可選的用于VMware用戶管理、服務(wù)管理以及認證的認證系統(tǒng)。vCenter SSO是AD基礎(chǔ)設(shè)施之外的另一種vCenter認證方式。
執(zhí)行vCenter簡易安裝的用戶不需要擔(dān)心部署SSO的問題,因為在給出正確的證書時將會列出當(dāng)前的AD配置并增加相應(yīng)的配置。確保用域管理員身份而不是本地管理員身份登錄運行安裝鏡像,否則將域用戶添加到vCenter時會有問題。
如何配置vCenter SSO
對于有多個域或者希望添加一個新域的用戶來說,部署SSO的過程非常簡單。新用戶請注意大多數(shù)SSO修改需要通過Web Client完成。
采用全新安裝方式一定要注意兩個不同的用戶賬戶。***個是SSO管理賬號admin@System-Domain,另一個賬戶是用于vCenter設(shè)備的SSO用戶root@System-Domain。 root@System-Domain賬號無權(quán)修改虛擬機基礎(chǔ)設(shè)施,也不能與虛擬機基礎(chǔ)設(shè)施進行交互,僅能用于修改SSO用戶、安全性認證以及登錄設(shè)置。下圖使用的是admin@System-Domain賬號。通過查看Web Client的右上角可以確認正在使用哪個賬號。
vSphere Web Client在屏幕右上角顯示vSphere清單及登錄的用戶
管理員賬號admin@System-Domain能夠與虛擬機、網(wǎng)絡(luò)、存儲進行交互。但不要混淆,admin@System-Domain仍舊是一個SSO用戶而不是域用戶。
如何添加域
在vCenter中添加用戶時如果沒有列出AD域,可以使用admin@System-Domain用戶登錄到Web Client解決該問題。
在vCenter中增加域授權(quán),要使用之前安裝時設(shè)置的密碼登錄。你會注意到Web Client中的很多選項是灰色的,這是正常的,因為登錄帳號只是一個SSO帳號。
接下來,依次選擇管理>登錄與發(fā)現(xiàn)>識別資源。這將會顯示所有已安裝的身份源。在vCenter中添加一個新域,要單擊綠色的+符號打開配置屏幕。最常見的選項就是AD,但是如果你需要配置非-AD LDAP,可以使用OpenLDAP。
***一個選項是本地操作系統(tǒng),是操作系統(tǒng)級的認證。你可以選擇一個已經(jīng)配置好的域,例如在我的設(shè)置中你可以看到“VCENTER”條目。
在vSphere Web Client中為新域配置SSO
如果你想增加一個AD域,選擇AD然后填寫身份源信息。你需要選擇第二個域控制器,因為在兩個域中放置相同的控制器信息將會出現(xiàn)錯誤,導(dǎo)致過程中止。
一旦部署了第二個域控制器,vCenter就能夠處理請求。問題或錯誤將會出現(xiàn)在左側(cè)面板。為編輯該請求,可以通過雙擊“正在處理的工作”面板顯示已填充的數(shù)據(jù)。如果你不確定LDAP的約定或配置,可以使用ADSI 編輯器從域控制器獲取這些信息。
如何為新域增加權(quán)限
在vSphere Windows客戶端中對新域進行測試,需要重新登錄。選擇你喜歡的視圖,定位到權(quán)限標(biāo)簽,在空白空間中右鍵選擇”添加權(quán)限“。在用戶與用戶組下,選擇添加然后在下拉列表中選擇域。你應(yīng)該能看到列出的域用戶。將角色分配給左側(cè)面板的用戶然后單擊確認。我建議你創(chuàng)建一個基于域、只包含管理員的用戶組。
使用vSphere Windows客戶端將角色授予域中的用戶
使用管理員登錄然后在Web Client中做相同的配置。在左側(cè)的清單樹中選擇你所偏愛的視圖。在Web Client的右側(cè)面板選擇權(quán)限然后單擊綠色的+按鈕。之后的配置與Windows Client完全相同,選擇認證域然后單擊AD域。
使用vSphere Web Client為用戶及用戶組增加權(quán)限
SSO重要性增加
在新版vCenter中,SSO的重要性比之前更高。如果你對SSO感興趣,可以到VMware官方網(wǎng)站查看vSphere 5.1手冊。
作為一個附加產(chǎn)品,VMware建議大型站點的管理員將SSO從5.1升級至***版本以增加功能與可靠性。該過程相當(dāng)簡單而且不需要升級vCenter。
