Active Directory を使用した認証の構成

Google Cloud VMware Engine では、vCenter と NSX-T がオンプレミスの Active Directory をユーザー認証の LDAP ID ソースとして使用するように構成できます。設定が完了すると、vCenter と NSX-T Manager にアクセス権を付与して、プライベート クラウドの管理に必要なロールを割り当てることができます。

始める前に

このドキュメントの手順では、最初に次の作業を実施することを想定しています。

• オンプレミス ネットワークからプライベート クラウドへの接続を確立します。
• オンプレミスの Active Directory の DNS 名前解決を有効にします。
  • レガシー VMware Engine ネットワーク: プライベート クラウドで DNS 転送ルールを作成して、オンプレミスの Active Directory の DNS 名前解決を有効にします。
  • VMware Engine 標準ネットワーク: VMware Engine ネットワークへの DNS バインディングを構成することで、オンプレミスの Active Directory の DNS 名前解決を有効にします。

次の表は、オンプレミスの Active Directory ドメインを vCenter と NSX-T の SSO ID ソースとして設定する際に必要な情報を列挙したものです。SSO ID ソースは、次の情報を収集してから設定します。

情報	説明
ユーザーのベース DN	ユーザーのベース識別名。
ドメインの名前	ドメインの FQDN（例: example.com）。このフィールドには IP アドレスを入力しないでください。
ドメイン エイリアス	ドメイン NetBIOS 名。SSPI 認証を使用している場合は、Active Directory ドメインの NetBIOS 名を ID ソースのエイリアスとして追加します。
グループのベース DN	グループのベース識別名。
プライマリ サーバーの URL	ドメインのプライマリ ドメイン コントローラの LDAP サーバー。 ldap://hostname:port 形式または ldaps://hostname:port 形式を使用します。通常、ポートは LDAP 接続の場合は 389、LDAPS 接続の場合は 636 です。Active Directory マルチドメイン コントローラのデプロイにおいて、ポートは通常、LDAP の場合は 3268、LDAPS の場合は 3269 です。 プライマリまたはセカンダリ LDAP の URL で ldaps:// を使用する場合、Active Directory サーバーの LDAPS エンドポイントの信頼を確立する証明書が必要です。
セカンダリ サーバーの URL	フェイルオーバーに使用されるセカンダリ ドメイン コントローラの LDAP サーバーのアドレス。
証明書の選択	Active Directory LDAP サーバーまたは OpenLDAP サーバーの ID ソースで LDAPS を使用するには、URL テキスト ボックスに「ldaps://」を入力した後に表示される [証明書の選択] ボタンをクリックします。セカンダリ サーバーの URL は必要ありません。
ユーザー名	ユーザーとグループのベース DN に対する読み取り専用権限以上を持つドメインのユーザーの ID。
パスワード	ユーザー名で指定されたユーザーのパスワード。

vCenter に ID ソースを追加する

1. プライベート クラウドの権限を昇格します。
2. プライベート クラウドの vCenter にログインします。
3. [Home] > [Administration] を選択します。
4. [Single Sign On] > [Configuration] を選択します。
5. [Identity Sources] タブを開き、[+Add] をクリックして、新しい ID ソースを追加します。
6. [Active Directory as LDAP Server] を選択し、[Next] をクリックします。
7. 環境の ID ソース パラメータを指定し、[Next] をクリックします。
8. 設定を確認し、[Finish] をクリックします。

NSX-T に ID ソースを追加する

1. プライベート クラウドで NSX-T Manager にログインします。
2. [System] > [Settings] > [Users and Roles] > [LDAP] の順に移動します。
3. [Add identity source] をクリックします。
4. [Name] フィールドに、ID ソースの表示名を入力します。
5. ID ソースの [Domain Name] と [Base DN] を指定します。
6. [Type] 列で、[Active Directory over LDAP] を選択します。
7. [LDAP Servers] 列で、[Set] をクリックします。
8. [Set LDAP Server] ウィンドウで、[Add LDAP Server] をクリックします。
9. LDAP サーバー パラメータを指定し、[Check status] をクリックして、NSX-T Manager から LDAP サーバーへの接続を確認します。
10. [Add] をクリックして、LDAP サーバーを追加します。
11. [Apply] をクリックし、続いて [Save] をクリックします。

オンプレミスの Active Directory を ID ソースとして使用するために必要なポート

オンプレミスの Active Directory をプライベート クラウド vCenter の ID ソースとして構成するには、次の表に示すポートが必要です。

ポート	ソース	宛先	目的
53（UDP）	プライベート クラウド DNS サーバー	オンプレミス DNS サーバー	オンプレミスの Active Directory ドメイン名の DNS ルックアップをプライベート クラウド vCenter サーバーからオンプレミス DNS サーバーに転送するために必須。
389（TCP/UDP）	プライベート クラウド管理ネットワーク	オンプレミスの Active Directory ドメイン コントローラ	ユーザー認証のためにプライベート クラウド vCenter サーバーから Active Directory ドメイン コントローラへの LDAP 通信に必須。
636（TCP）	プライベート クラウド管理ネットワーク	オンプレミスの Active Directory ドメイン コントローラ	ユーザー認証のためにプライベート クラウド vCenter サーバーから Active Directory ドメイン コントローラへのセキュアな LDAP（LDAPS）通信に必須。
3268（TCP）	プライベート クラウド管理ネットワーク	オンプレミスの Active Directory グローバル カタログ サーバー	マルチドメイン コントローラのデプロイでの LDAP 通信に必須。
3269（TCP）	プライベート クラウド管理ネットワーク	オンプレミスの Active Directory グローバル カタログ サーバー	マルチドメイン コントローラのデプロイでの LDAPS 通信に必須。
8000（TCP）	プライベート クラウド管理ネットワーク	オンプレミス ネットワーク	プライベート クラウド ネットワークからオンプレミス ネットワークへの仮想マシンの vMotion に必須。

次のステップ

SSO ID ソースの詳細について、次の vSphere と NSX-T のデータセンターのドキュメントを確認します。

• vCenter のシングル サインオン ID ソースの追加または編集
• LDAP の ID ソース