vsphere-esxi vcenterservices controller administration guideVMware網(wǎng)站還提供了最近產(chǎn)品

VMware還提供了最近的產(chǎn)品更新VMware,廣州3401Hillview市市廣州PaloAlto,CA淮海中333804-809室?2009–2019VMware,Inc.保留所利。和商標信息。關(guān)于《PlatformServicesController管理 PlatformServicesController入門vCenterServerPlatformServicesController部署類型具有外PlatformServicesController實例和高可用性的部署拓撲了解vSphere域、和站點13PlatformServicesController功能13PlatformServicesController服務(wù)PlatformServicesController設(shè)備使用vCenterSingleSign-On進行vSphere驗證vCenterSingleSign-OnvCenterSingleSign-On標識源了解vCenterServer雙因素驗證將vCenterSingleSign-On用作其他服務(wù)提供程序的提供程序安全令牌服(STS)vCenterSingleSign-On策略vCenterSingleSign-On用戶和組57vCenterSingleSign-On安全性最佳做法63vSphere安全不同解決方案途徑的要求管理概覽使用vSphereClient管理從vSphereWebClient管理使用vSphere管理器實用程序管理手動替換使用CLI命令管理服務(wù)和運行CLI所需的133certool配置選項134certool初始化命令參考certool管理命令參考vecs-cli命令參考dir-cli命令參考PlatformServicesController進行故障排除LookupService錯誤的原因無法使用ActiveDirectory域驗證進行登錄152由于用戶帳戶被鎖定，vCenterServer登錄失敗154VMware服務(wù)需要較長時間154PlatformServicesController支持包155PlatformServicesController服務(wù)日志155關(guān)于PlatformServicesController管理內(nèi)容要1.PlatformServicesController管理》內(nèi)容要PlatformServicesController入門指nvCenterServer部署模PlatformServicesController署模型。注意此信息因產(chǎn)品版本而異 LinuxWindowsPlatformServicesController PlatformServicesController服務(wù)nVAMIPlatformServicesController設(shè)備使用vCenterSingleSign-On驗n驗證過程的架構(gòu) 如何添加標識源，以便域中的用戶可以進行驗證n雙因素驗證n管理用戶、組和策vSphere安全 模型和用于替換的選項 從UI替換（簡單情況） 使用Manager實用程序替換 使用CLI替換（復(fù)雜情況）n管理CLI參考除上述文檔外，VMware還針對每個vSphere版本發(fā)布了《vSphere安全性配置指南》（以前稱為強化指南），為：htt /security/hardening-guides.html?！秜Sphere安全性配置指南》中術(shù)和數(shù)據(jù)中心操作且具有豐富經(jīng)驗的Windows或Linux系統(tǒng)管理員。供步驟。與vSphereWebClient有關(guān)的過程在標題中包含vSphereWebClient。注vSphere6.7Update1vSphereWebClientvSphereClient中得以實現(xiàn)。有關(guān)其他不受支持的功能的列表，請參見《vSphereClient功能更新說明》。PlatformServicesController入 vCenterSingleSign-On驗證PlatformServicesController vCenterServerPlatformServicesController PlatformServicesController vCenterServerPlatformServicesController部署嵌入式或外部PlatformServicesController部署的適用于WindowsvCenterServer。您也可以將PlatformServicesController作為設(shè)備部署，或者將其安裝在Windows上。必要，可以使用混合操作vCenterServerApplianceWindowsvCenterServer之前，必須確定適合您環(huán)境的部表1?1.vCenterServer和PlatformServicesController部署類部署類部署類 描vCenter

與PlatformServicesController在一起的所有服務(wù)vCenterServer服務(wù)一起部署在同一虛擬機或物理服務(wù)器PlatformServicesController

只有vCenterServer服務(wù)會部署在虛擬機或物理服務(wù)器此類vCenterServer實例。注未來的vSphere版本中將不支持具有外部PlatformServicesController部署的vCenterServer部署。見VMware知識庫文章ht 具有嵌入式PlatformServicesControllervCenterSign-On域。虛擬機或物理服務(wù)vCenter圖1?1.具有嵌入式虛擬機或物理服務(wù)vCenter PlatformServicesController與具有外部PlatformServices部署的vCenterPlatformServicesControllervCenterSingleSign-On域，或者加入現(xiàn)有的vCenterSingleSign-On域。加入的PlatformServicesController實例將其基礎(chǔ)架構(gòu)數(shù)據(jù)，如驗證和信息，并且可以跨多個vCenterSingleSign-On站點。有關(guān)信息，請參見了解vSphere域、和注未來的vSphere版本中將不支持具有外部PlatformServicesController部署的vCenterServer部署。見VMware知識庫文章ht 采用向其的PlatformServicesController實例的vCenterSingleSign-On站點。向一個共同或不同的已加入PlatformServicesController實例的所有vCenterServer實例都在增強型模式下進行連接。1?2.具有共同PlatformServicesController的兩vCenterServer虛虛擬機或物理服務(wù)虛擬機或物理服務(wù)虛擬機或物理服務(wù)vCentervCenter nPlatformServicesControllervCenterServer最高配置的信息，請參見最高配置文檔。有關(guān)在vCenterHighAvailability配置中配置具有外部PlatformServicesController部署的注PlatformServicesControllervCenterServer后，可以重新配置部署類型并切換到具有嵌入式PlatformServicesController部署的vCenterServer。混合操作系統(tǒng)環(huán)或PlatformServicesController設(shè)備中。vCenterServerAppliance可以到Windows上安裝的PlatformServicesController中或PlatformServicesController設(shè)備中?？梢韵蛲籔latformServicesControllervCenterServer和vCenterServerAppliance圖1?3.具有在Windows上運行的外部PlatformServicesController的混合操作系虛擬機或物理服務(wù)虛擬vCenterServerPlatformServices圖1?4.具有外部PlatformServicesController設(shè)備的混合操作系統(tǒng)虛虛擬虛擬機或物理服務(wù)虛擬vCenterServerController設(shè)備注為確保易于管理 ，請僅使用設(shè)備或者僅使用vCenterServer和PlatformServicesController具有外PlatformServicesController實例和高可用性的部署PlatformServicesControllervCenterSingleSign-On域中安裝或部注vSpherePlatformServicesControllervCenterServer部署。見知識庫文章60229。具有負載平衡器的PlatformServicesvCenter圖1?5.實現(xiàn)了負載平衡的PlatformServicesControllervCenterPlatformPlatformServicesPlatformServicesvCentervCenter重要PlatformServicesController高可用性，PlatformServicesController實例必自動在其他正常工作的PlatformServicesController實例之間分配負載，而不會出現(xiàn)停機。跨vCenterSingleSign-On站點并具有負載平衡PlatformServicesvCenter圖1?6.跨兩個站點并實現(xiàn)了負載平衡的兩個PlatformServicesControllervCenterPlatformServicesvCentervCenterPlatformServicesvCenterPlatformServicesPlatformServices無負載平衡器的PlatformServicesPlatformServicesvCentervCenter圖1?7.無負載平衡PlatformServicesvCentervCenterPlatformServicesvCentervCenter當您將兩個或PlatformServicesController實例加入無負載平衡器的同一站點中時，您可以為此站點配置PlatformServicesController高可用性和手動故障切換。何使vCenterServer實例重新PlatformServicesController的信息，請參見《《vCenterServer注注vCenterSingleSign-On拓撲，請針對部署的第一個和最后一個PlatformServicesController實例運行/usr/lib/vmware-vmdir/bin/vdcrepadmin-fcreateagreement命令?？鐅CenterSingleSign-On站點并且不具有負載平衡PlatformServices圖1?8.跨兩個站點并且不具有負載平衡的兩個已加入PlatformServicesController實例對11PlatformServicesvCentervCenterPlatformServicesvCenterPlatformServicesvCenterPlatformServicesPlatformServicesControllerPlatformServicesController。有關(guān)如何使vCenterServer實例重新PlatformServicesController的信息，請參見《《vCenterServer了解vSphere域 和站每個PlatformServicesController都與一個vCenterSingleSign-On域關(guān)聯(lián)。默認為vsphere.local，但可以在安裝第一個PlatformServicesController時更改。域決定本地驗證空間。您可以將一個域拆PlatformServicesController和vCenterServer實例分配給一個站點。站點是邏輯PlatformServicesController安裝PlatformServicesController時，系統(tǒng)會提示您創(chuàng)建vCenterSingleSign-On域現(xiàn)有域。由VMwareDirectoryService(vmdir)用于所有的輕量 協(xié)議(LDAP)內(nèi)部構(gòu)造。 注PlatformServicesControllervCenterServer組進行驗證更有意義。也可以將vCenterServer或PlatformServicesController實例或其他VMware產(chǎn)品（例如，vRealizeOperations）添加到該域。PlatformServicesController站PlatformServicesController域組織為邏輯站點。VMwareDirectoryService中的站點是邏輯容器，可用來對vCenterSingleSign-On域中的PlatformServicesController實例進行分組。vSphere6.5開始，站點變得非常重PlatformServicesController故障切換過程中，vCenterServer理位置中的PlatformServicesController，可以使用多個站點。安裝或升級PlatformServicesController時，系統(tǒng)會提示您輸入站點名稱。請參見《vCenterServer安裝和PlatformServicesController重要功PlatformServicesController包括多項服務(wù)（PlatformServicesController服務(wù)中所述），且具有以下重 使用自定義（在VMwareEndpointStore(VECS)中部署模Controller部署類型。PlatformServicesControllerPlatformServicesControllervCenterServerServer安裝和設(shè)置》文檔。vSphere6.7Update1PlatformServicesControllervCenterServerServer安裝和設(shè)置》文檔。PlatformServicesController不同的PlatformServicesController服務(wù)支持不同的界面。1?2.用于管PlatformServicesController接接 描vSphereClient Web界面（HTML5的客戶端）。vSphereClient用戶界面vSphereWeb 管理實用程 支持CSR生成和替換令行工具。請參見使用管理器實用程序管理用于管理PlatformServicesController服務(wù)的 用于管理、VMware (VECS)和DirectoryService(vmdir)的一組命令。請4章，使用命令管理服務(wù) PlatformServicesController服服 描PlatformServicesController包括以下基礎(chǔ)架構(gòu)服務(wù)。1?3.PlatformServices服 描(VMwareApplianceManagementvmware-cis-(VMwareLicensevmware-sts-(VMwareIdentityManagementvmware-(VMwareSecurityTokenvmware-(VMwareHTTPReversevmware-(VMwareServiceControlvmware-（VMware設(shè)備服務(wù)vmware-vapi-(VMwarevAPIVMwareAuthenticationVMware

處理設(shè)備配置并為設(shè)備生命周期管理提供公用API端點。包含PlatformServicesController設(shè)備上每個PlatformServicesController都包含VMwareLicenseService，該服務(wù)可為環(huán)境中的VMware產(chǎn)品提供集中的證LicenseService將以30秒為間隔在域中的所PlatformServicesController之間vCenterSingleSign-On功能支持的服務(wù)，這些服務(wù)可為軟件組件和用戶提供安全的驗證服務(wù)通過使用vCenterSingleSign-On，VMware組件可使用安全的SAML令牌交換機制進行通信。vCenterSingleSign-On可構(gòu)建安裝或升級期間將在該域中進行。反向可在每個PlfrmSrvcsCorlr節(jié)點和每個vCtrSrvr系統(tǒng)上運行。它是節(jié)點的單一點，可使節(jié)點上運行的各項服務(wù)安全地進行通信。管理服務(wù)配置?？墒褂胹ervice-controlCLI來管理各個服務(wù)vCenterServerAppliance客戶機操作系統(tǒng)資源消耗。vSphereAutomationAPI端點可提供對vAPI服務(wù)的單點?？梢詖SphereClientvAPIEndpoint服務(wù)的屬性。有關(guān)vAPI端點的詳細信息，請參見《vSphereAutomationSDK編程該服務(wù)可為vmdir驗證提供客戶端框架，并為VMwareEndpoint(VMwareEndpointStore,VECS)可使用以VMCA作為根頒發(fā)機構(gòu)的簽名置備每個具有vmafd客戶端庫的VMware軟件組件及每個ESXi主機。可以使用Manager實用程序更改默認。VMwareService使用VMwareEndpoint(VECS)來充當每個PlatformServicesController實例上的本地庫。盡管您可以決定不使用VMCA而改用自定義，但是必須將這些添加到VECS。1?3.PlatformServicesController（續(xù)提供多租戶、多重管理 服務(wù)，該服務(wù)用驗服 描VMwareDirectoryVMware服VMwareLifecycleManagervmware-VMwareServiceLifecycleLikewiseServiceVMwarePlatformServicesController運行狀況vmware-VMwareytics

證、、查找和證信息。不要使用LDAP瀏覽器更vmdird中的數(shù)據(jù)未在vSphere6.x中使用。啟動和停止vCenterServer服務(wù)以及服務(wù)API運行狀況。vmware-vmon服務(wù)是獨立于平臺的集中式服務(wù)，用于管理PlatformServicesControllervCenterServer的生命周期。向第應(yīng)用程序公開API和CLI。Likewise有助于將主機加入ActiveDirectory域以及后續(xù)的用戶所有PlatformServicesController基礎(chǔ)架構(gòu)服務(wù)的運行測數(shù)據(jù)，以及管理客戶體驗提升計劃(CEIP)的組件。vSphereClientPlatformServicesController服PlatformServicesControllervCenterServervSphereWebClientPlatformServicesController服您可以從vSphereWebClient管理vCenterSingleSign-On和服務(wù)。使用vSphereClientCLIvSphereWebClient管理以下服務(wù)。 nVMwareEndpointStore(VECS)n雙因素驗證，例如通用卡驗證n登錄橫幅PlatformServicesControllervCenterServer選選 描SingleSign- 配置vCenterSingleSign-Onn設(shè)置策略。n管理標識源。n管理STS簽名nSAML服務(wù)提供商。n管理用戶和組。配配 使 管理PlatformServicesController服 描表1?4.用于管理和關(guān)聯(lián)服務(wù)的 描 生成并管理和密鑰。屬于VMCA certool初始化命令參vecs- 管理VMware實例的內(nèi)容。屬VMAFD

vecs-cli命令參 VMwareDirectoryService中創(chuàng)建并更新。屬于VMAFD。

dir-cli命令sso- 用于配置智能卡驗證的實用程序 了解vCenterServer雙因素驗service- 用于啟動、停止和列出服務(wù)令 在運行其他CLI命令之前，運行此命令停止服務(wù) C:\ProgramFiles\VMware\vCenterServer\vmafdd\vecs-cli.exeC:\ProgramFiles\VMware\vCenterServer\vmafdd\dir-cli.exeC:\ProgramFiles\VMware\vCenterServer\vmcad\certool.exeC:\ProgramFiles\VMware\VCenterserver\VMwareIdentity PlatformServicesController 界 描vCenterServer的設(shè)備。請參見《vCenterServerAppliance配置》。表1?5.用于管理PlatformServicesController界 描PlatformServicesController虛擬設(shè)備管理界面 使用該界面可以重新配置PlatformServicesController部署的統(tǒng)設(shè)置PlatformServicesController設(shè)備s 管理操作。請參見使用vSphere管理器實用程序管理和第4章，使用CLI命令管理服務(wù)和。使用PlatformServicesController虛擬設(shè)備管理界面管理設(shè)備(VAMISSH登錄設(shè)置。您也可以更改root，將設(shè)備加入ActiveDirectory域，以及退出ActiveDirectory域。在Web瀏覽器中，轉(zhuǎn)至Web界面，為從設(shè)S管理設(shè) 切換到啟用SSH登錄，然后單擊確定。按照同樣的步驟也可啟用設(shè)備的BashS。 設(shè)備s 如果已更改root，請使用新。PlatformServicesController設(shè)備添ActiveDirectory戶登錄到與PlatformServicesController關(guān)聯(lián)的vCenterServer。請參見添加或編輯vCenterSingleSign-On標識源。2使用vCenterSingleSign-On進2vSphere驗vCenterSingleSign-On是一個驗證程序和安全令牌交換基礎(chǔ)架構(gòu)。當用戶可以向vCenterSingleSign-On進行驗證時，該用戶將收到SAML令牌。從今往后，用戶可以使用SAML令牌向vCenter服vSphere6.0開始，vCenterSingleSign-OnPlatformServicesControllervCenterSingleSign-On、VMware Authority和LicenseService。有關(guān)PlatformServicesController的詳細信息，請參見《《vCenterServer安裝和設(shè)置》》。決方案用戶的信息，請參見第3章，vSphere安全。 vCenterSingleSign-vCenterSingleSign-On6.0 如何使用vCenterSingleSign-On保護您的 ( 人工用戶的vCenterSingleSign-OnvSphereWeb213456vSphereWeb213456用戶使用用戶名和登錄vSphereClient以vCenterServer系統(tǒng)或其他vCenter服務(wù)。用戶還可以不使用而選中使用Windows會話驗證復(fù)選框進行登錄。vSphereClient具有有效令牌，vCenterSingleSign-On隨后會檢查用戶是否位于已配置的標識源中（例如，ActiveDirectory）。nvCenterSingleSign-Onn如果隨用戶名一起提供（\user1或 注首先，每個用戶都分配有“無權(quán) ”角色。vCenterServer管理員必須至少為用戶分配“只讀”角色，用戶才能登錄。請參見《vSphere安全性》文檔。解決方案用戶的vCenterSingleSign-OnvCenterServervCenterServervCenterServer擴展。VMware擴展及潛在的第擴展也可能對vCenterSingleSign-On進行驗證。圖2?2.解決方案用戶的vCenterSingleSign-On解決方案解決方案用3142vCenterSingleSign-On默認情況下，此握手將自動執(zhí)行，因為VMCA會在啟動期間為解決方案用戶置備。如果公司策略要求使用第CA簽名，則可以將解決方案用戶替換為第CA簽名的。如果這些有效，vCenterSingleSign-On將向解決方案用戶分配SAML令牌。請參見在vSphere中使用自定義。vCenterSingleSign-OnDirectoryService(vmdir)。VMwareDirectoryService還可用于管理。

SingleSign-On支持的標識源類型之一中的用戶標識。SAML令牌允許成功 管理服務(wù)器允許用戶具有vCenterSingleSign-On的管理員，以便配置vCenterSingleSign-On服務(wù)器并管理vSphereWebClient中的用戶和組。PlatformServicesController安裝vCenterServer或部署vCenterServerAppliance時，可以更改vSphere域。使ActiveDirectory或OpenLDAP命名該VMwareDirectoryService(vmdir)

VMwareDirectoryService(vmdir)與安裝期間您指定的域相關(guān)聯(lián)，并且包含PlatformServicesController中。該服務(wù)是在端口389上提供LDAP的多租戶、多重管理服務(wù)。該服務(wù)仍使用端口PlatformServicesControllervmdir實例中的vmdir內(nèi)容更新會到所有其他vmdir實例。自vSphere6.0起，VMwareDirectoryService不僅會vCenterSingleSign-On信息，而且還會信息。vCenterSingleSign-On如何影響安裝此變更影響vCenterServer安裝。使用vCenterSingleSign-On進行驗證會使vSphere更加安全，因為vSphere軟件組件使用安全的令牌交換機制彼此進行通信，且所有其他用戶也可以使用vCenterSingleSign-On進行驗證。vSphere6.0開始，vCenterSingleSign-OnPlatformServicesController的一部分。PlatformServicesControllervSphere組件之間進行通信所需的全部服務(wù)，其中包括vCenterSingleSign-On、VMwareAuthority、VMwareLookupService以及服務(wù)。 vCenterServer或部署vCenterServerAppliance。對于嵌入式部署，將自動 如果最多大約四個vCenterServer實例，一個PlatformServicesController例，您可以安裝額外的PlatformServicesController以獲得更佳的性能。每PlatformServicesControllervCenterSingleSign-On服務(wù)會與所有其他實例同步驗證數(shù)據(jù)。準確數(shù)量取決于vCenterServer實例的使用程通過vSphere使用vCenterSingleSign-當用戶登錄vSphere組件或vCenterServer解決方案用戶另一個vCenterServer服務(wù)時，vCenter才能與vSphere對象進行交互。nvSphere環(huán)境中的一組服務(wù)。在安裝期間，默認情況下，VMCA會向每個解決方案用戶分配一個。解決方案用戶使用該對vCenterSingleSign-On進行驗證。vCenterSinglen其他用戶登錄到環(huán)境時（vSphereClient登錄），vCenterSingleSign-On會提示您輸入用戶名和。如果vCenterSingleSign-On在相應(yīng)的標識源中找到具有這些憑據(jù)的用戶，則會向該用戶分配SAML令牌?，F(xiàn)在，用戶可以環(huán)境中的其他服務(wù)，而無需提示再次進行驗證。管理員可以從vSphereWebClientvSphereClient中的權(quán)限界面分配這些權(quán)限，而不是通vCenterSingleSign-On進行分配。請參見《vSphere安全性》文檔。vCenterSingleSign-OnvCenterServer用戶可通過在登錄頁面上輸入憑據(jù)向vCenterSingleSign-On進行驗證。連接到vCenterServer后，通過驗證的用戶可以查看所有vCenterServer實例或向其角色提供權(quán)限的其他vSphere對象。無需進安裝后，vCenterSingleSign-On域的管理員（默認為administrator@vsphere.local）vCenterSingle理vCenterSingleSign-On域中的用戶和組。要用戶知道。請參見更改vCenterSingleSign-On。只有vCenterSingleSign-On管理員可以為不注注通過vSphereClient更改SDDC 不會與“默認vCenter憑據(jù)”頁面上顯示 同。vCenterSingleSign-On管理員用可從vSphereClient或vSphereWebClientvCenterSingleSign-On管理界面要配vCenterSingleSign-OnvCenterSingleSign-On用戶和組administrator@vsphere.local或vCenterSingleSign-On管理員組中的用戶必須登錄到vSphereClient。根據(jù)驗證，該用戶可以通過vSphereClientvCenterSingleSign-On管理界面，并管理標識源和默認域、指定策略以及執(zhí)行其注如果在安裝過程中指定了其他域，則不能重命名vCenterSingleSign-On管理員用戶，它默認為administrator@vsphere.local或administrator@my On域中創(chuàng)建其名的用戶，并為其分配管理。然后，可以使用管理員帳戶停止。ESXiESXi主機未vCenterSingleSign-OnPlatformServicesController集成。請vSphere安全性》，了解有關(guān)將ESXi主機添加到ActiveDirectory的信息。VMwareHostClient、vCLIPowerCLIESXiESXi用戶，vCenterServer不會識別這些用戶。因此，創(chuàng)建本地用戶會造成，尤其是如果使用相同的用戶名。如果可以對vCenter注vCenterServerESXi主機的權(quán)限（如果可能）如何登錄到vCenterServer nvCenterSingleSign-OnvCenterServer。如果添加到如果環(huán)境中包括ActiveDirectory層次結(jié)構(gòu)，請參見VMware知識庫文章 注注從vSphere6.0Update2開始，支持雙因 驗證vCenterSingleSign-On域中 Authority，而屬于LicenseService.Administrators組的用戶可以管理證。注其中許多組是vsphere.local的內(nèi)部組或可向用戶提供高級別管理 注注 表2?1.vsphere.local描描用 vCenterSingleSign-On域（默認為vsphere.local）中的用戶 解決方案用戶組vCenter服務(wù)。每個解決方案用戶將使用單獨向vCenterSingleSign-On進行驗證。默認情況下，VMCA將為解決方案用戶置備。不要向該組明確 CAAdmins組的成員擁有VMCA的管理員。不要向該組添加成員，除非您有充分的 DCAdmins組的成員可以對VMwareDirectoryService執(zhí)行域控制器管理員操作注不要直接管理域控制器。請改用vmdirCLI或vSphereClient執(zhí)行相應(yīng)的任務(wù)

此組中的用戶可以啟用和禁用對BASHs的。默認情況下，使用SSH連接到vCenterServerAppliance的用戶只能受限s中令。此組中的用戶可以BASHs。 Act-AsUsers的成員可以vCenterSingleSign-OnAct-As令牌 vSphere未使用此內(nèi)部組。VMwarevCloudAir需要此組描表2?1.vsphere.local域中的組（續(xù)描 SystemConfiguration.Administrators組的成員可以在vSphereClient中查看和管理系以及管理這些節(jié)點。 此組在，以便允許管理節(jié)點VMwareDirectoryService中的數(shù)據(jù)注注不要修改此組。任何更改都可能會影 基礎(chǔ)架構(gòu) 冊服務(wù)，即修改服務(wù)。對服務(wù)進行不需要此組中的成員資格 LicenseService.Administrators的成員對所有與相關(guān)的數(shù)據(jù)具有完全的寫入管理 VMwareDirectoryService(vmdir)的管理員。此組的成員可以執(zhí)行vCenterSingleOn管理任務(wù)。不要向該組添加成員，除非您有充分的理由并了解vCenterSingleSign-On標識用戶僅使用用戶名登錄時，vCenterSingleSign-On會在默認標識源中檢查該用戶是否可以進行驗證。當用戶登錄并在登錄屏幕中提供時，vCenterSingleSign-On會檢查指定的域，確認該域是否已添加為vSphereClientvCenterSingleSign-OnvCenterSingleSign-OnvCenterSingleSign-On管理員。vCenterSingleSign-On管理員不同于vCenterServer或ESXi上的管理vCenterSingleSign-On管理員（administrator@vsphere.local）可以對vCenterSingleSign-On進行驗證。 vCenterServervCenterSingleSign-OnvCenterSingleSign-On服務(wù)器用于用戶驗證 SingleSign-On管理員用戶可以添加標識源，或者更改已添加的標識源的設(shè)置。 將vCenterSingleSign-On與Windows會話驗證結(jié)合使PlatformServicesControllerActiveDirectory域，然后才能使用SSPI。vCenterServervCenterSingleSign-On的標識SingleSign-On服務(wù)器用于用戶驗證。用戶和組數(shù)據(jù)在ActiveDirectory中、OpenLDAP中或者到本地安裝了vCenterSingleSign-On的計算機操作系統(tǒng)。在安裝后，vCenterSingleSign-On的每個實例都有標識源your__name，例如，vsphere.local。此標識源在vCenterSingleSign-On內(nèi)部。文檔。vCenterSingleSign-On5.5支持將以下類型的用戶庫用作標識源，但僅支持一個默認標識源。nActiveDirectory2003vSphereClientActiveDirectory(Windows身份驗證)。vCenterSingleSign-OnActiveDirectory域指定為標識源。該域可包含子域或作為林的根域。VMware知識庫文章vCenterSingleSign-On支持的Directory信任nActiveDirectoryoverLDAP。vCenterSingleSign-On支持多個ActiveDirectoryoverLDAP標識源。vSphere5.1vCenterSingleSign-OnvSphereClient中顯示為ActiveDirectory作為LDAP服務(wù)器。nOpenLDAP2.4及更高版本。vCenterSingleSign-OnOpenLDAPnvCenterSingleSign-On服務(wù)器的操作系統(tǒng)的本地用戶。本地操作系統(tǒng)標識源僅在基本vCenterSingleSign-On服務(wù)器部署中存在，并在具有多個vCenterSingle注注如果PlatformServicesController與vCenterServer系統(tǒng)位于不同的計算機上， 注無論何時都只存在一個默認域。來自非默認域的用戶在登錄時必須添加 設(shè)置vCenterSingleSign-On的默認vCenterSingleSign-On標識源都與某個域相關(guān)聯(lián)。vCenterSingleSign-On使用默認域驗證未使用域 nvCenterSingleSign-OnvCenterServer。如果添加到為administrator@vsphere.local或vCenterSingleSign-On管理員組的其他成員指定用戶名和。如果在安裝時指定了不同的域，請以administrator@my登錄。添加或編輯vCenterSingleSign-OnvCenterSingleSign-OnvCenterServer。vCenterSingleSign-On管理員用戶可以添加標識源，或者更改已添加的標識源的設(shè)置。標識源可以是本機ActiveDirectory（集成Windows驗證）域，也可以是OpenLDAP服務(wù)。為實ActiveDirectoryLDAPvCenterServervCenterSingleSign-On的標識源。 可以繼續(xù)進行驗證。在使用嵌入式PlatformServicesController的環(huán)境中使用localos標識源沒有意義。 ActiveDirectoryvCenterServerAppliancevCenterServerWindows計算ActiveDirectoryPlatformServicesControllerActiveDirectory域。為administrator@vsphere.local或vCenterSingleSign-On管理員組的其他成員指定用戶名和。如果在安裝時指定了不同的域，請以administrator@my登錄。選描ActiveDirectory(集成證驗ActiveDirectory實施，請使用此選項。如果要使用此選項，則運行SingleSign-On服務(wù)的計算機必ActiveDirectory請參見ActiveDirectory標識源設(shè)置基于LDAPActive此選項可用于向后兼容性。這需要您指定域控制器和其他信息。請參見DirectoryLDAPServerOpenLDAPServer標識源設(shè)置對于OpenLDAP標識源，請使用此選項。請參見ActiveDirectoryLDAPServerOpenLDAPServer標識源設(shè)置SSO服務(wù)器的本地操作對于SSO服務(wù)器的本地操作系統(tǒng)，請使用注如果用戶帳戶已鎖定或禁用，ActiveDirectory域中的驗證以及組和用戶搜索將失敗。用戶帳戶必須具有用戶和組OU的只讀權(quán)限，并且必須能夠用戶和組屬性。默認情況下，ActiveDirectory添加標識源后，所有用戶均可進行驗證，但只有無權(quán)角色。具有vCenter您可以配置權(quán)限，以便已加入的ActiveDirectory域中的用戶和組可以vCenterServer組件。請參見ActiveDirectory標識源使用ActiveDirectory標識源的必 注注ActiveDirectory（ 明確指定一個SPN。注在vSphere5.5中，即使指定SPN，vCenterSingleSign-On仍會使用計算機帳戶。請參見VMware知識庫文章，為ht 文本 描文本 描 的FQDN，例如， 。提供IP地址。該域名必須可由vCenterServer系統(tǒng)進行DNS解析。如果您使用的是vCenterServerAppliance，請使用有關(guān)配置網(wǎng)絡(luò)設(shè)置的信息來更新DNS服務(wù)器設(shè)置。 選擇此選項可將本地計算機帳戶用作SPN。選擇此選項時，應(yīng)僅指定。如果您希望重命名此計算機，選擇此選項。使用服務(wù)主體名稱(SPN) 如果您希望重命名本地計算機，請選擇此選項。必須指定SPN、能夠通過標識源進行驗證的用戶以及該用戶的。服務(wù)主體名稱(SPN) 有助于Kerberos識別ActiveDirectory服務(wù)的SPN。請在名稱 SPN在域中必須唯一。運行setspn-S可檢查是否未創(chuàng)建重復(fù)項。有關(guān)setspn的信息，請參見文檔。用戶主體名稱(UPN) 能夠通過此標識源進行驗證的用戶的名稱和。請使用電 子郵件地址格式，例如 。可以通過Directory服務(wù)界面編輯器(ADSIEdit驗證用戶主體名ActiveDirectoryLDAPServerOpenLDAPServer標識源LDAPServerActiveDirectory可用于向后兼容性。針對需要較少輸入的設(shè)置，使用Active配置OpenLDAP標識源時，請參見VMware知識庫文章，為ht 選 描2?3.LDAPServerActiveDirectory選 描名 標識源的名稱用戶的基本 用戶的基本識別名組的基本 組的基本識別名 域的FQDN。 對于ActiveDirectory標識源，該別名為域的NetBIOS名稱。如果要使用SSPI驗證，則將ActiveDirectory域的NetBIOS對于OpenLDAP標識源，如果不指定別名，則會添加大寫字母 域中用戶的ID，該用戶對用戶和組的基本DN只具有最小只讀權(quán)選 描2?3.LDAPServerActiveDirectoryOpenLDAP設(shè)置選 描 由用戶名指定的用戶的。連接 要連接到的域控制器?？梢允怯蛑械娜魏斡蚩刂破骰蛱囟刂破髦鞣?wù)器 域的主域控制器LDAP服務(wù)器ldap://hostname:pot或ldaps://hostname:port9DAP36DAPSAcveDrcry28DAP69DAPS。LDAPURL或輔LDAPURL中使ldaps時，需要一個為ActiveDirectory服務(wù)器的LDAPS端點建立信任輔助服務(wù)器 用于故障切換的輔助域控制器LDAP服務(wù)器的地址SSL 如果要將LDAPS與ActiveDirectoryLDAP服務(wù)器或OpenLDAP服務(wù)器標識源配合使用，請單擊瀏覽選擇將vCenterSingleSign-On與Windows會 驗證結(jié)合使PlatformServicesControllerActiveDirectory域，然后才能使用SSPI。 了解vCenterServer雙因 驗通過vCenterSingleSign-On，您可以作為vCenterSingleSign-On可識別的標識源中的用戶進行驗通過使用RSASecurID令牌來進行驗證。雙因素驗證方 智能卡驗證僅允許在所登錄計算機的USB驅(qū)動器上接入了物理卡的用戶進行。例如，通用卡(CommonAccessCard,CAC)驗證。管理員可以部署PKI，使智能卡成為由CA頒發(fā)的唯一客戶端。對于入PIN。只有同時具有物理卡以及與匹配的PIN的用戶才能登錄。RSASecurID驗 AuthenticationManager。如果PlatformServicesController已配置為指向注注驗指定非默認驗證方n對于智能卡驗證，可以從vSphereClient或通過使用sso-config執(zhí)行vCenterSingleSign-On設(shè)n對于RSASecurID，使用sso-config為域配置RSAAuthenticationManager，并啟用RSA令牌份驗證方法將顯示在vSphereClient中結(jié)合使用各種驗證方智能卡智能卡是具有嵌入式集成電路的小型塑料卡。許多機構(gòu)和大型企業(yè)使用諸如通用卡(CAC)之vCenterServerPlatformServicesControllerPIN的組合進注注配置和使用智能卡驗vSphere版6.0Update1TomcatvSphere6.0文檔中心2啟用和配置智能6.5及更高1設(shè)置反向配置反向以請求客戶2啟用和配置智能驗證 使用命令行管理智能卡驗管理智能卡驗PlatformServicesControllervCenterServerPlatformServicesController的系將CA到PlatformServicesController系統(tǒng)操操作系 描 以root用戶登錄設(shè)備s 以管理員用戶登錄Windows命令提示符cdcd/usr/lib/vmware-opensslx509-informPEM-inpanySmartCardSigningCA.cer>/usr/lib/vmware-cdcd/usr/lib/vmware-opensslx509-informPEM-inpanySmartCardSigningCA.cer>>/usr/lib/vmware-注Windows上的PlatformServicesController上，使用C:\ProgramData\VMware\vCenterServer\runtime\VMwareSTSService\conf并將命令更改為使操操作系 描 /etc/vmware- <maxConnections>2048 <clientCAListFile>/usr/lib/vmware-sso/vmware-描描操作系 重新啟動操作系統(tǒng)，或通過執(zhí)行以下步驟重新啟動VMwareHTTPReverse/usr/lib/vmware-vmon/vmon-cli--restart打開權(quán)限提升令提/usr/lib/vmware-vmon/vmon-cli--restart運行以下命cdcdC:\ProgramFiles\VMware\vCenterServer\binservice-control--stopvmware-rhttpproxyservice-control--startvmware-rhttpproxy使用命令行管理智能卡驗?zāi)梢栽谝韵挛恢谜业絪so-config： C:\ProgramFiles\VMware\VCenterserver\VMwareIdentityServices\sso- /opt/vmware/bin/sso-sso-config.bat-sso-config.bat--pwdAuthntrue-t命命操作系如果您使用默認租戶，請使用vsphere.local作為租戶名稱sso-config.sh-set_authn_policy-pwdAuthn-t如果您使用默認租戶，請使用vsphere.local作為租戶名稱默認設(shè)置并配置一個或多個替代OCSP響應(yīng)者。例如，您可以設(shè)置vCenterSingleSign-On站點本地的OCSP響應(yīng)者，用于處理吊銷檢查請求。注注如果您 nPlatformServicesController6.5vCenterServer版本6.0或更高版本。PlatformServicesController版本6.0Update2支持智能卡驗證，但設(shè)置過 ) nvCenterServerActiveDirectory標識源中的一個或多個用戶。然后，這些用戶可執(zhí)行管理任務(wù)，因為他們可以進行驗證，并且具有vCenterServer管理員。注默認情況下，vCenterSingleSign-Onadministrator@vsphere.local無法執(zhí)行智能卡身 選選描 登錄到PlatformServicesControllerWindows安裝，并使用WinSCP或類似的實用程序文件。 a直接或者使SSH登錄到設(shè)備控制臺b啟用設(shè)備s，如下所示使用使用WinSCP或類似的實用程PlatformServicesControllerschsh-s"/bin/bash"的/usr/lib/vmware-sso/vmware-sts/confd選擇性禁用設(shè)備s，如下所示chshchsh-s"/bin/appliancesh"sso-config.[bat|sh]sso-config.[bat|sh]-set_authn_policy-certAuthntrue-first_trusted_cert.cer,second_trusted_cert.cer-tsso-config.[bat|sh]sso-config.[bat|sh]-set_authn_policy-certAuthntrue-cacertsMySmartCA1.cer,MySmartCA2.cer-tsso-config.[bat|sh]sso-config.[bat|sh]-set_authn_policy-pwdAuthnfalse-tvsphere.localsso-config.sh-set_authn_policy-winAuthnfalse-tvsphere.localsso-config.sh-set_authn_policy-securIDAuthnfalse-tsso-config.[bat|sh]sso-config.[bat|sh]-set_authn_policy-certPoliciessso-config.batsso-config.bat-set_authn_policy-certPoliciessso-config.[bat|sh]sso-config.[bat|sh]-set_authn_policy-ttenantName-useOcsp指定多個替代OCSP響應(yīng)者，以便允許進行故障切換。sso-config.[bat|sh]sso-config.[bat|sh]-ttenant-add_alt_ocsp[-siteIDyourPSCClusterID]-ocspUrl /-ocspSigningCertyourOcspSigningCA.cer注OnOCSPsiteID.sso-config.[bat|sh].sso-config.[bat|sh]-tvsphere.local-add_alt_ocsp--ocspSigningCert./DOD_JITC_ _CA-290x01A5DOD_JITC_ROOT_CA_2.cerAddingalternativeOCSPresponderfortenant:vsphere.localOCSPresponderisaddedsuccessfully! OCSPOCSPsigningCA][OCSPOCSPsigningCA]binarybinary]sso-config.[bat|sh]sso-config.[bat|sh]-ttenantName-sso-config.[bat|sh]sso-config.[bat|sh]-ttenantName-delete_alt_ocsp[-allSite][-sso-config.[bat|sh]sso-config.[bat|sh]-get_authn_policy-tsso-config.bat-sso-config.bat--pwdAuthntrue-t操操作系命如果您使用默認租戶，請使用vsphere.local作為租戶名稱sso-config.sh-set_authn_policy-pwdAuthn-t如果您使用默認租戶，請使用vsphere.local作為租戶名稱nPlatformServicesController6.5vCenterServer版本6.0或更高版本。PlatformServicesController版本6.0Update2支持智能卡驗證，但設(shè)置過 ) nvCenterServerActiveDirectory標識源中的一個或多個用戶。然后，這些用戶可執(zhí)行管理任務(wù)，因為他們可以進行驗證，并且具有vCenterServer管理員。注默認情況下，vCenterSingleSign-Onadministrator@vsphere.local無法執(zhí)行智能卡身 選選 描 登錄到PlatformServicesControllerWindows安裝，并使用WinSCP或類似的實用程序文件。 a直接或者使SSH登錄到設(shè)備控制臺b啟用設(shè)備s，如下所示使用使用WinSCP或類似的實用程PlatformServicesControllerschsh-s"/bin/bash"csh-s"bin/appliance/sh"的/usr/lib/vmware-sso/vmware-sts/confd選擇性禁用設(shè)備s，如下所示chshchsh-s"/bin/appliancesh"為administrator@vsphere.local或vCenterSingleSign-On管理員組的其他成員指定用戶名和。如果在安裝時指定了不同的域，請以administrator@my登錄。態(tài)將顯示在該Web界面中。此時將顯示受信任的CA 可以使用CLI配置這些替代OCSP響應(yīng)者。請參見使用命令行管理智能卡驗證。設(shè)置智能卡驗證的吊銷策 僅 僅 OCSP和CRL 如果發(fā)證CA同時支持OCSP響應(yīng)者和CRL，則vCenterSingleSign-On首先檢查OCSP響應(yīng)者。如果響應(yīng)者返回未知狀態(tài)或者不可用，則vCenterSingleSign-On將檢查CRL。對于此情況，請同時啟用OCSP檢查和CRL檢查，并啟用CRL作為OCSP的故障切換。 OCSPURL 默認情況下，vCenterSingleSign-On檢查在被驗證的中定義的OCSP響應(yīng)者的位置。如果該不存在AuthorityInformationAccess擴展名或使用中的CRL 默認情況下，vCenterSingleSign-On檢查在被驗證的中定義的CRLCRL位置 如果禁用使用中的CRL并且要指定CRL所在的位置（文件或HTTPnPlatformServicesController6.5vCenterServer版本6.0或更高版本。PlatformServicesController版本6.0Update2支持智能卡驗證，但設(shè)置過 n(UPN(SANActiveDirectory nvCenterServerActiveDirectory標識源中的一個或多個用戶。然后，這些用戶可執(zhí)行管理任務(wù)，因為他們可以進行驗證，并且具有vCenterServer管理員。注默認情況下，vCenterSingleSign-Onadministrator@vsphere.local無法執(zhí)行智能卡身為administrator@vsphere.local或vCenterSingleSign-On管理員組的其他成員指定用戶名和。如果在安裝時指定了不同的域，請以administrator@my登錄。設(shè)置RSA 驗有關(guān)詳細信息，請參見兩個有關(guān)RSASecurID設(shè)置的vSphere博客帖子。注RSAAuthenticationManagerID1255ASCII字符的唯一標識符。不允許使用以下字符：與號(&)、百分號(%)、大于號(>)、小于號(<)和單引號(`)。nPlatformServicesController6.5vCenterServer版本6.0或更高版本。PlatformServicesController版本6.0Update2支持智能卡驗證，但設(shè)置過 SingleSign-On標識源。 的AM_Config.zip文件以查找sdconf.rec文件。 選選 描 C:\ProgramFiles\VMware\VCenterserver\VMwareIdentity sso-config.[sh|bat]sso-config.[sh|bat]-ttenantName-set_authn_policy–securIDAuthnsso-config.shsso-config.sh-set_authn_policy-pwdAuthnfalse-winAuthnfalse-certAuthnfalse-tsso-config.[sh|bat]sso-config.[sh|bat]-set_rsa_site[-ttenantName][-siteIDLocation][-agentNameName][-sso-config.shsso-config.sh-set_rsa_site-agentNameSSO_RSA_AUTHSDK_AGENT-sdConfFile選選 描 PlatformServicesControllerID。PlatformServicesController支持每個站點具有一個RSAAuthenticationManager實例或群集。如果您未明確指定該選項，則RSA配置用于當前PlatformServicesController站點。僅當添加不同的站點 從RSA 的sdconf.rec文件的副本，其中包括RSAManager的地址等配置信息sso-config.[sh|bat]-set_rsa_config[-tsso-config.[sh|bat]-set_rsa_config[-ttenantName][-logLevelLevel][-logFileSizeSize][-maxLogFileCountCount][-connTimeOutSeconds][-readTimeOutSeconds][-encAlgListAlg1,Alg2,...]sso-config.shsso-config.sh-set_rsa_config-tvsphere.local-logLevelsso-config.[sh|bat]sso-config.[sh|bat]-set_rsa_userid_attr_map[-ttenantName][-idsNameName][-ldapAttrAttrName][-siteIDLocation]sso-config.shsso-config.sh-set_rsa_userid_attr_map-tvsphere.local--sso-config.shsso-config.sh-ttenantName-注注管理登錄消為administrator@vsphere.local或vCenterSingleSign-On管理員組的其他成員指定用戶名和。如果在安裝時指定了不同的域，請以administrator@my登錄。選選 描顯示登錄消 消息的標題。默認情況