vSphere 5引入了SSO，允许将不同的基础设施比如vCenter以及Web Client安装在不同的虚拟机上。SSO是一个通信通道，使管理员不用将所有的基础设施都安装在vCenter Server上，但很多人对SSO及其工作机制存在误解。

什么是SSO？

SSO是一个可选的用于VMware用户管理、服务管理以及认证的认证系统。vCenter SSO是AD基础设施之外的另一种vCenter认证方式。

执行vCenter简易安装的用户不需要担心部署SSO的问题，因为在给出正确的证书时将会列出当前的AD配置并增加相应的配置。确保用域管理员身份而不是本地管理员身份登录运行安装镜像，否则将域用户添加到vCenter时会有问题。

如何配置vCenter SSO

对于有多个域或者希望添加一个新域的用户来说，部署SSO的过程非常简单。新用户请注意大多数SSO修改需要通过Web Client完成。

采用全新安装方式一定要注意两个不同的用户账户。第一个是SSO管理账号admin@System-Domain，另一个账户是用于vCenter设备的SSO用户root@System-Domain。 root@System-Domain账号无权修改虚拟机基础设施，也不能与虚拟机基础设施进行交互，仅能用于修改SSO用户、安全性认证以及登录设置。下图使用的是admin@System-Domain账号。通过查看Web Client的右上角可以确认正在使用哪个账号。

vSphere Web Client在屏幕右上角显示vSphere清单及登录的用户

管理员账号admin@System-Domain能够与虚拟机、网络、存储进行交互。但不要混淆，admin@System-Domain仍旧是一个SSO用户而不是域用户。

如何添加域

在vCenter中添加用户时如果没有列出AD域，可以使用admin@System-Domain用户登录到Web Client解决该问题。

在vCenter中增加域授权，要使用之前安装时设置的密码登录。你会注意到Web Client中的很多选项是灰色的，这是正常的，因为登录帐号只是一个SSO帐号。

接下来，依次选择管理>登录与发现>识别资源。这将会显示所有已安装的身份源。在vCenter中添加一个新域，要单击绿色的+符号打开配置屏幕。最常见的选项就是AD，但是如果你需要配置非-AD LDAP，可以使用OpenLDAP。

最后一个选项是本地操作系统，是操作系统级的认证。你可以选择一个已经配置好的域，例如在我的设置中你可以看到“VCENTER”条目。

在vSphere Web Client中为新域配置SSO

如果你想增加一个AD域，选择AD然后填写身份源信息。你需要选择第二个域控制器，因为在两个域中放置相同的控制器信息将会出现错误，导致过程中止。

一旦部署了第二个域控制器，vCenter就能够处理请求。问题或错误将会出现在左侧面板。为编辑该请求，可以通过双击“正在处理的工作”面板显示已填充的数据。如果你不确定LDAP的约定或配置，可以使用ADSI 编辑器从域控制器获取这些信息。

如何为新域增加权限

在vSphere Windows客户端中对新域进行测试，需要重新登录。选择你喜欢的视图，定位到权限标签，在空白空间中右键选择”添加权限“。在用户与用户组下，选择添加然后在下拉列表中选择域。你应该能看到列出的域用户。将角色分配给左侧面板的用户然后单击确认。我建议你创建一个基于域、只包含管理员的用户组。

使用vSphere Windows客户端将角色授予域中的用户

使用管理员登录然后在Web Client中做相同的配置。在左侧的清单树中选择你所偏爱的视图。在Web Client的右侧面板选择权限然后单击绿色的+按钮。之后的配置与Windows Client完全相同，选择认证域然后单击AD域。

使用vSphere Web Client为用户及用户组增加权限

SSO重要性增加

在新版vCenter中，SSO的重要性比之前更高。如果你对SSO感兴趣，可以到VMware官方网站查看vSphere 5.1手册。

作为一个附加产品，VMware建议大型站点的管理员将SSO从5.1升级至最新版本以增加功能与可靠性。该过程相当简单而且不需要升级vCenter。