預設情況下,VMware Cloud Foundation 使用 vCenter Single Sign-On 作為身份提供程式,並使用系統域作為其身份源,可以將基於 LDAP 和 OpenLDAP 的 Active Directory 新增為 vCenter Single Sign-On 的身份源,也可以配置 Microsoft ADFS、Okta 或 Microsoft Entra ID 作為 VMware Cloud Foundation 的外部身份提供程式,而不是使用 vCenter Server 內建的 vCenter Single Sign-On。
配置了身份提供程式或新增了身份源後,您可以將使用者和組新增到 VMware Cloud Foundation,以向使用者提供對 SDDC Manager UI 以及 VMware Cloud Foundation 系統中部署的 vCenter Server 和 NSX Manager 例項的訪問許可權,使用者可以根據其分配的角色(管理員、操作員或檢視者)登入並執行不同的任務。
注意,SDDC Manager 僅管理“管理工作負載 SSO 域”的使用者和組,如果建立的 VI 工作負載域未加入到管理工作負載域的 SSO 域,而是獨立的 VI 工作負載 SSO 域,則必須使用 VI 工作負載域 vCenter Server(vSphere Client)來進行管理 SSO 域中的使用者和組。
一、瞭解元件的賬戶型別
導航到 SDDC Manager UI->安全->密碼管理,這個地方可以檢視所有由 SDDC Manager 管理的元件賬戶,這些賬戶型別主要包含使用者賬戶(USER)、系統賬戶(SYSTEM)以及服務賬戶(SERVICE)。服務賬戶型別由 VMware Cloud Foundation 自動建立,用於產品元件之間的互動,其他賬戶型別通常是產品元件自身的本地賬戶。
ESXi 元件的賬戶型別。
vCenter Server 元件的賬戶型別。
NSX 元件的賬戶型別。
SDDC Manager 元件的賬戶型別。
二、檢索元件的使用者密碼
VCF 環境中的元件賬戶由 SDDC Manager 管理後,其實可以透過 SDDC Manager 來檢索這些元件的賬戶憑據,比如,當你後續對元件的使用者密碼進行更新或輪換之後,可能將來某些時候想直接訪問這些元件進行維護或故障排除時使用。使用 vcf 使用者 ssh 連線到 SDDC Manager CLI,透過 lookup_passwords 命令檢索元件的使用者密碼。
可以直接執行命令並根據選擇的元件型別,然後獲取對應元件使用者的密碼。
執行命令並使用 SSO 管理使用者認證直接檢索 ESXi 元件的使用者密碼。
lookup_passwords -u administrator@vsphere.local -p Vcf520@password -e ESXI -n 1 -s 20
執行命令並使用 SSO 管理使用者認證直接檢索 vCenter Server 元件的根使用者密碼。
lookup_passwords -u administrator@vsphere.local -p Vcf520@password -e VCENTER -n 1 -s 20
執行命令並使用 SSO 管理使用者認證直接檢索 vCenter Server 元件的 SSO 使用者密碼。
lookup_passwords -u administrator@vsphere.local -p Vcf520@password -e PSC -n 1 -s 20
執行命令並使用 SSO 管理使用者認證直接檢索 NSX 元件的使用者密碼。
lookup_passwords -u administrator@vsphere.local -p Vcf520@password -e NSXT_MANAGER -n 1 -s 20
執行命令並使用 SSO 管理使用者認證直接檢索 SDDC Manager 元件的備份使用者密碼。
lookup_passwords -u administrator@vsphere.local -p Vcf520@password -e BACKUP -n 1 -s 20
三、管理元件的使用者密碼
預設情況下,VCF 環境中元件的使用者密碼具有有效期,我們可以使用 SoS 實用程式在 SDDC Manager 上執行密碼狀態檢查,如下所示。
vcf@vcf-mgmt01-sddc01 [ ~ ]$ sudo /opt/vmware/sddc-support/sos --password-health
Welcome to Supportability and Serviceability(SoS) utility!
Performing SoS operation for vcf-mgmt01 domain components
Health Check : /var/log/vmware/vcf/sddc-support/healthcheck-2024-12-07-11-10-45-128001
Health Check log : /var/log/vmware/vcf/sddc-support/healthcheck-2024-12-07-11-10-45-128001/sos.log
NOTE : The Health check operation was invoked without --skip-known-host-check, additional identity checks will be included for Connectivity Health, Password Health and Certificate Health Checks because of security reasons.
SDDC Manager : vcf-mgmt01-sddc01.mulab.local
+-------------------------+-----------+
| Stage | Status |
+-------------------------+-----------+
| Bringup | Completed |
| Management Domain State | Completed |
+-------------------------+-----------+
+--------------------+---------------+
| Component | Identity |
+--------------------+---------------+
| SDDC-Manager | 192.168.32.70 |
| Number of Servers | 4 |
+--------------------+---------------+
Password Expiry Status : GREEN
+-----+-----------------------------------------+---------------------------+-------------------+--------------+-----------------+-------+
| SL# | Component | User | Last Changed Date | Expiry Date | Expires in Days | State |
+-----+-----------------------------------------+---------------------------+-------------------+--------------+-----------------+-------+
| 1 | ESXI : vcf-mgmt01-esxi01.mulab.local | svc-vcf-vcf-mgmt01-esxi01 | Dec 02, 2024 | Never | Never | GREEN |
| | | root | Dec 02, 2024 | Never | Never | GREEN |
| 2 | ESXI : vcf-mgmt01-esxi02.mulab.local | svc-vcf-vcf-mgmt01-esxi02 | Dec 02, 2024 | Never | Never | GREEN |
| | | root | Dec 02, 2024 | Never | Never | GREEN |
| 3 | ESXI : vcf-mgmt01-esxi03.mulab.local | svc-vcf-vcf-mgmt01-esxi03 | Dec 02, 2024 | Never | Never | GREEN |
| | | root | Dec 02, 2024 | Never | Never | GREEN |
| 4 | ESXI : vcf-mgmt01-esxi04.mulab.local | svc-vcf-vcf-mgmt01-esxi04 | Dec 02, 2024 | Never | Never | GREEN |
| | | root | Dec 02, 2024 | Never | Never | GREEN |
| 5 | NSX : vcf-mgmt01-nsx01.mulab.local | admin | Sep 26, 2024 | Dec 25, 2024 | 18 days | GREEN |
| | | root | Sep 26, 2024 | Dec 25, 2024 | 18 days | GREEN |
| | | audit | Sep 26, 2024 | Dec 25, 2024 | 18 days | GREEN |
| 6 | SDDC : vcf-mgmt01-sddc01.mulab.local | vcf | Nov 12, 2024 | Nov 12, 2025 | 340 days | GREEN |
| | | root | Nov 12, 2024 | Feb 10, 2025 | 65 days | GREEN |
| | | backup | Nov 12, 2024 | Nov 12, 2025 | 340 days | GREEN |
| 7 | vCenter : vcf-mgmt01-vcsa01.mulab.local | root | Sep 26, 2024 | Dec 25, 2024 | 17 days | GREEN |
+-----+-----------------------------------------+---------------------------+-------------------+--------------+-----------------+-------+
Legend:
GREEN - No attention required, health status is NORMAL
YELLOW - May require attention, health status is WARNING
RED - Requires immediate attention, health status is CRITICAL
Health Check completed successfully for : [VCF-SUMMARY, PASSWORD-CHECK]
vcf@vcf-mgmt01-sddc01 [ ~ ]$ SDDC Manager 可以管理元件的使用者密碼,比如更新(Update)密碼、輪換(Rotate)密碼以及修復(Remediate)密碼等。更新密碼指的是對某一使用者“手動”更新自己設定的密碼;輪換密碼指的是對一個/多個/全部使用者“自動”更新生成隨機的密碼,這種方式可以設定排程輪換,比如每隔 30/60/90 天自動輪換更新一次元件的密碼;修復密碼指的是當某一元件由於密碼已經過期後,管理員只能手動在元件中去更新密碼,然後再透過 SDDC Manager 修復元件的密碼以同步更新。
注意,ESXi 元件的使用者密碼不支援排程輪換。
點選“更新密碼”,我們可以手動設定一個密碼以更新元件的密碼。
完成更新。
透過命令可以檢視更新後的密碼。
點選“輪換密碼”,系統會自動隨機生成一個密碼以更新元件的密碼。
透過命令再次檢視更新後的密碼。
點選“排程輪換”,可以對某一元件的密碼設定自動輪換計劃。配置為在計劃日期的午夜執行,停用輪換排程,密碼輪換將變為手動。
注,當前 VCF 5.2.1 版本設定排程輪換後好像 UI 看不到排程設定,之前的版本應該是可以看到的,不過也可以透過其他方式進行檢視。
從“密碼管理”列表中可能發現,SDDC Manager 元件的使用者好像只有 backup 賬戶,應該還有 vcf 和 root 使用者不在列表中。如果需要更新 vcf 和 root 使用者的密碼,需要手動 ssh 連線到 SDDC Manager CLI 中去,然後使用 passwd 命令進行更新,如下圖所示。
如果 vcf 和 root 使用者的密碼已經過期了怎麼辦?可以登入 vCenter Server(vSphere Client),找到 SDDC Manager 虛擬機器並開啟“WEB 控制檯”。
然後使用過期的密碼進行本地登入,再使用 passwd 命令更新 root 密碼以及 vcf 使用者密碼。
SDDC Manager 元件除了以上所說的使用者以外,其實還有一個本地賬戶(admin@local),通常使用本地帳戶用於訪問 VMware Cloud Foundation API,比如當 vCenter Server 關閉/故障,無法使用 SSO 管理員使用者(administrator@vsphere.local)時,這時這個本地賬戶就可以不依賴於 SSO 使用者獨立執行 API 操作。
本地賬戶可以透過 API 進行更新密碼。導航到 API 資源管理器,輸入“admin”以篩選 API 類別,然後使用 PATCH /v1/users/local/admin 選項進行更新本地賬戶的密碼。當執行後狀態顯示為“204,No Content”,則表示更新成功。
vCenter Server 元件的預設 SSO 管理員使用者具有有效期,所以也需要更新該使用者的密碼,在 SDDC Manager 中顯示為“PSC”資源型別。
當透過 SDDC Manager 更新 SSO 管理員使用者的密碼時,提示不允許輪換 PSC 憑據。由於預設只有一個 SSO 管理員使用者(administrator@vsphere.local),所以需要建立備用的 SSO 管理員使用者之後才能執行更新操作。
可以透過登入 vCenter Server(vSphere Client)建立一個 SSO 管理員使用者(如 vcfadmin@vsphere.local),然後在 SDDC Manager 下圖的地方新增另外一個“管理員”角色的使用者。
SDDC Manger 已新增另外一個 SSO 管理員使用者。
使用新的 SSO 管理員使用者來登入 SDDC Manager,此時,另外一個 SSO 管理員使用者的密碼可以成功完成輪換。
如果環境是 VMware Cloud Foundation 5.2.1 版本,也可以透過 vCenter Server(vSphere Client)來管理元件的密碼。
使用 SoS 實用程式再次檢視元件更新後的密碼狀態,現在所有元件的密碼過期日期已被重新整理為最新狀態。
vcf@vcf-mgmt01-sddc01 [ ~ ]$ sudo /opt/vmware/sddc-support/sos --password-health
[sudo] password for vcf
Welcome to Supportability and Serviceability(SoS) utility!
Performing SoS operation for vcf-mgmt01 domain components
Health Check : /var/log/vmware/vcf/sddc-support/healthcheck-2024-12-07-12-29-31-149728
Health Check log : /var/log/vmware/vcf/sddc-support/healthcheck-2024-12-07-12-29-31-149728/sos.log
NOTE : The Health check operation was invoked without --skip-known-host-check, additional identity checks will be included for Connectivity Health, Password Health and Certificate Health Checks because of security reasons.
SDDC Manager : vcf-mgmt01-sddc01.mulab.local
+-------------------------+-----------+
| Stage | Status |
+-------------------------+-----------+
| Bringup | Completed |
| Management Domain State | Completed |
+-------------------------+-----------+
+--------------------+---------------+
| Component | Identity |
+--------------------+---------------+
| SDDC-Manager | 192.168.32.70 |
| Number of Servers | 4 |
+--------------------+---------------+
Password Expiry Status : GREEN
+-----+-----------------------------------------+---------------------------+-------------------+--------------+-----------------+-------+
| SL# | Component | User | Last Changed Date | Expiry Date | Expires in Days | State |
+-----+-----------------------------------------+---------------------------+-------------------+--------------+-----------------+-------+
| 1 | ESXI : vcf-mgmt01-esxi01.mulab.local | svc-vcf-vcf-mgmt01-esxi01 | Dec 02, 2024 | Never | Never | GREEN |
| | | root | Dec 02, 2024 | Never | Never | GREEN |
| 2 | ESXI : vcf-mgmt01-esxi02.mulab.local | svc-vcf-vcf-mgmt01-esxi02 | Dec 02, 2024 | Never | Never | GREEN |
| | | root | Dec 02, 2024 | Never | Never | GREEN |
| 3 | ESXI : vcf-mgmt01-esxi03.mulab.local | svc-vcf-vcf-mgmt01-esxi03 | Dec 02, 2024 | Never | Never | GREEN |
| | | root | Dec 02, 2024 | Never | Never | GREEN |
| 4 | ESXI : vcf-mgmt01-esxi04.mulab.local | svc-vcf-vcf-mgmt01-esxi04 | Dec 02, 2024 | Never | Never | GREEN |
| | | root | Dec 02, 2024 | Never | Never | GREEN |
| 5 | NSX : vcf-mgmt01-nsx01.mulab.local | admin | Dec 07, 2024 | Mar 07, 2025 | 90 days | GREEN |
| | | root | Dec 07, 2024 | Mar 07, 2025 | 90 days | GREEN |
| | | audit | Dec 07, 2024 | Mar 07, 2025 | 90 days | GREEN |
| 6 | SDDC : vcf-mgmt01-sddc01.mulab.local | vcf | Dec 07, 2024 | Dec 07, 2025 | 365 days | GREEN |
| | | root | Dec 07, 2024 | Mar 07, 2025 | 90 days | GREEN |
| | | backup | Dec 07, 2024 | Dec 07, 2025 | 365 days | GREEN |
| 7 | vCenter : vcf-mgmt01-vcsa01.mulab.local | root | Dec 07, 2024 | Mar 07, 2025 | 89 days | GREEN |
+-----+-----------------------------------------+---------------------------+-------------------+--------------+-----------------+-------+
Legend:
GREEN - No attention required, health status is NORMAL
YELLOW - May require attention, health status is WARNING
RED - Requires immediate attention, health status is CRITICAL
Health Check completed successfully for : [VCF-SUMMARY, PASSWORD-CHECK]
vcf@vcf-mgmt01-sddc01 [ ~ ]$