Single Sign-On ist eine der tiefgreifendsten Neuerungen an vSphere 5.1, die für den Anwender zunächst nicht sichtbar ist. Für den Upgrade Prozess bietet dieses Feature allerdings einige Hürden und Fallstricke. Man sollte sich daher vor dem Upgrade intensiv mit dieser Funktion auseinander setzen und den Upgrade Guide gründlich lesen.
Webclient login
Der Erste Aufruf sollte vom vCenter direkt erfolgen
https://vcenter.mydomain.com:9443
Port 9443 ist der Defaultport. Wenn jedoch auf dem vCenter Server auch ein Veeam Enterprise Manager installiert ist, muß bei der Installation des Webclients ein anderer Port gewählt werden, da dieser ebenfalls 9443 verwendet.
Der erste Login erfolgt mit dem bei der Installation erstellten User admin@System-Domain und dem dabei definierten Password.
Erste Aufgabe sollte die Konfiguration der Identitätsquellen sein. Man erreicht sie unter
Verwaltung > Anmeldung und Erkennung > Konfiguration > Identitätsquellen
Sollte bei der Installation die Active Directory Domäne nicht richtig gefunden worden sein (das kommt häufig vor), so muss man sie hier manuell eintragen. Durch Klick auf das grüne Plus öffnet sich ein Assistent. Für die Konfigurationsparameter bietet sich das Dokumenationscenter an (Klick auf das “?”).
Wo ist mein vCenter ?
Unter Verwaltung sieht man kein vCenter. Die Auswahlbox für vCenter ist leer. Warum?
RTFM !
Die Frage trieb mich fast in die Verzweiflung. Ich hatte zuvor den Upgrade-Guide gründlich gelesen, aber die Antwort fand ich erst im vSphere 5.1 Documentation-Center. Die Lösung ist einfach: Weil der User admin@System-Domain keine Rechte auf vCenter hat. Douh! Darauf hätte ich selbst kommen können.
Umgekehrt kann ich mich als Domänenbenutzer (vCenter Administrator) am Webclient anmelden und sehe dort das vCenter, aber kann SSO nicht konfigurieren. Warum? Weil ich keine Rechte auf den SSO Server habe. Diese hat zunächst nur der Defaultuser admin@System-Domain.
Mach mich zum SSO Admin
Um einem Domänen Benutzerkonto Rechte auf den SSO Server zu geben, muß man sich zunächst mit dem Defaultuser admin@System-Domain anmelden.
Verwaltung > Zugriff > SSO Benutzer und Gruppen > Gruppen
Dort die Gruppe Administrators markieren und auf das Icon “Prinzipale hinzufügen” klicken (blaue Person mit dem Plus).
Als Identitätsquelle die Active-Directory Domäne wählen und im Suchfeld den Namen eines Domänen-Benutzers oder einer Gruppe eingeben und auf “Suchen” klicken. In diesem Fall habe ich die Gruppe der vSphere – Admins (Domäne) hinzugefügt. Nach Logout und anschließendem Login als vSphere-Admin kann der Domänenbenutzer auch Den SSO Server administrieren.
Links