vCenter ServerやESXiは、Active Directory (以下、AD) のドメインに参加することができ、ADによる認証機能の利用や、ADのユーザやグループに対するロールの割り当てを行い、必要な権限付与を行うことができる。
vSphere 7.0においても引き続きAD認証は利用できるものの、統合Windows認証 (Integrated Windows Authentication ; IWA) の利用は今後廃止予定であり、利用は非推奨となることが発表された。
- vSphere 7 - Integrated Windows Authentication (IWA) Deprecation - VMware vSphere Blog
- 統合 Windows 認証の廃止 (78506)
上記URLにも記載されているが、今後vCenter Serverでは、「Active Directory (統合 Windows 認証)」ではなく「LDAP を介した Active Directory」によるIDソースの設定する必要がある。
また、ADとの認証通信は、セキュリティの観点からLDAPではなくLDAPSにて構成することが推奨される。
本記事では、vCenter Serverにて「LDAP を介した Active Directory」を利用して、LDAPSを利用するIDソースの登録を行う手順を記載する。
Active DirectoryをLDAPSで利用できるよう構成
ADでLDAPSを利用する場合は、証明書の作成と登録が必要となる。
以下記事にてオレオレ証明書を利用した設定手順を記載しているため、参照し事前に設定を完了させておくこと。
vCenter Serverにて「LDAP を介した Active Directory」を利用してIDソースを設定
1. IDソースを登録
vSphere Clientにログインし、「メニュー」→「管理」→「Single Sign-On」→「設定」を選択したのち、「IDソース」タブを開く。
「IDソースの追加」にて、ADを追加する。ここのIDソースタイプの設定として選択できる「Active Directory (統合 Windows 認証)」は非推奨となるため、「LDAP を介した Active Directory」を選択し、以下の通り設定する。
| 設定項目 | 設定例 | 説明 |
|---|---|---|
| ID ソース タイプ | LDAP を介した Active Directory | ADをLDAPS経由で使用する場合は左記を選択 |
| 名前 | example.com |
任意の名前を指定。ドメイン名が判別しやすくてお勧め |
| ユーザーのベース識別名 | ou=My OU,dc=example,dc=com |
対象とするOU及びドメインを指定 |
| グループのベース識別名 | ou=My OU,dc=example,dc=com |
対象とするOU及びドメインを指定 |
| ドメイン名 | example.com |
ドメイン名を指定 |
| ドメイン エイリアス | example |
任意で指定 |
| ユーザー名 | user@example.com |
ADを参照可能なユーザを指定 |
| パスワード | ユーザのパスワード | 指定したユーザのパスワードを指定 |
| 接続先 | 特定のドメイン コントローラ | DNSがADと統合されている場合は、ドメイン内の任意のドメイン コントローラを選択しても問題ない |
| プライマリ サーバ URL | ldaps://hoge1.example.com:636 |
LDAPSの場合はldaps://[ADのFQDN]:636で指定 |
| セカンダリ サーバ URL | ldaps://hoge2.example.com:636 |
LDAPSの場合はldaps://[ADのFQDN]:636で指定 |
| SSL 証明書 | LDAPSに必要となるサーバ証明書を登録 | 証明書の作成方法は以前の記事を参照 |
2. 動作確認
「Single Sign-On」→「ユーザーおよびグループ」を選択し、「ドメイン」を先ほど作成したADのドメインを指定する。ADに登録しているユーザ情報が確認できればOKとなる。
0 件のコメント:
コメントを投稿