如何设置Windows域账户单一登陆VCSA6.0

设置Windows域账户单一登陆VCSA6.0的方法

背景描述：

当我们在部署VCSA时，VMware会提示你不要使用与AD相同的域名来创建SSO域，这样部署完成后不能使用域管理员账户实现单一登录，下面就来介绍如何实现使用Windows域中的账户实现单一登陆。

*** 作步骤：

1.首先确保域名被DNS正确解析

2.登陆Web版的Vcenter，打开Single sign-on的配置选项，推荐选择将ActiveDirectory作为Ldap服务器（结合背景描述我们知道SSO不建议和AD域名相同，所以第一项可能在后续的使用中会出现问题）

3.填写完信息后点击测试连接，连接成功建立后点击确定

4.此时就可以看到已将AD域添加进了SSO域的标识源

5.再点击Single sing-on的用户和组，找到SSO域的administrators组，将AD域的管理员账号添加为改组的成员后，就可以使用AD域管理员账号登陆了

特别注意：

在第2步设置信息时，有个需要注意的地方，以小编的realking.com.cn域名为例，此处应填写为：

而小编之前一直将DN信息填写错误，导致测试链接能通过，但是在添加标识源时总提示 *** 作失败

所以，在填写DN信息时，务必要先去DC上输入adsiedit.msc，进行确认，

1 先用默认的管理员账号登陆系统,我的默认账号设置为administrator@sso.corp.vsphere.local这个账号是自己设置的

2 登陆进去的状态是这样的

3 点击选择系统管理，选择添加你要的一个角色

4 我这里建了一个测试0319的角色

5 看到我创建好的角色了

6 如果vcsa6刚加入域，我们需要去标识源的位置添加域才能使用域里面的东西

7 添加了域到标识源之后，我们接着去具体默认对象位置添加权限

8 比如我给我的DB服务器添加刚才的测试0319角色到具体一个用户

9 我们到添加域用户，添加了一个view1用户，然后我们给这个view1用户添加对应我们刚才新建的测试0319角色

10 这样设置就完成了，我们用view1账号去测试一下,view1账号可以登录进来，但看不到任何东西，因为view1对应的角色没什么权限，具体权限到角色那里设置

---