如何配置 ESXi 的身份验证服务，如使用 Active Directory 或 LDAP？

1. 配置Active Directory（AD）认证

   • 确保ESXi主机时间与AD服务器同步（配置NTP）。
   • SSH登录ESXi主机，执行：esxcli system domainjoin join --domain <AD域> --user <管理员账户> --password <密码>。
   • 启用AD集成：在vSphere Client中，进入主机 → 配置 → 系统 → 身份服务，选择“Active Directory”，保存。
   • 分配权限：通过vSphere Client将AD用户/组添加到ESXi权限列表。

2. 配置LDAP认证

   • 进入ESXi主机 → 配置 → 系统 → 身份服务，选择“LDAP”。
   • 填写LDAP服务器地址、端口（默认389/636）及Base DN（例：dc=example,dc=com）。
   • 若用LDAPS，上传CA证书至ESXi的/etc/vmware/ssl/目录。
   • 启用“使用证书验证”并保存配置。
   • 通过esxcli system ldap set --enabled=true启用服务。

3. 验证

   • 测试登录：使用AD/LDAP账户通过SSH或vSphere Client登录。
   • 查看日志：/var/log/auth.log排查错误。

要配置ESXi用AD或LDAP登录，先进ESXi主机后台的【管理】-【系统】-【身份验证服务】。如果用AD，选Active Directory，填域名和域管理员账号，点加入域就行。LDAP的话选对应选项，填服务器地址、端口（比如389）、绑定账号密码，SSL建议打开。搞完记得在【权限】里给AD/LDAP用户分配权限，不然登不上。注意ESXi和域控/LDAP服务器时间要同步，网络要通！

从技术工程师角度，ESXi配置身份验证服务常用方案如下：

一、Active Directory集成配置

1. 前置条件：

   • 确保ESXi主机与AD域控制器时间同步（配置NTP）
   • 开放ESXi防火墙：TCP 88(Kerberos)、389(LDAP)、636(LDAPS)、445(SMB)

2. 配置步骤： a) 登录vSphere Client/Host Client → 选择主机 → 配置 → 系统 → 身份验证服务 b) 点击'加入域' → 输入域名（如corp.example.com） c) 输入具有加域权限的AD账户（格式：user@domain或DOMAIN\user） d) 完成验证后重启hostd服务或主机

3. 验证：

   • 使用SSH登录ESXi执行：/usr/lib/vmware/likewise/bin/domainjoin-cli query
   • 尝试用AD账户登录ESXI主机

二、LDAP集成配置

1. 前置条件：

   • 确认LDAP服务器地址、端口及Base DN（如dc=example,dc=com）
   • 准备只读权限的绑定账户（如有认证要求）

2. 配置步骤： a) 进入身份验证服务设置 → 选择'LDAP'模式 b) 填写LDAP服务器地址和端口（默认389/636） c) 勾选SSL加密（如使用LDAPS） d) 设置用户/组查询基础DN（可选） e) 应用配置并重启服务

排错要点

• 检查/var/log/auth.log日志
• 验证网络连通性：nc -vz <AD/LDAP_IP> <PORT>
• AD集成失败时检查DNS解析是否正常
• LDAP证书问题需将CA证书上传至ESXi的/etc/vmware/ssl目录

配置ESXi身份验证服务（如Active Directory或LDAP）的核心步骤如下：

1. Active Directory集成

   • 前置条件：确保ESXi主机与域控制器网络互通，DNS解析正常，NTP时间同步。
   • 操作步骤：
     • 登录vSphere Client，进入主机→配置→系统→身份验证服务→加入域
     • 输入AD域名、域管理员账号及密码
     • 确认ESXi主机在AD中生成计算机对象
   • 验证：使用AD用户/组通过vCenter或Host Client登录

2. LDAP集成

   • 前置条件：获取LDAP服务器地址、端口、Base DN及绑定账户
   • 命令行配置：

     esxcli system ldap set --server=ldap://ip:port --bind-dn="cn=admin,dc=domain" --bind-password=xxx
     esxcli system ldap set --user-base-dn="ou=users,dc=domain" --group-base-dn="ou=groups,dc=domain"
     esxcli system ldap enable

   • SSL配置：若需加密，上传证书至/etc/vmware/ssl/并更新配置

3. 注意事项

   • ESXi 7.0+默认禁用本地用户，需通过vCenter管理AD/LDAP权限
   • 防火墙需开放AD(389/636)或LDAP相关端口
   • 调试日志路径：/var/log/auth.log

注：生产环境建议通过vCenter统一管理认证策略，单节点配置可能因版本差异存在参数调整。

在配置ESXi身份验证服务时，Active Directory (AD)和LDAP的集成需遵循以下步骤及注意事项：

1. AD集成配置

   • 通过vSphere Client进入主机-配置-系统-身份验证服务，选择AD域模式
   • 输入完全限定域名（FQDN），如"esxi01.corp.example.com"
   • 需确保DNS解析正常，实践中常遇到DNS反向解析失败导致域加入失败
   • 使用domainjoin-cli命令验证：/usr/lib/vmware/likewise/bin/domainjoin-cli query

2. LDAP配置要点

   • 选择LDAPS(636端口)而非明文LDAP，需提前将CA证书上传至ESXi的证书存储
   • 多目录服务器场景应配置故障转移：esxcli system ldap set --server="ldaps://dc1,ldaps://dc2"
   • 遇到过TLS版本不匹配问题（ESXi 7.0默认禁用TLS1.0，需与LDAP服务器协商）

3. 权限映射挑战

   • AD组需通过esxcli system permission映射到ESXi角色
   • 注意ESXi本地角色与vCenter全局角色的权限冲突问题
   • 实践中发现超过32个嵌套组时出现权限识别异常

4. 时间同步关键性

   • Kerberos要求时间偏差<5分钟，建议配置NTP服务：

     esxcli system ntp set --servers=ntp.corp.example.com
     esxcli system ntp restart

5. 故障排查工具

   • 检查日志：/var/log/hostd.log中的AUTHENTICATION_DOMAIN事件
   • 使用vpxd调试模式：vim-cmd vpxd -l debug
   • 网络连通性验证：nc -zv dc.example.com 389

典型问题案例：某客户AD集成失败，最终发现是ESXi主机未配置正确的DNS搜索域，导致SRV记录查询失败。建议始终使用FQDN而非IP地址进行配置，并验证反向DNS记录。