VMware vCenter SSO是什么 应该如何配置（四个步骤）

概述：VMware vSphere 使用SSO，目的是允许将不同的基础设施比如（vCenter以及Web Client）安装在不同的虚拟机上。SSO是一个通信通道，使管理员可以不用将所有的基础设施都安装在vCenter Server上，但是在了解和操作的过程中，很多用户对这个情况并不清楚，后者说理解有误解，今天我们就来具体分享一下相关问题。

 

 

SSO是一个可选择，并用于VMware用户管理、服务管理以及认证的一个认证系统。vCenter SSO是AD基础设施之外的另一种vCenter认证方式。

 

注：在使用vCenter简易安装的管理者用户，你们不用担心部署SSO的问题，因为在给出正确的证书的同时，将会自动列出当前的AD配置并且将自动增加相应的配置。（确保用域管理员身份而不是本地管理员身份登录运行安装镜像，否则将域用户添加到vCenter时会有问题，具体问题不在此处阐述）。

 

 

针对老用户老说，多个域或者希望添加一个新域的情况，部署SSO的很容易。针对新用户，就必须注意大多数SSO修改需要通过Web Client来完成。

 

采用全新安装方式请注意两个不一样的用户账户。1、SSO管理账号admin@System-Domain/；2、用于vCenter设备的SSO用户root@System-Domain。 （注：root@System-Domain账号无权修改虚拟机基础设施，也不能与虚拟机基础设施进行交互，仅能用于修改SSO用户、安全性认证以及登录设置）。admin@System-Domain管理账号通过Web Client的右上角查看，可以确认我们现在使用的账号明细，如下图：

 

 

vSphere列表以及登录用户

 

（注：SSO管理员账号admin@System-Domain能够实现与虚拟机、网络、存储进行交互。但请特别注意，admin@System-Domain它是一个SSO用户，不是域用户。

 

 

1、在vCenter中进行添加用户，如果没有列出AD域，这时候可以使用管理账户admin@System-Domain登录到Web Client，即可解决这个问题。

2、在vCenter中可以增加域授权，这里要安装时设置的密码来进行登录。（注：这时候会发现很多Web Client选项为灰色，不要惊慌，这是由于登录账号是一个SSO帐号。）

3、进入界面后，选择‘管理’-‘登录与发现’-‘识别资源’。这时候会很清楚的显示出已安装的身份源。如果添加一个新域，点击绿色的‘+’，从而打开配置界面。常用的选项为AD，如需配置非-AD LDAP，那么请使用OpenLDAP。

4、最后一个选项是本地操作系统，是操作系统级的认证。你可以选择一个已经配置好的域，例如下图，你可以看到“VCENTER”的明细。

 

 

在vSphere Web Client中为新域配置SSO

 

5、增加一个AD域，‘AD’-‘填写身份源信息，这时候选择‘第二个域控制器’。（注：如果两个域中放置相同的控制器信息将会产生错误，并且会导致过程中止。

 

6、部署第二个域控制器，那么此时的vCenter就能够处理请求。左侧面板上将会显示出问题和错误。如果需要编辑该请求，那么请双击“正在处理的工作”页面上显示已填充的数据。假如你不确定LDAP的约定或配置，那么你可使用ADSI 编辑器，从域控制器获取这些信息。

 

 

1、如果是vSphere Windows客户端，这时对新域进行测试，那么必须重新登录才可以。

2、选择‘视图’-并且‘定位到权限标签’-在空白处右键选择‘添加权限’。

3、在用户与用户组下，选择‘添加’-下拉列表中选择‘域’。这个时候能够清楚的看到展示的域用户。同时请将角色分配给左侧面板的用户，单击‘确认’。（经验：你可以创建一个基于域、只包含管理员的用户组，这样更方便一些。）

 

使用vSphere Windows客户端将角色授予域中的用户

 

4、管理员登录-在Web Client中设置相同的配置。

5、请在‘左侧的清单树’中选择偏爱的视图模式。

6、请在‘Web Client的右侧面板’中选择‘权限’然后单击绿色的‘+’按钮。（注：之后的配置与Windows Client完全相同，选择认证域然后单击AD域。）