vSphere SSO用户管理简介

1. Single Sign On服务简介

VMware vSphere 从5.1开始将 vCenter Single Sign On 服务作为 vCenter Server 管理基础架构的一部分引入。此更改会影响 vCenter Server 的安装、升级和运行。vCenter Single Sign On 身份验证服务允许各种 vSphere 软件组件通过安全的令牌交换机制相互通信,而不需要每个组件都要使用目录服务(如 Active Directory)分别对用户进行身份验证,从而使 VMware 云基础架构平台更加安全。在您的环境中执行后续 vCenter Server 安装时,无需安装 Single Sign-On。

安装一次 vCenter Single Sign-On 后,可以将所有新 vCenter Server 实例连接到同一身份验证服务器。但是,您必须为每个 vCenter Server 实例安装 Inventory Service 实例。

vCenter Single Sign On可以使用下面的标识源来验证:
■ Windows Active Directory
■ Open LDAP (Lightweight Directory Access Protocol)
■ Local user accounts (vCenter Single Sign On Server resident on the vCenter Server machine)
■ vCenter Single Sign On user accounts

        需要注意的是, Local user account是vCenter SSO所在的主机(或虚拟机)的Windows/Linux的操作系统用户,而非vCenter Server的操作系统用户。

       vCenter Single Sign On 提供一种安全令牌服务(Security Token Service, STS)的机制。一个SSO的客户端(例如vCenter Client, Web Client等)连接到SSO服务器来获得一个STS。令牌使用 Security Assertion Markup Language (SAML),一种基于XML格式的安全验证技术。

        下图为SSO使用SAML令牌和vCenter Server建立连接:

(1). vCenter SSO客户端向vCenter SSO服务器发出一个令牌请求,令牌请求中包含相关的用户标识信息。
(2). SSO服务器通过identity store(identity store包含添加到该SSO中的标识源)来验证标识信息。
(3). 如果验证通过,则SSO服务器返回一个SAML令牌。
(4). vCenter Client连接到vCenter Server, 然后调用sessionManager.LoginByToken方法,参数包含刚刚获取的SAML令牌。

2. 添加SSO用户和组

vCenter Server/SSO套件版本:Version 5.1 880146

首先使用SSO管理员(admin@System-domain)登录vSphere Web Client,在系统管理-SSO用户和组中添加SSO用户:

此时在SSO中添加一个名为debugo的Administrator用户,在“组”标签页中可以看到debugo用户已经在SSO的默认管理组__Administrator__中。
SSO用户和组的默认域是System-domian,以username@System-domain来用来区分来自验证源的用户。
添加SSO中的组—同理在组标签页下点击”+”来添加。

在上面的操作中,__Administrator__@System-domain组中已经拥有了debugo这个用户,我们可以再添加一个AD的用户。这里我们将ctbj.com域中的Administrator用户和Administrators组添加到__Administrator__@System-doamin组中。点击__Administrator__@System-domain后编辑,找到相应标识源中的相应用户和组添加即可。

 3. 添加Active Directory标识源

在系统管理—配置中,可以看到已经包含了SSO所在主机的操作系统用户的标识源,以及SSO服务的用户。

点击“+”可以添加其他标识源;
通过在编辑现有标识源中重新测试连接的方式可以重新验证该标识源,可以用于处理一些由于环境信息变化导致该标识源中用户信息登录失败的问题。(Active Directory标识源会经常出现这种问题的>_<)

4. 为用户和组赋予vCenter Server 管理权限

在vCenter Server对象管理页面上,就可以为各个对象来赋予权限和相应的权限了。选择vCenter Server这个对象,管理->权限->“+”, 将__Administrators__@System-domain这个组添加为vCenter Server的管理员。那么该组下的全部用户就拥有的vCenter Server级的管理权限。

Posted in Virtualization.
  1. 他喵的,以前无聊图评论告诉我是两个吊塔,一个高,一个低,互相搭起来的。然后我又问他高吊塔是怎么起来的?他告诉我是起重机吊起来的,卧槽,亏我到现在一直都深信不疑