vsphere-esxi vcenterservices controller administration guideVMware网站还提供了最近产品

VMware还提供了最近的产品更新VMware,广州3401Hillview市市广州PaloAlto,CA淮海中333804-809室©2009–2019VMware,Inc.保留所利。和商标信息。关于《PlatformServicesController管理 PlatformServicesController入门vCenterServerPlatformServicesController部署类型具有外PlatformServicesController实例和高可用性的部署拓扑了解vSphere域、和站点13PlatformServicesController功能13PlatformServicesController服务PlatformServicesController设备使用vCenterSingleSign-On进行vSphere验证vCenterSingleSign-OnvCenterSingleSign-On标识源了解vCenterServer双因素验证将vCenterSingleSign-On用作其他服务提供程序的提供程序安全令牌服(STS)vCenterSingleSign-On策略vCenterSingleSign-On用户和组57vCenterSingleSign-On安全性最佳做法63vSphere安全不同解决方案途径的要求管理概览使用vSphereClient管理从vSphereWebClient管理使用vSphere管理器实用程序管理手动替换使用CLI命令管理服务和运行CLI所需的133certool配置选项134certool初始化命令参考certool管理命令参考vecs-cli命令参考dir-cli命令参考PlatformServicesController进行故障排除LookupService错误的原因无法使用ActiveDirectory域验证进行登录152由于用户帐户被锁定，vCenterServer登录失败154VMware服务需要较长时间154PlatformServicesController支持包155PlatformServicesController服务日志155关于PlatformServicesController管理内容要1.PlatformServicesController管理》内容要PlatformServicesController入门指nvCenterServer部署模PlatformServicesController署模型。注意此信息因产品版本而异 LinuxWindowsPlatformServicesController PlatformServicesController服务nVAMIPlatformServicesController设备使用vCenterSingleSign-On验n验证过程的架构 如何添加标识源，以便域中的用户可以进行验证n双因素验证n管理用户、组和策vSphere安全 模型和用于替换的选项 从UI替换（简单情况） 使用Manager实用程序替换 使用CLI替换（复杂情况）n管理CLI参考除上述文档外，VMware还针对每个vSphere版本发布了《vSphere安全性配置指南》（以前称为强化指南），为：htt /security/hardening-guides.html。《vSphere安全性配置指南》中术和数据中心操作且具有丰富经验的Windows或Linux系统管理员。供步骤。与vSphereWebClient有关的过程在标题中包含vSphereWebClient。注vSphere6.7Update1vSphereWebClientvSphereClient中得以实现。有关其他不受支持的功能的列表，请参见《vSphereClient功能更新说明》。PlatformServicesController入 vCenterSingleSign-On验证PlatformServicesController vCenterServerPlatformServicesController PlatformServicesController vCenterServerPlatformServicesController部署嵌入式或外部PlatformServicesController部署的适用于WindowsvCenterServer。您也可以将PlatformServicesController作为设备部署，或者将其安装在Windows上。必要，可以使用混合操作vCenterServerApplianceWindowsvCenterServer之前，必须确定适合您环境的部表1‑1.vCenterServer和PlatformServicesController部署类部署类部署类 描vCenter

与PlatformServicesController在一起的所有服务vCenterServer服务一起部署在同一虚拟机或物理服务器PlatformServicesController

只有vCenterServer服务会部署在虚拟机或物理服务器此类vCenterServer实例。注未来的vSphere版本中将不支持具有外部PlatformServicesController部署的vCenterServer部署。见VMware知识库文章ht 具有嵌入式PlatformServicesControllervCenterSign-On域。虚拟机或物理服务vCenter图1‑1.具有嵌入式虚拟机或物理服务vCenter PlatformServicesController与具有外部PlatformServices部署的vCenterPlatformServicesControllervCenterSingleSign-On域，或者加入现有的vCenterSingleSign-On域。加入的PlatformServicesController实例将其基础架构数据，如验证和信息，并且可以跨多个vCenterSingleSign-On站点。有关信息，请参见了解vSphere域、和注未来的vSphere版本中将不支持具有外部PlatformServicesController部署的vCenterServer部署。见VMware知识库文章ht 采用向其的PlatformServicesController实例的vCenterSingleSign-On站点。向一个共同或不同的已加入PlatformServicesController实例的所有vCenterServer实例都在增强型模式下进行连接。1‑2.具有共同PlatformServicesController的两vCenterServer虚虚拟机或物理服务虚拟机或物理服务虚拟机或物理服务vCentervCenter nPlatformServicesControllervCenterServer最高配置的信息，请参见最高配置文档。有关在vCenterHighAvailability配置中配置具有外部PlatformServicesController部署的注PlatformServicesControllervCenterServer后，可以重新配置部署类型并切换到具有嵌入式PlatformServicesController部署的vCenterServer。混合操作系统环或PlatformServicesController设备中。vCenterServerAppliance可以到Windows上安装的PlatformServicesController中或PlatformServicesController设备中。可以向同一PlatformServicesControllervCenterServer和vCenterServerAppliance图1‑3.具有在Windows上运行的外部PlatformServicesController的混合操作系虚拟机或物理服务虚拟vCenterServerPlatformServices图1‑4.具有外部PlatformServicesController设备的混合操作系统虚虚拟虚拟机或物理服务虚拟vCenterServerController设备注为确保易于管理 ，请仅使用设备或者仅使用vCenterServer和PlatformServicesController具有外PlatformServicesController实例和高可用性的部署PlatformServicesControllervCenterSingleSign-On域中安装或部注vSpherePlatformServicesControllervCenterServer部署。见知识库文章60229。具有负载平衡器的PlatformServicesvCenter图1‑5.实现了负载平衡的PlatformServicesControllervCenterPlatformPlatformServicesPlatformServicesvCentervCenter重要PlatformServicesController高可用性，PlatformServicesController实例必自动在其他正常工作的PlatformServicesController实例之间分配负载，而不会出现停机。跨vCenterSingleSign-On站点并具有负载平衡PlatformServicesvCenter图1‑6.跨两个站点并实现了负载平衡的两个PlatformServicesControllervCenterPlatformServicesvCentervCenterPlatformServicesvCenterPlatformServicesPlatformServices无负载平衡器的PlatformServicesPlatformServicesvCentervCenter图1‑7.无负载平衡PlatformServicesvCentervCenterPlatformServicesvCentervCenter当您将两个或PlatformServicesController实例加入无负载平衡器的同一站点中时，您可以为此站点配置PlatformServicesController高可用性和手动故障切换。何使vCenterServer实例重新PlatformServicesController的信息，请参见《《vCenterServer注注vCenterSingleSign-On拓扑，请针对部署的第一个和最后一个PlatformServicesController实例运行/usr/lib/vmware-vmdir/bin/vdcrepadmin-fcreateagreement命令。跨vCenterSingleSign-On站点并且不具有负载平衡PlatformServices图1‑8.跨两个站点并且不具有负载平衡的两个已加入PlatformServicesController实例对11PlatformServicesvCentervCenterPlatformServicesvCenterPlatformServicesvCenterPlatformServicesPlatformServicesControllerPlatformServicesController。有关如何使vCenterServer实例重新PlatformServicesController的信息，请参见《《vCenterServer了解vSphere域 和站每个PlatformServicesController都与一个vCenterSingleSign-On域关联。默认为vsphere.local，但可以在安装第一个PlatformServicesController时更改。域决定本地验证空间。您可以将一个域拆PlatformServicesController和vCenterServer实例分配给一个站点。站点是逻辑PlatformServicesController安装PlatformServicesController时，系统会提示您创建vCenterSingleSign-On域现有域。由VMwareDirectoryService(vmdir)用于所有的轻量 协议(LDAP)内部构造。 注PlatformServicesControllervCenterServer组进行验证更有意义。也可以将vCenterServer或PlatformServicesController实例或其他VMware产品（例如，vRealizeOperations）添加到该域。PlatformServicesController站PlatformServicesController域组织为逻辑站点。VMwareDirectoryService中的站点是逻辑容器，可用来对vCenterSingleSign-On域中的PlatformServicesController实例进行分组。vSphere6.5开始，站点变得非常重PlatformServicesController故障切换过程中，vCenterServer理位置中的PlatformServicesController，可以使用多个站点。安装或升级PlatformServicesController时，系统会提示您输入站点名称。请参见《vCenterServer安装和PlatformServicesController重要功PlatformServicesController包括多项服务（PlatformServicesController服务中所述），且具有以下重 使用自定义（在VMwareEndpointStore(VECS)中部署模Controller部署类型。PlatformServicesControllerPlatformServicesControllervCenterServerServer安装和设置》文档。vSphere6.7Update1PlatformServicesControllervCenterServerServer安装和设置》文档。PlatformServicesController不同的PlatformServicesController服务支持不同的界面。1‑2.用于管PlatformServicesController接接 描vSphereClient Web界面（HTML5的客户端）。vSphereClient用户界面vSphereWeb 管理实用程 支持CSR生成和替换令行工具。请参见使用管理器实用程序管理用于管理PlatformServicesController服务的 用于管理、VMware (VECS)和DirectoryService(vmdir)的一组命令。请4章，使用命令管理服务 PlatformServicesController服服 描PlatformServicesController包括以下基础架构服务。1‑3.PlatformServices服 描(VMwareApplianceManagementvmware-cis-(VMwareLicensevmware-sts-(VMwareIdentityManagementvmware-(VMwareSecurityTokenvmware-(VMwareHTTPReversevmware-(VMwareServiceControlvmware-（VMware设备服务vmware-vapi-(VMwarevAPIVMwareAuthenticationVMware

处理设备配置并为设备生命周期管理提供公用API端点。包含PlatformServicesController设备上每个PlatformServicesController都包含VMwareLicenseService，该服务可为环境中的VMware产品提供集中的证LicenseService将以30秒为间隔在域中的所PlatformServicesController之间vCenterSingleSign-On功能支持的服务，这些服务可为软件组件和用户提供安全的验证服务通过使用vCenterSingleSign-On，VMware组件可使用安全的SAML令牌交换机制进行通信。vCenterSingleSign-On可构建安装或升级期间将在该域中进行。反向可在每个PlfrmSrvcsCorlr节点和每个vCtrSrvr系统上运行。它是节点的单一点，可使节点上运行的各项服务安全地进行通信。管理服务配置。可使用service-controlCLI来管理各个服务vCenterServerAppliance客户机操作系统资源消耗。vSphereAutomationAPI端点可提供对vAPI服务的单点。可以vSphereClientvAPIEndpoint服务的属性。有关vAPI端点的详细信息，请参见《vSphereAutomationSDK编程该服务可为vmdir验证提供客户端框架，并为VMwareEndpoint(VMwareEndpointStore,VECS)可使用以VMCA作为根颁发机构的签名置备每个具有vmafd客户端库的VMware软件组件及每个ESXi主机。可以使用Manager实用程序更改默认。VMwareService使用VMwareEndpoint(VECS)来充当每个PlatformServicesController实例上的本地库。尽管您可以决定不使用VMCA而改用自定义，但是必须将这些添加到VECS。1‑3.PlatformServicesController（续提供多租户、多重管理 服务，该服务用验服 描VMwareDirectoryVMware服VMwareLifecycleManagervmware-VMwareServiceLifecycleLikewiseServiceVMwarePlatformServicesController运行状况vmware-VMwareytics

证、、查找和证信息。不要使用LDAP浏览器更vmdird中的数据未在vSphere6.x中使用。启动和停止vCenterServer服务以及服务API运行状况。vmware-vmon服务是独立于平台的集中式服务，用于管理PlatformServicesControllervCenterServer的生命周期。向第应用程序公开API和CLI。Likewise有助于将主机加入ActiveDirectory域以及后续的用户所有PlatformServicesController基础架构服务的运行测数据，以及管理客户体验提升计划(CEIP)的组件。vSphereClientPlatformServicesController服PlatformServicesControllervCenterServervSphereWebClientPlatformServicesController服您可以从vSphereWebClient管理vCenterSingleSign-On和服务。使用vSphereClientCLIvSphereWebClient管理以下服务。 nVMwareEndpointStore(VECS)n双因素验证，例如通用卡验证n登录横幅PlatformServicesControllervCenterServer选选 描SingleSign- 配置vCenterSingleSign-Onn设置策略。n管理标识源。n管理STS签名nSAML服务提供商。n管理用户和组。配配 使 管理PlatformServicesController服 描表1‑4.用于管理和关联服务的 描 生成并管理和密钥。属于VMCA certool初始化命令参vecs- 管理VMware实例的内容。属VMAFD

vecs-cli命令参 VMwareDirectoryService中创建并更新。属于VMAFD。

dir-cli命令sso- 用于配置智能卡验证的实用程序 了解vCenterServer双因素验service- 用于启动、停止和列出服务令 在运行其他CLI命令之前，运行此命令停止服务 C:\ProgramFiles\VMware\vCenterServer\vmafdd\vecs-cli.exeC:\ProgramFiles\VMware\vCenterServer\vmafdd\dir-cli.exeC:\ProgramFiles\VMware\vCenterServer\vmcad\certool.exeC:\ProgramFiles\VMware\VCenterserver\VMwareIdentity PlatformServicesController 界 描vCenterServer的设备。请参见《vCenterServerAppliance配置》。表1‑5.用于管理PlatformServicesController界 描PlatformServicesController虚拟设备管理界面 使用该界面可以重新配置PlatformServicesController部署的统设置PlatformServicesController设备s 管理操作。请参见使用vSphere管理器实用程序管理和第4章，使用CLI命令管理服务和。使用PlatformServicesController虚拟设备管理界面管理设备(VAMISSH登录设置。您也可以更改root，将设备加入ActiveDirectory域，以及退出ActiveDirectory域。在Web浏览器中，转至Web界面，为从设S管理设 切换到启用SSH登录，然后单击确定。按照同样的步骤也可启用设备的BashS。 设备s 如果已更改root，请使用新。PlatformServicesController设备添ActiveDirectory户登录到与PlatformServicesController关联的vCenterServer。请参见添加或编辑vCenterSingleSign-On标识源。2使用vCenterSingleSign-On进2vSphere验vCenterSingleSign-On是一个验证程序和安全令牌交换基础架构。当用户可以向vCenterSingleSign-On进行验证时，该用户将收到SAML令牌。从今往后，用户可以使用SAML令牌向vCenter服vSphere6.0开始，vCenterSingleSign-OnPlatformServicesControllervCenterSingleSign-On、VMware Authority和LicenseService。有关PlatformServicesController的详细信息，请参见《《vCenterServer安装和设置》》。决方案用户的信息，请参见第3章，vSphere安全。 vCenterSingleSign-vCenterSingleSign-On6.0 如何使用vCenterSingleSign-On保护您的 ( 人工用户的vCenterSingleSign-OnvSphereWeb213456vSphereWeb213456用户使用用户名和登录vSphereClient以vCenterServer系统或其他vCenter服务。用户还可以不使用而选中使用Windows会话验证复选框进行登录。vSphereClient具有有效令牌，vCenterSingleSign-On随后会检查用户是否位于已配置的标识源中（例如，ActiveDirectory）。nvCenterSingleSign-Onn如果随用户名一起提供（\user1或 注首先，每个用户都分配有“无权 ”角色。vCenterServer管理员必须至少为用户分配“只读”角色，用户才能登录。请参见《vSphere安全性》文档。解决方案用户的vCenterSingleSign-OnvCenterServervCenterServervCenterServer扩展。VMware扩展及潜在的第扩展也可能对vCenterSingleSign-On进行验证。图2‑2.解决方案用户的vCenterSingleSign-On解决方案解决方案用3142vCenterSingleSign-On默认情况下，此握手将自动执行，因为VMCA会在启动期间为解决方案用户置备。如果公司策略要求使用第CA签名，则可以将解决方案用户替换为第CA签名的。如果这些有效，vCenterSingleSign-On将向解决方案用户分配SAML令牌。请参见在vSphere中使用自定义。vCenterSingleSign-OnDirectoryService(vmdir)。VMwareDirectoryService还可用于管理。

SingleSign-On支持的标识源类型之一中的用户标识。SAML令牌允许成功 管理服务器允许用户具有vCenterSingleSign-On的管理员，以便配置vCenterSingleSign-On服务器并管理vSphereWebClient中的用户和组。PlatformServicesController安装vCenterServer或部署vCenterServerAppliance时，可以更改vSphere域。使ActiveDirectory或OpenLDAP命名该VMwareDirectoryService(vmdir)

VMwareDirectoryService(vmdir)与安装期间您指定的域相关联，并且包含PlatformServicesController中。该服务是在端口389上提供LDAP的多租户、多重管理服务。该服务仍使用端口PlatformServicesControllervmdir实例中的vmdir内容更新会到所有其他vmdir实例。自vSphere6.0起，VMwareDirectoryService不仅会vCenterSingleSign-On信息，而且还会信息。vCenterSingleSign-On如何影响安装此变更影响vCenterServer安装。使用vCenterSingleSign-On进行验证会使vSphere更加安全，因为vSphere软件组件使用安全的令牌交换机制彼此进行通信，且所有其他用户也可以使用vCenterSingleSign-On进行验证。vSphere6.0开始，vCenterSingleSign-OnPlatformServicesController的一部分。PlatformServicesControllervSphere组件之间进行通信所需的全部服务，其中包括vCenterSingleSign-On、VMwareAuthority、VMwareLookupService以及服务。 vCenterServer或部署vCenterServerAppliance。对于嵌入式部署，将自动 如果最多大约四个vCenterServer实例，一个PlatformServicesController例，您可以安装额外的PlatformServicesController以获得更佳的性能。每PlatformServicesControllervCenterSingleSign-On服务会与所有其他实例同步验证数据。准确数量取决于vCenterServer实例的使用程通过vSphere使用vCenterSingleSign-当用户登录vSphere组件或vCenterServer解决方案用户另一个vCenterServer服务时，vCenter才能与vSphere对象进行交互。nvSphere环境中的一组服务。在安装期间，默认情况下，VMCA会向每个解决方案用户分配一个。解决方案用户使用该对vCenterSingleSign-On进行验证。vCenterSinglen其他用户登录到环境时（vSphereClient登录），vCenterSingleSign-On会提示您输入用户名和。如果vCenterSingleSign-On在相应的标识源中找到具有这些凭据的用户，则会向该用户分配SAML令牌。现在，用户可以环境中的其他服务，而无需提示再次进行验证。管理员可以从vSphereWebClientvSphereClient中的权限界面分配这些权限，而不是通vCenterSingleSign-On进行分配。请参见《vSphere安全性》文档。vCenterSingleSign-OnvCenterServer用户可通过在登录页面上输入凭据向vCenterSingleSign-On进行验证。连接到vCenterServer后，通过验证的用户可以查看所有vCenterServer实例或向其角色提供权限的其他vSphere对象。无需进安装后，vCenterSingleSign-On域的管理员（默认为administrator@vsphere.local）vCenterSingle理vCenterSingleSign-On域中的用户和组。要用户知道。请参见更改vCenterSingleSign-On。只有vCenterSingleSign-On管理员可以为不注注通过vSphereClient更改SDDC 不会与“默认vCenter凭据”页面上显示 同。vCenterSingleSign-On管理员用可从vSphereClient或vSphereWebClientvCenterSingleSign-On管理界面要配vCenterSingleSign-OnvCenterSingleSign-On用户和组administrator@vsphere.local或vCenterSingleSign-On管理员组中的用户必须登录到vSphereClient。根据验证，该用户可以通过vSphereClientvCenterSingleSign-On管理界面，并管理标识源和默认域、指定策略以及执行其注如果在安装过程中指定了其他域，则不能重命名vCenterSingleSign-On管理员用户，它默认为administrator@vsphere.local或administrator@my On域中创建其名的用户，并为其分配管理。然后，可以使用管理员帐户停止。ESXiESXi主机未vCenterSingleSign-OnPlatformServicesController集成。请vSphere安全性》，了解有关将ESXi主机添加到ActiveDirectory的信息。VMwareHostClient、vCLIPowerCLIESXiESXi用户，vCenterServer不会识别这些用户。因此，创建本地用户会造成，尤其是如果使用相同的用户名。如果可以对vCenter注vCenterServerESXi主机的权限（如果可能）如何登录到vCenterServer nvCenterSingleSign-OnvCenterServer。如果添加到如果环境中包括ActiveDirectory层次结构，请参见VMware知识库文章 注注从vSphere6.0Update2开始，支持双因 验证vCenterSingleSign-On域中 Authority，而属于LicenseService.Administrators组的用户可以管理证。注其中许多组是vsphere.local的内部组或可向用户提供高级别管理 注注 表2‑1.vsphere.local描描用 vCenterSingleSign-On域（默认为vsphere.local）中的用户 解决方案用户组vCenter服务。每个解决方案用户将使用单独向vCenterSingleSign-On进行验证。默认情况下，VMCA将为解决方案用户置备。不要向该组明确 CAAdmins组的成员拥有VMCA的管理员。不要向该组添加成员，除非您有充分的 DCAdmins组的成员可以对VMwareDirectoryService执行域控制器管理员操作注不要直接管理域控制器。请改用vmdirCLI或vSphereClient执行相应的任务

此组中的用户可以启用和禁用对BASHs的。默认情况下，使用SSH连接到vCenterServerAppliance的用户只能受限s中令。此组中的用户可以BASHs。 Act-AsUsers的成员可以vCenterSingleSign-OnAct-As令牌 vSphere未使用此内部组。VMwarevCloudAir需要此组描表2‑1.vsphere.local域中的组（续描 SystemConfiguration.Administrators组的成员可以在vSphereClient中查看和管理系以及管理这些节点。 此组在，以便允许管理节点VMwareDirectoryService中的数据注注不要修改此组。任何更改都可能会影 基础架构 册服务，即修改服务。对服务进行不需要此组中的成员资格 LicenseService.Administrators的成员对所有与相关的数据具有完全的写入管理 VMwareDirectoryService(vmdir)的管理员。此组的成员可以执行vCenterSingleOn管理任务。不要向该组添加成员，除非您有充分的理由并了解vCenterSingleSign-On标识用户仅使用用户名登录时，vCenterSingleSign-On会在默认标识源中检查该用户是否可以进行验证。当用户登录并在登录屏幕中提供时，vCenterSingleSign-On会检查指定的域，确认该域是否已添加为vSphereClientvCenterSingleSign-OnvCenterSingleSign-OnvCenterSingleSign-On管理员。vCenterSingleSign-On管理员不同于vCenterServer或ESXi上的管理vCenterSingleSign-On管理员（administrator@vsphere.local）可以对vCenterSingleSign-On进行验证。 vCenterServervCenterSingleSign-OnvCenterSingleSign-On服务器用于用户验证 SingleSign-On管理员用户可以添加标识源，或者更改已添加的标识源的设置。 将vCenterSingleSign-On与Windows会话验证结合使PlatformServicesControllerActiveDirectory域，然后才能使用SSPI。vCenterServervCenterSingleSign-On的标识SingleSign-On服务器用于用户验证。用户和组数据在ActiveDirectory中、OpenLDAP中或者到本地安装了vCenterSingleSign-On的计算机操作系统。在安装后，vCenterSingleSign-On的每个实例都有标识源your__name，例如，vsphere.local。此标识源在vCenterSingleSign-On内部。文档。vCenterSingleSign-On5.5支持将以下类型的用户库用作标识源，但仅支持一个默认标识源。nActiveDirectory2003vSphereClientActiveDirectory(Windows身份验证)。vCenterSingleSign-OnActiveDirectory域指定为标识源。该域可包含子域或作为林的根域。VMware知识库文章vCenterSingleSign-On支持的Directory信任nActiveDirectoryoverLDAP。vCenterSingleSign-On支持多个ActiveDirectoryoverLDAP标识源。vSphere5.1vCenterSingleSign-OnvSphereClient中显示为ActiveDirectory作为LDAP服务器。nOpenLDAP2.4及更高版本。vCenterSingleSign-OnOpenLDAPnvCenterSingleSign-On服务器的操作系统的本地用户。本地操作系统标识源仅在基本vCenterSingleSign-On服务器部署中存在，并在具有多个vCenterSingle注注如果PlatformServicesController与vCenterServer系统位于不同的计算机上， 注无论何时都只存在一个默认域。来自非默认域的用户在登录时必须添加 设置vCenterSingleSign-On的默认vCenterSingleSign-On标识源都与某个域相关联。vCenterSingleSign-On使用默认域验证未使用域 nvCenterSingleSign-OnvCenterServer。如果添加到为administrator@vsphere.local或vCenterSingleSign-On管理员组的其他成员指定用户名和。如果在安装时指定了不同的域，请以administrator@my登录。添加或编辑vCenterSingleSign-OnvCenterSingleSign-OnvCenterServer。vCenterSingleSign-On管理员用户可以添加标识源，或者更改已添加的标识源的设置。标识源可以是本机ActiveDirectory（集成Windows验证）域，也可以是OpenLDAP服务。为实ActiveDirectoryLDAPvCenterServervCenterSingleSign-On的标识源。 可以继续进行验证。在使用嵌入式PlatformServicesController的环境中使用localos标识源没有意义。 ActiveDirectoryvCenterServerAppliancevCenterServerWindows计算ActiveDirectoryPlatformServicesControllerActiveDirectory域。为administrator@vsphere.local或vCenterSingleSign-On管理员组的其他成员指定用户名和。如果在安装时指定了不同的域，请以administrator@my登录。选描ActiveDirectory(集成证验ActiveDirectory实施，请使用此选项。如果要使用此选项，则运行SingleSign-On服务的计算机必ActiveDirectory请参见ActiveDirectory标识源设置基于LDAPActive此选项可用于向后兼容性。这需要您指定域控制器和其他信息。请参见DirectoryLDAPServerOpenLDAPServer标识源设置对于OpenLDAP标识源，请使用此选项。请参见ActiveDirectoryLDAPServerOpenLDAPServer标识源设置SSO服务器的本地操作对于SSO服务器的本地操作系统，请使用注如果用户帐户已锁定或禁用，ActiveDirectory域中的验证以及组和用户搜索将失败。用户帐户必须具有用户和组OU的只读权限，并且必须能够用户和组属性。默认情况下，ActiveDirectory添加标识源后，所有用户均可进行验证，但只有无权角色。具有vCenter您可以配置权限，以便已加入的ActiveDirectory域中的用户和组可以vCenterServer组件。请参见ActiveDirectory标识源使用ActiveDirectory标识源的必 注注ActiveDirectory（ 明确指定一个SPN。注在vSphere5.5中，即使指定SPN，vCenterSingleSign-On仍会使用计算机帐户。请参见VMware知识库文章，为ht 文本 描文本 描 的FQDN，例如， 。提供IP地址。该域名必须可由vCenterServer系统进行DNS解析。如果您使用的是vCenterServerAppliance，请使用有关配置网络设置的信息来更新DNS服务器设置。 选择此选项可将本地计算机帐户用作SPN。选择此选项时，应仅指定。如果您希望重命名此计算机，选择此选项。使用服务主体名称(SPN) 如果您希望重命名本地计算机，请选择此选项。必须指定SPN、能够通过标识源进行验证的用户以及该用户的。服务主体名称(SPN) 有助于Kerberos识别ActiveDirectory服务的SPN。请在名称 SPN在域中必须唯一。运行setspn-S可检查是否未创建重复项。有关setspn的信息，请参见文档。用户主体名称(UPN) 能够通过此标识源进行验证的用户的名称和。请使用电 子邮件地址格式，例如 。可以通过Directory服务界面编辑器(ADSIEdit验证用户主体名ActiveDirectoryLDAPServerOpenLDAPServer标识源LDAPServerActiveDirectory可用于向后兼容性。针对需要较少输入的设置，使用Active配置OpenLDAP标识源时，请参见VMware知识库文章，为ht 选 描2‑3.LDAPServerActiveDirectory选 描名 标识源的名称用户的基本 用户的基本识别名组的基本 组的基本识别名 域的FQDN。 对于ActiveDirectory标识源，该别名为域的NetBIOS名称。如果要使用SSPI验证，则将ActiveDirectory域的NetBIOS对于OpenLDAP标识源，如果不指定别名，则会添加大写字母 域中用户的ID，该用户对用户和组的基本DN只具有最小只读权选 描2‑3.LDAPServerActiveDirectoryOpenLDAP设置选 描 由用户名指定的用户的。连接 要连接到的域控制器。可以是域中的任何域控制器或特定控制器主服务器 域的主域控制器LDAP服务器ldap://hostname:pot或ldaps://hostname:port9DAP36DAPSAcveDrcry28DAP69DAPS。LDAPURL或辅LDAPURL中使ldaps时，需要一个为ActiveDirectory服务器的LDAPS端点建立信任辅助服务器 用于故障切换的辅助域控制器LDAP服务器的地址SSL 如果要将LDAPS与ActiveDirectoryLDAP服务器或OpenLDAP服务器标识源配合使用，请单击浏览选择将vCenterSingleSign-On与Windows会 验证结合使PlatformServicesControllerActiveDirectory域，然后才能使用SSPI。 了解vCenterServer双因 验通过vCenterSingleSign-On，您可以作为vCenterSingleSign-On可识别的标识源中的用户进行验通过使用RSASecurID令牌来进行验证。双因素验证方 智能卡验证仅允许在所登录计算机的USB驱动器上接入了物理卡的用户进行。例如，通用卡(CommonAccessCard,CAC)验证。管理员可以部署PKI，使智能卡成为由CA颁发的唯一客户端。对于入PIN。只有同时具有物理卡以及与匹配的PIN的用户才能登录。RSASecurID验 AuthenticationManager。如果PlatformServicesController已配置为指向注注验指定非默认验证方n对于智能卡验证，可以从vSphereClient或通过使用sso-config执行vCenterSingleSign-On设n对于RSASecurID，使用sso-config为域配置RSAAuthenticationManager，并启用RSA令牌份验证方法将显示在vSphereClient中结合使用各种验证方智能卡智能卡是具有嵌入式集成电路的小型塑料卡。许多机构和大型企业使用诸如通用卡(CAC)之vCenterServerPlatformServicesControllerPIN的组合进注注配置和使用智能卡验vSphere版6.0Update1TomcatvSphere6.0文档中心2启用和配置智能6.5及更高1设置反向配置反向以请求客户2启用和配置智能验证 使用命令行管理智能卡验管理智能卡验PlatformServicesControllervCenterServerPlatformServicesController的系将CA到PlatformServicesController系统操操作系 描 以root用户登录设备s 以管理员用户登录Windows命令提示符cdcd/usr/lib/vmware-opensslx509-informPEM-inpanySmartCardSigningCA.cer>/usr/lib/vmware-cdcd/usr/lib/vmware-opensslx509-informPEM-inpanySmartCardSigningCA.cer>>/usr/lib/vmware-注Windows上的PlatformServicesController上，使用C:\ProgramData\VMware\vCenterServer\runtime\VMwareSTSService\conf并将命令更改为使操操作系 描 /etc/vmware- <maxConnections>2048 <clientCAListFile>/usr/lib/vmware-sso/vmware-描描操作系 重新启动操作系统，或通过执行以下步骤重新启动VMwareHTTPReverse/usr/lib/vmware-vmon/vmon-cli--restart打开权限提升令提/usr/lib/vmware-vmon/vmon-cli--restart运行以下命cdcdC:\ProgramFiles\VMware\vCenterServer\binservice-control--stopvmware-rhttpproxyservice-control--startvmware-rhttpproxy使用命令行管理智能卡验您可以在以下位置找到sso-config： C:\ProgramFiles\VMware\VCenterserver\VMwareIdentityServices\sso- /opt/vmware/bin/sso-sso-config.bat-sso-config.bat--pwdAuthntrue-t命命操作系如果您使用默认租户，请使用vsphere.local作为租户名称sso-config.sh-set_authn_policy-pwdAuthn-t如果您使用默认租户，请使用vsphere.local作为租户名称默认设置并配置一个或多个替代OCSP响应者。例如，您可以设置vCenterSingleSign-On站点本地的OCSP响应者，用于处理吊销检查请求。注注如果您 nPlatformServicesController6.5vCenterServer版本6.0或更高版本。PlatformServicesController版本6.0Update2支持智能卡验证，但设置过 ) nvCenterServerActiveDirectory标识源中的一个或多个用户。然后，这些用户可执行管理任务，因为他们可以进行验证，并且具有vCenterServer管理员。注默认情况下，vCenterSingleSign-Onadministrator@vsphere.local无法执行智能卡身 选选描 登录到PlatformServicesControllerWindows安装，并使用WinSCP或类似的实用程序文件。 a直接或者使SSH登录到设备控制台b启用设备s，如下所示使用使用WinSCP或类似的实用程PlatformServicesControllerschsh-s"/bin/bash"的/usr/lib/vmware-sso/vmware-sts/confd选择性禁用设备s，如下所示chshchsh-s"/bin/appliancesh"sso-config.[bat|sh]sso-config.[bat|sh]-set_authn_policy-certAuthntrue-first_trusted_cert.cer,second_trusted_cert.cer-tsso-config.[bat|sh]sso-config.[bat|sh]-set_authn_policy-certAuthntrue-cacertsMySmartCA1.cer,MySmartCA2.cer-tsso-config.[bat|sh]sso-config.[bat|sh]-set_authn_policy-pwdAuthnfalse-tvsphere.localsso-config.sh-set_authn_policy-winAuthnfalse-tvsphere.localsso-config.sh-set_authn_policy-securIDAuthnfalse-tsso-config.[bat|sh]sso-config.[bat|sh]-set_authn_policy-certPoliciessso-config.batsso-config.bat-set_authn_policy-certPoliciessso-config.[bat|sh]sso-config.[bat|sh]-set_authn_policy-ttenantName-useOcsp指定多个替代OCSP响应者，以便允许进行故障切换。sso-config.[bat|sh]sso-config.[bat|sh]-ttenant-add_alt_ocsp[-siteIDyourPSCClusterID]-ocspUrl /-ocspSigningCertyourOcspSigningCA.cer注OnOCSPsiteID.sso-config.[bat|sh].sso-config.[bat|sh]-tvsphere.local-add_alt_ocsp--ocspSigningCert./DOD_JITC_ _CA-290x01A5DOD_JITC_ROOT_CA_2.cerAddingalternativeOCSPresponderfortenant:vsphere.localOCSPresponderisaddedsuccessfully! OCSPOCSPsigningCA][OCSPOCSPsigningCA]binarybinary]sso-config.[bat|sh]sso-config.[bat|sh]-ttenantName-sso-config.[bat|sh]sso-config.[bat|sh]-ttenantName-delete_alt_ocsp[-allSite][-sso-config.[bat|sh]sso-config.[bat|sh]-get_authn_policy-tsso-config.bat-sso-config.bat--pwdAuthntrue-t操操作系命如果您使用默认租户，请使用vsphere.local作为租户名称sso-config.sh-set_authn_policy-pwdAuthn-t如果您使用默认租户，请使用vsphere.local作为租户名称nPlatformServicesController6.5vCenterServer版本6.0或更高版本。PlatformServicesController版本6.0Update2支持智能卡验证，但设置过 ) nvCenterServerActiveDirectory标识源中的一个或多个用户。然后，这些用户可执行管理任务，因为他们可以进行验证，并且具有vCenterServer管理员。注默认情况下，vCenterSingleSign-Onadministrator@vsphere.local无法执行智能卡身 选选 描 登录到PlatformServicesControllerWindows安装，并使用WinSCP或类似的实用程序文件。 a直接或者使SSH登录到设备控制台b启用设备s，如下所示使用使用WinSCP或类似的实用程PlatformServicesControllerschsh-s"/bin/bash"csh-s"bin/appliance/sh"的/usr/lib/vmware-sso/vmware-sts/confd选择性禁用设备s，如下所示chshchsh-s"/bin/appliancesh"为administrator@vsphere.local或vCenterSingleSign-On管理员组的其他成员指定用户名和。如果在安装时指定了不同的域，请以administrator@my登录。态将显示在该Web界面中。此时将显示受信任的CA 可以使用CLI配置这些替代OCSP响应者。请参见使用命令行管理智能卡验证。设置智能卡验证的吊销策 仅 仅 OCSP和CRL 如果发证CA同时支持OCSP响应者和CRL，则vCenterSingleSign-On首先检查OCSP响应者。如果响应者返回未知状态或者不可用，则vCenterSingleSign-On将检查CRL。对于此情况，请同时启用OCSP检查和CRL检查，并启用CRL作为OCSP的故障切换。 OCSPURL 默认情况下，vCenterSingleSign-On检查在被验证的中定义的OCSP响应者的位置。如果该不存在AuthorityInformationAccess扩展名或使用中的CRL 默认情况下，vCenterSingleSign-On检查在被验证的中定义的CRLCRL位置 如果禁用使用中的CRL并且要指定CRL所在的位置（文件或HTTPnPlatformServicesController6.5vCenterServer版本6.0或更高版本。PlatformServicesController版本6.0Update2支持智能卡验证，但设置过 n(UPN(SANActiveDirectory nvCenterServerActiveDirectory标识源中的一个或多个用户。然后，这些用户可执行管理任务，因为他们可以进行验证，并且具有vCenterServer管理员。注默认情况下，vCenterSingleSign-Onadministrator@vsphere.local无法执行智能卡身为administrator@vsphere.local或vCenterSingleSign-On管理员组的其他成员指定用户名和。如果在安装时指定了不同的域，请以administrator@my登录。设置RSA 验有关详细信息，请参见两个有关RSASecurID设置的vSphere博客帖子。注RSAAuthenticationManagerID1255ASCII字符的唯一标识符。不允许使用以下字符：与号(&)、百分号(%)、大于号(>)、小于号(<)和单引号(`)。nPlatformServicesController6.5vCenterServer版本6.0或更高版本。PlatformServicesController版本6.0Update2支持智能卡验证，但设置过 SingleSign-On标识源。 的AM_Config.zip文件以查找sdconf.rec文件。 选选 描 C:\ProgramFiles\VMware\VCenterserver\VMwareIdentity sso-config.[sh|bat]sso-config.[sh|bat]-ttenantName-set_authn_policy–securIDAuthnsso-config.shsso-config.sh-set_authn_policy-pwdAuthnfalse-winAuthnfalse-certAuthnfalse-tsso-config.[sh|bat]sso-config.[sh|bat]-set_rsa_site[-ttenantName][-siteIDLocation][-agentNameName][-sso-config.shsso-config.sh-set_rsa_site-agentNameSSO_RSA_AUTHSDK_AGENT-sdConfFile选选 描 PlatformServicesControllerID。PlatformServicesController支持每个站点具有一个RSAAuthenticationManager实例或群集。如果您未明确指定该选项，则RSA配置用于当前PlatformServicesController站点。仅当添加不同的站点 从RSA 的sdconf.rec文件的副本，其中包括RSAManager的地址等配置信息sso-config.[sh|bat]-set_rsa_config[-tsso-config.[sh|bat]-set_rsa_config[-ttenantName][-logLevelLevel][-logFileSizeSize][-maxLogFileCountCount][-connTimeOutSeconds][-readTimeOutSeconds][-encAlgListAlg1,Alg2,...]sso-config.shsso-config.sh-set_rsa_config-tvsphere.local-logLevelsso-config.[sh|bat]sso-config.[sh|bat]-set_rsa_userid_attr_map[-ttenantName][-idsNameName][-ldapAttrAttrName][-siteIDLocation]sso-config.shsso-config.sh-set_rsa_userid_attr_map-tvsphere.local--sso-config.shsso-config.sh-ttenantName-注注管理登录消为administrator@vsphere.local或vCenterSingleSign-On管理员组的其他成员指定用户名和。如果在安装时指定了不同的域，请以administrator@my登录。选选 描显示登录消 消息的标题。默认情况