本篇是承接上一篇
編輯vCenter Single Sign-On 令牌策略
vCenter Single Sign-On 令牌策略指定時鐘容錯、續訂次數以及其他令牌屬性。您可以編輯 vCenter Single SignOn 令牌策略以確保令牌規範遵從貴公司的安全標準。
步驟
1 登錄到vSphere Web Client。
2 選擇管理> Single Sign-On,然後選擇配置。
3 單擊策略選項卡,然後選擇令牌策略。
vSphere Web Client 將顯示當前的配置設置。如果您未修改默認設置,vCenter Single Sign-On 將使用這些設置。
4 編輯令牌策略配置參數。
選項 描述
時鐘容錯 vCenter Single Sign-On 允許客戶端時鐘與域控制器時鐘之間存在的時差(以
毫秒爲單位)。如果時差大於指定值,vCenter Single Sign-On 將聲明令牌無
效。
最大令牌續訂計數 可以續訂令牌的最大次數。超過最大續訂嘗試次數後,需要使用新安全令牌。
最大令牌委派計數 可以將密鑰所有者令牌委派給vSphere 環境中的服務。使用委派令牌的服務
將代表提供該令牌的主體執行服務。令牌請求指定DelegateTo 身份。
DelegateTo 值可以是解決方案令牌或對解決方案令牌的引用。此值指定可以
委派單個密鑰所有者令牌的次數。
持有者令牌的最長生命週期 持有者令牌僅根據令牌的佔有情況提供身份驗證。持有者令牌只能在短期的
單個操作中使用。持有者令牌不驗證發送請求的用戶或實體的身份。此值 指定在重新發布持有者令牌之前該令牌的生命週期值。
密鑰所有者令牌的最長生命週期 密鑰所有者令牌根據令牌中嵌入的安全項目提供身份驗證。密鑰所有 者令牌可用於委派。客戶端可以獲取密鑰所有者令牌並將該令牌委託 給其他實體。該令牌包含用於標識請求方和委派方的聲明。在 vSphere 環境中,vCenter Server 代表用戶獲取委派的令牌並使用 這些令牌執行操作。此值決定在將密鑰所有者令牌標記爲無效之前該 令牌的生命週期。
5 單擊確定。
使用vCenter Single Sign-On 標識vCenter Server 的源
標識源允許您將一個或多個域附加到 vCenter Single Sign-On。域是用戶和組的存儲庫,可以由vCenter Single Sign-On 服務器用於用戶身份驗證。
標識源是用戶和組數據的集合。用戶和組數據存儲在Active Directory 中、OpenLDAP 中或者存儲到本地安裝了vCenter Single Sign-On 的計算機操作系統。安裝後,vCenter Single Sign-On 的每個實例都具有一個本地操作系統標識源vpshere.local。此標識源是vCenter Single Sign-On 的內部標識源。
vCenter Single Sign-On 管理員用戶可以創建vCenter Single Sign-On 用戶和組。
標識源的類型
vCenter Server 5.1 版之前的版本支持將Active Directory 和本地操作系統用戶作爲用戶存儲庫。因此,本地操作系統用戶可以始終對vCenter Server 系統進行身份驗證。vCenter Server 5.1 版和5.5 版使用vCenter Single Sign-On 進行身份驗證。
vCenter Single Sign-On 5.5 支持將以下類型的用戶存儲庫用作標識源,但僅支持一個默認標識源。
Active Directory 版本2003 及更高版本。vCenter Single Sign-On 僅允許您指定單個 Active Directory 域作爲標識源。該域可包含子域或作爲林的根域。在vSphere Web Client 中顯示爲 Active Directory (已集成Windows 身份驗證)。
Active Directory over LDAP。vCenter Single Sign-On 支持多個 Active Directory over LDAP 標識源。包含此標識源類型,以便與vSphere 5.1 隨附的vCenter Single Sign-On 服務兼容。在vSphere Web Client中顯示爲 Active Directory 作爲LDAP 服務器。
OpenLDAP 版本 2.4 及更高版本。vCenter Single Sign-On 支持多個 OpenLDAP 標識源。在 vSphere Web Client 中顯示爲 OpenLDAP。
本地操作系統用戶。本地操作系統用戶是運行vCenter Single Sign-On 服務器的操作系統的 本地用戶。本地操作系統標識源僅在基本 vCenter Single Sign-On 服務器部署中存在,並 在具有多個 vCenter Single SignOn 實例的部署中不可用。僅允許一個本地操作系統標識 源。在vSphere Web Client 中顯示爲 localos。
vCenter Single Sign-On 系統用戶。每次安裝vCenter Single Sign-On 時都會創建一個名 爲vsphere.local的系統標識源。在vSphere Web Client 中顯示爲 vsphere.local。
注意 無論何時都只存在一個默認域。來自非默認域的用戶在登錄時必須添加域名(域\用戶)才 能成功進行身份驗證。
設置vCenter Single Sign-On 的默認域
步驟
1 以[email protected] 或擁有vCenter Single Sign-On 管理員特權的其他用戶的身份 登錄到vSphere Web Client。
2 瀏覽到管理> Single Sign-On > 配置。
3 在標識源選項卡上,選擇一個標識源,然後單擊設置爲默認域圖標。在域顯示屏幕中,默認域顯 示在“域”列中(默認設置)。
添加vCenter Single Sign-On 標識源
僅當用戶位於已添加爲 vCenter Single Sign-On 標識源的域中時,纔可以登錄 vCenter Server。vCenter Single Sign-On 管理員用戶可從vSphere Web Client 中添加標識源。
標識源可以是本機Active Directory(已集成Windows 身份驗證)域,也可以是OpenLDAP 目錄服務。爲實 現向後兼容性,Active Directory 也可用作LDAP 服務器。
一旦完成安裝,以下默認標識源和用戶立即可用:
localos 所有本地操作系統用戶。這些用戶可以獲得vCenter Server 的權 限。如果要進行升級,已獲得權限的這些用戶將保留其權限。
vsphere.local 包含vCenter Single Sign-On 內部用戶。
步驟
1 以[email protected] 或擁有vCenter Single Sign-On 管理員特權的其他用戶的身份登錄到vSphere Web Client。
2 瀏覽到管理> Single Sign-On > 配置。
3 在標識源選項卡上,單擊添加標識源圖標。
4 選擇標識源的類型,然後輸入標識源設置。
5 如果將Active Directory 配置爲LDAP 服務器或OpenLDAP 標識源,則單擊測試連接以確保您 可以連接到標識源。
6 單擊確定。
注意 添加標識源時,所有用戶均可進行身份驗證,但只有無權訪問權限。 具有vCenter Server Modify.permissions特權的用戶可向用戶或一組用戶分配權限,以便他們能 夠登錄vCenter Server。後續回寫到怎麼爲用戶分配權限。
編輯vCenter Single Sign-On 標識源
vSphere 用戶在標識源中定義。您可以編輯與vCenter Single Sign-On 相關聯的標識源的詳細信息。
步驟
1 以[email protected] 或擁有vCenter Single Sign-On 管理員特權的其他用戶的身份登錄到 vSphere Web Client。
2 瀏覽到管理> Single Sign-On > 配置。
3 單擊標識源選項卡。
4 在表中右鍵單擊標識源,然後選擇編輯標識源。
5 編輯標識源設置。可用選項取決於所選標識源的類型。
選項 描述
Active Directory (已集成Windows 身份驗證) 對於本機Active Directory 實施,請使用此選項。
作爲LDAP 服務器的Active Directory 此選項可用於向後兼容性。這需要您指定域控制器和 其他信息。
OpenLDAP 對於OpenLDAP標識源,請使用此選項。
LocalOS 使用此選項可添加本地操作系統以作爲標識源。系統 僅提示您輸入本地操作系統的名稱。如果選擇此選 項,則指定計算機上的所有用戶都對vCenter Single Sign-On 可見,即使這些用戶不屬於其他域也是如 此。
6 單擊測試連接以確保可以連接到該標識源。
7 單擊確定。