vSphere 5引入了SSO，允許將不同的基礎(chǔ)設(shè)施比如vCenter以及Web Client安裝在不同的虛擬機(jī)上。SSO是一個(gè)通信通道，使管理員不用將所有的基礎(chǔ)設(shè)施都安裝在vCenter Server上，但很多人對(duì)SSO及其工作機(jī)制存在誤解。

什么是SSO？

SSO是一個(gè)可選的用于VMware用戶管理、服務(wù)管理以及認(rèn)證的認(rèn)證系統(tǒng)。vCenter SSO是AD基礎(chǔ)設(shè)施之外的另一種vCenter認(rèn)證方式。

執(zhí)行vCenter簡(jiǎn)易安裝的用戶不需要擔(dān)心部署SSO的問題，因?yàn)樵诮o出正確的證書時(shí)將會(huì)列出當(dāng)前的AD配置并增加相應(yīng)的配置。確保用域管理員身份而不是本地管理員身份登錄運(yùn)行安裝鏡像，否則將域用戶添加到vCenter時(shí)會(huì)有問題。

如何配置vCenter SSO

對(duì)于有多個(gè)域或者希望添加一個(gè)新域的用戶來說，部署SSO的過程非常簡(jiǎn)單。新用戶請(qǐng)注意大多數(shù)SSO修改需要通過Web Client完成。

采用全新安裝方式一定要注意兩個(gè)不同的用戶賬戶。***個(gè)是SSO管理賬號(hào)admin@System-Domain，另一個(gè)賬戶是用于vCenter設(shè)備的SSO用戶root@System-Domain。 root@System-Domain賬號(hào)無權(quán)修改虛擬機(jī)基礎(chǔ)設(shè)施，也不能與虛擬機(jī)基礎(chǔ)設(shè)施進(jìn)行交互，僅能用于修改SSO用戶、安全性認(rèn)證以及登錄設(shè)置。下圖使用的是admin@System-Domain賬號(hào)。通過查看Web Client的右上角可以確認(rèn)正在使用哪個(gè)賬號(hào)。

vSphere Web Client在屏幕右上角顯示vSphere清單及登錄的用戶

管理員賬號(hào)admin@System-Domain能夠與虛擬機(jī)、網(wǎng)絡(luò)、存儲(chǔ)進(jìn)行交互。但不要混淆，admin@System-Domain仍舊是一個(gè)SSO用戶而不是域用戶。

如何添加域

在vCenter中添加用戶時(shí)如果沒有列出AD域，可以使用admin@System-Domain用戶登錄到Web Client解決該問題。

在vCenter中增加域授權(quán)，要使用之前安裝時(shí)設(shè)置的密碼登錄。你會(huì)注意到Web Client中的很多選項(xiàng)是灰色的，這是正常的，因?yàn)榈卿泿ぬ?hào)只是一個(gè)SSO帳號(hào)。

接下來，依次選擇管理>登錄與發(fā)現(xiàn)>識(shí)別資源。這將會(huì)顯示所有已安裝的身份源。在vCenter中添加一個(gè)新域，要單擊綠色的+符號(hào)打開配置屏幕。最常見的選項(xiàng)就是AD，但是如果你需要配置非-AD LDAP，可以使用OpenLDAP。

***一個(gè)選項(xiàng)是本地操作系統(tǒng)，是操作系統(tǒng)級(jí)的認(rèn)證。你可以選擇一個(gè)已經(jīng)配置好的域，例如在我的設(shè)置中你可以看到“VCENTER”條目。

在vSphere Web Client中為新域配置SSO

如果你想增加一個(gè)AD域，選擇AD然后填寫身份源信息。你需要選擇第二個(gè)域控制器，因?yàn)樵趦蓚€(gè)域中放置相同的控制器信息將會(huì)出現(xiàn)錯(cuò)誤，導(dǎo)致過程中止。

一旦部署了第二個(gè)域控制器，vCenter就能夠處理請(qǐng)求。問題或錯(cuò)誤將會(huì)出現(xiàn)在左側(cè)面板。為編輯該請(qǐng)求，可以通過雙擊“正在處理的工作”面板顯示已填充的數(shù)據(jù)。如果你不確定LDAP的約定或配置，可以使用ADSI 編輯器從域控制器獲取這些信息。

如何為新域增加權(quán)限

在vSphere Windows客戶端中對(duì)新域進(jìn)行測(cè)試，需要重新登錄。選擇你喜歡的視圖，定位到權(quán)限標(biāo)簽，在空白空間中右鍵選擇”添加權(quán)限“。在用戶與用戶組下，選擇添加然后在下拉列表中選擇域。你應(yīng)該能看到列出的域用戶。將角色分配給左側(cè)面板的用戶然后單擊確認(rèn)。我建議你創(chuàng)建一個(gè)基于域、只包含管理員的用戶組。

使用vSphere Windows客戶端將角色授予域中的用戶

使用管理員登錄然后在Web Client中做相同的配置。在左側(cè)的清單樹中選擇你所偏愛的視圖。在Web Client的右側(cè)面板選擇權(quán)限然后單擊綠色的+按鈕。之后的配置與Windows Client完全相同，選擇認(rèn)證域然后單擊AD域。

使用vSphere Web Client為用戶及用戶組增加權(quán)限

SSO重要性增加

在新版vCenter中，SSO的重要性比之前更高。如果你對(duì)SSO感興趣，可以到VMware官方網(wǎng)站查看vSphere 5.1手冊(cè)。

作為一個(gè)附加產(chǎn)品，VMware建議大型站點(diǎn)的管理員將SSO從5.1升級(jí)至***版本以增加功能與可靠性。該過程相當(dāng)簡(jiǎn)單而且不需要升級(jí)vCenter。