vSphere 5引入了SSO，允許將不同的基礎設施比如vCenter以及Web Client安裝在不同的虛擬機上。SSO是一個通信通道，使管理員不用將所有的基礎設施都安裝在vCenter Server上，但很多人對SSO及其工作機制存在誤解。

什么是SSO？

SSO是一個可選的用于VMware用戶管理、服務管理以及認證的認證系統(tǒng)。vCenter SSO是AD基礎設施之外的另一種vCenter認證方式。

執(zhí)行vCenter簡易安裝的用戶不需要擔心部署SSO的問題，因為在給出正確的證書時將會列出當前的AD配置并增加相應的配置。確保用域管理員身份而不是本地管理員身份登錄運行安裝鏡像，否則將域用戶添加到vCenter時會有問題。

如何配置vCenter SSO

對于有多個域或者希望添加一個新域的用戶來說，部署SSO的過程非常簡單。新用戶請注意大多數SSO修改需要通過Web Client完成。

采用全新安裝方式一定要注意兩個不同的用戶賬戶。***個是SSO管理賬號admin@System-Domain，另一個賬戶是用于vCenter設備的SSO用戶root@System-Domain。 root@System-Domain賬號無權修改虛擬機基礎設施，也不能與虛擬機基礎設施進行交互，僅能用于修改SSO用戶、安全性認證以及登錄設置。下圖使用的是admin@System-Domain賬號。通過查看Web Client的右上角可以確認正在使用哪個賬號。

vSphere Web Client在屏幕右上角顯示vSphere清單及登錄的用戶

管理員賬號admin@System-Domain能夠與虛擬機、網絡、存儲進行交互。但不要混淆，admin@System-Domain仍舊是一個SSO用戶而不是域用戶。

如何添加域

在vCenter中添加用戶時如果沒有列出AD域，可以使用admin@System-Domain用戶登錄到Web Client解決該問題。

在vCenter中增加域授權，要使用之前安裝時設置的密碼登錄。你會注意到Web Client中的很多選項是灰色的，這是正常的，因為登錄帳號只是一個SSO帳號。

接下來，依次選擇管理>登錄與發(fā)現>識別資源。這將會顯示所有已安裝的身份源。在vCenter中添加一個新域，要單擊綠色的+符號打開配置屏幕。最常見的選項就是AD，但是如果你需要配置非-AD LDAP，可以使用OpenLDAP。

***一個選項是本地操作系統(tǒng)，是操作系統(tǒng)級的認證。你可以選擇一個已經配置好的域，例如在我的設置中你可以看到“VCENTER”條目。

在vSphere Web Client中為新域配置SSO

如果你想增加一個AD域，選擇AD然后填寫身份源信息。你需要選擇第二個域控制器，因為在兩個域中放置相同的控制器信息將會出現錯誤，導致過程中止。

一旦部署了第二個域控制器，vCenter就能夠處理請求。問題或錯誤將會出現在左側面板。為編輯該請求，可以通過雙擊“正在處理的工作”面板顯示已填充的數據。如果你不確定LDAP的約定或配置，可以使用ADSI 編輯器從域控制器獲取這些信息。

如何為新域增加權限

在vSphere Windows客戶端中對新域進行測試，需要重新登錄。選擇你喜歡的視圖，定位到權限標簽，在空白空間中右鍵選擇”添加權限“。在用戶與用戶組下，選擇添加然后在下拉列表中選擇域。你應該能看到列出的域用戶。將角色分配給左側面板的用戶然后單擊確認。我建議你創(chuàng)建一個基于域、只包含管理員的用戶組。

使用vSphere Windows客戶端將角色授予域中的用戶

使用管理員登錄然后在Web Client中做相同的配置。在左側的清單樹中選擇你所偏愛的視圖。在Web Client的右側面板選擇權限然后單擊綠色的+按鈕。之后的配置與Windows Client完全相同，選擇認證域然后單擊AD域。

使用vSphere Web Client為用戶及用戶組增加權限

SSO重要性增加

在新版vCenter中，SSO的重要性比之前更高。如果你對SSO感興趣，可以到VMware官方網站查看vSphere 5.1手冊。

作為一個附加產品，VMware建議大型站點的管理員將SSO從5.1升級至***版本以增加功能與可靠性。該過程相當簡單而且不需要升級vCenter。