本篇是承接上一篇
编辑vCenter Single Sign-On 令牌策略
vCenter Single Sign-On 令牌策略指定时钟容错、续订次数以及其他令牌属性。您可以编辑 vCenter Single SignOn 令牌策略以确保令牌规范遵从贵公司的安全标准。
步骤
1 登录到vSphere Web Client。
2 选择管理> Single Sign-On,然后选择配置。
3 单击策略选项卡,然后选择令牌策略。
vSphere Web Client 将显示当前的配置设置。如果您未修改默认设置,vCenter Single Sign-On 将使用这些设置。
4 编辑令牌策略配置参数。
选项 描述
时钟容错 vCenter Single Sign-On 允许客户端时钟与域控制器时钟之间存在的时差(以
毫秒为单位)。如果时差大于指定值,vCenter Single Sign-On 将声明令牌无
效。
最大令牌续订计数 可以续订令牌的最大次数。超过最大续订尝试次数后,需要使用新安全令牌。
最大令牌委派计数 可以将密钥所有者令牌委派给vSphere 环境中的服务。使用委派令牌的服务
将代表提供该令牌的主体执行服务。令牌请求指定DelegateTo 身份。
DelegateTo 值可以是解决方案令牌或对解决方案令牌的引用。此值指定可以
委派单个密钥所有者令牌的次数。
持有者令牌的最长生命周期 持有者令牌仅根据令牌的占有情况提供身份验证。持有者令牌只能在短期的
单个操作中使用。持有者令牌不验证发送请求的用户或实体的身份。此值 指定在重新发布持有者令牌之前该令牌的生命周期值。
密钥所有者令牌的最长生命周期 密钥所有者令牌根据令牌中嵌入的安全项目提供身份验证。密钥所有 者令牌可用于委派。客户端可以获取密钥所有者令牌并将该令牌委托 给其他实体。该令牌包含用于标识请求方和委派方的声明。在 vSphere 环境中,vCenter Server 代表用户获取委派的令牌并使用 这些令牌执行操作。此值决定在将密钥所有者令牌标记为无效之前该 令牌的生命周期。
5 单击确定。
使用vCenter Single Sign-On 标识vCenter Server 的源
标识源允许您将一个或多个域附加到 vCenter Single Sign-On。域是用户和组的存储库,可以由vCenter Single Sign-On 服务器用于用户身份验证。
标识源是用户和组数据的集合。用户和组数据存储在Active Directory 中、OpenLDAP 中或者存储到本地安装了vCenter Single Sign-On 的计算机操作系统。安装后,vCenter Single Sign-On 的每个实例都具有一个本地操作系统标识源vpshere.local。此标识源是vCenter Single Sign-On 的内部标识源。
vCenter Single Sign-On 管理员用户可以创建vCenter Single Sign-On 用户和组。
标识源的类型
vCenter Server 5.1 版之前的版本支持将Active Directory 和本地操作系统用户作为用户存储库。因此,本地操作系统用户可以始终对vCenter Server 系统进行身份验证。vCenter Server 5.1 版和5.5 版使用vCenter Single Sign-On 进行身份验证。
vCenter Single Sign-On 5.5 支持将以下类型的用户存储库用作标识源,但仅支持一个默认标识源。
Active Directory 版本2003 及更高版本。vCenter Single Sign-On 仅允许您指定单个 Active Directory 域作为标识源。该域可包含子域或作为林的根域。在vSphere Web Client 中显示为 Active Directory (已集成Windows 身份验证)。
Active Directory over LDAP。vCenter Single Sign-On 支持多个 Active Directory over LDAP 标识源。包含此标识源类型,以便与vSphere 5.1 随附的vCenter Single Sign-On 服务兼容。在vSphere Web Client中显示为 Active Directory 作为LDAP 服务器。
OpenLDAP 版本 2.4 及更高版本。vCenter Single Sign-On 支持多个 OpenLDAP 标识源。在 vSphere Web Client 中显示为 OpenLDAP。
本地操作系统用户。本地操作系统用户是运行vCenter Single Sign-On 服务器的操作系统的 本地用户。本地操作系统标识源仅在基本 vCenter Single Sign-On 服务器部署中存在,并 在具有多个 vCenter Single SignOn 实例的部署中不可用。仅允许一个本地操作系统标识 源。在vSphere Web Client 中显示为 localos。
vCenter Single Sign-On 系统用户。每次安装vCenter Single Sign-On 时都会创建一个名 为vsphere.local的系统标识源。在vSphere Web Client 中显示为 vsphere.local。
注意 无论何时都只存在一个默认域。来自非默认域的用户在登录时必须添加域名(域\用户)才 能成功进行身份验证。
设置vCenter Single Sign-On 的默认域
步骤
1 以[email protected] 或拥有vCenter Single Sign-On 管理员特权的其他用户的身份 登录到vSphere Web Client。
2 浏览到管理> Single Sign-On > 配置。
3 在标识源选项卡上,选择一个标识源,然后单击设置为默认域图标。在域显示屏幕中,默认域显 示在“域”列中(默认设置)。
添加vCenter Single Sign-On 标识源
仅当用户位于已添加为 vCenter Single Sign-On 标识源的域中时,才可以登录 vCenter Server。vCenter Single Sign-On 管理员用户可从vSphere Web Client 中添加标识源。
标识源可以是本机Active Directory(已集成Windows 身份验证)域,也可以是OpenLDAP 目录服务。为实 现向后兼容性,Active Directory 也可用作LDAP 服务器。
一旦完成安装,以下默认标识源和用户立即可用:
localos 所有本地操作系统用户。这些用户可以获得vCenter Server 的权 限。如果要进行升级,已获得权限的这些用户将保留其权限。
vsphere.local 包含vCenter Single Sign-On 内部用户。
步骤
1 以[email protected] 或拥有vCenter Single Sign-On 管理员特权的其他用户的身份登录到vSphere Web Client。
2 浏览到管理> Single Sign-On > 配置。
3 在标识源选项卡上,单击添加标识源图标。
4 选择标识源的类型,然后输入标识源设置。
5 如果将Active Directory 配置为LDAP 服务器或OpenLDAP 标识源,则单击测试连接以确保您 可以连接到标识源。
6 单击确定。
注意 添加标识源时,所有用户均可进行身份验证,但只有无权访问权限。 具有vCenter Server Modify.permissions特权的用户可向用户或一组用户分配权限,以便他们能 够登录vCenter Server。后续回写到怎么为用户分配权限。
编辑vCenter Single Sign-On 标识源
vSphere 用户在标识源中定义。您可以编辑与vCenter Single Sign-On 相关联的标识源的详细信息。
步骤
1 以[email protected] 或拥有vCenter Single Sign-On 管理员特权的其他用户的身份登录到 vSphere Web Client。
2 浏览到管理> Single Sign-On > 配置。
3 单击标识源选项卡。
4 在表中右键单击标识源,然后选择编辑标识源。
5 编辑标识源设置。可用选项取决于所选标识源的类型。
选项 描述
Active Directory (已集成Windows 身份验证) 对于本机Active Directory 实施,请使用此选项。
作为LDAP 服务器的Active Directory 此选项可用于向后兼容性。这需要您指定域控制器和 其他信息。
OpenLDAP 对于OpenLDAP标识源,请使用此选项。
LocalOS 使用此选项可添加本地操作系统以作为标识源。系统 仅提示您输入本地操作系统的名称。如果选择此选 项,则指定计算机上的所有用户都对vCenter Single Sign-On 可见,即使这些用户不属于其他域也是如 此。
6 单击测试连接以确保可以连接到该标识源。
7 单击确定。