VMware vCenter は、vCenter にアクセスするユーザーの認証に対して、複数の ID ソースをサポートしています。プライベート クラウド vCenter を Active Directory で認証するように設定して、VMware 管理者が vCenter にアクセスできるようにします。設定が完了すると、CloudOwner ユーザーは ID ソースのユーザーを vCenter に追加できます。
Active Directory ドメインとドメイン コントローラは、次のいずれかの形に設定できます。
- オンプレミスで実行されている Active Directory ドメインとドメイン コントローラ
- プライベート クラウドで実行される新しい Active Directory ドメインとドメイン コントローラ
ID ソースを追加する前に、一時的に vCenter 権限を昇格させます。
ID ソース オプション
オンプレミスの Active Directory をシングル サインオン ID ソースとして追加する。
オンプレミスの Active Directory をシングル サインオン(SSO)ID ソースとして設定するには、次のものが必要です。
- オンプレミスのデータセンターからプライベート クラウドへのサイト間 VPN 接続。
- vCenter と Platform Services Controller(PSC)に追加された、オンプレミス DNS サーバーの IP。
次の表は、オンプレミスの Active Directory ドメインを vCenter の SSO ID ソースとして設定する際に必要な情報を示しています。
| 設定 | 説明 |
|---|---|
| 名前 | ID ソースの名前。 |
| ユーザーのベース DN | ユーザーのベース識別名。 |
| ドメイン名 | ドメインの FDQN(example.com など)。このフィールドに IP アドレスを入力しないでください。 |
| ドメイン エイリアス | ドメイン NetBIOS 名。SSPI 認証を使用している場合は、Active Directory ドメインの NetBIOS 名を ID ソースのエイリアスとして追加します。 |
| グループのベース DN | グループのベース識別名。 |
| プライマリ サーバーの URL | ドメインのプライマリ ドメイン コントローラの LDAP サーバー。 形式 ldap://hostname:port または ldaps://hostname:port を使用します。通常、ポートは LDAP 接続の場合は 389、LDAPS 接続の場合は 636 です。Active Directory マルチドメイン コントローラのデプロイにおいて、ポートは通常、LDAP の場合は 3268、LDAPS の場合は 3269 です。プライマリまたはセカンダリ LDAP の URL で ldaps:// を使用する場合、Active Directory サーバーの LDAPS エンドポイントの信頼を確立する証明書が必要です。
|
| セカンダリ サーバーの URL | フェイルオーバーに使用されるセカンダリ ドメイン コントローラの LDAP サーバーのアドレス。 |
| 証明書の選択 | Active Directory LDAP サーバーまたは OpenLDAP サーバーの ID ソースで LDAPS を使用するには、URL テキスト ボックスに ldaps:// を入力した後に表示される [証明書の選択] ボタンをクリックします。セカンダリ サーバーの URL は必要ありません。 |
| ユーザー名 | ユーザーとグループのベース DN に対する読み取り専用権限以上を持つドメインのユーザーの ID。 |
| パスワード | ユーザー名で指定されたユーザーのパスワード。 |
SSO の ID ソースの詳細については、VMware のドキュメントをご覧ください。
プライベート クラウドに新しい Active Directory を設定する
プライベート クラウドに新しい Active Directory ドメインを設定して、SSO の ID ソースとして使用できます。Active Directory ドメインは既存の Active Directory フォレストの一部にすることも、独立したフォレストとして設定することも可能です。
新しい Active Directory のフォレストとドメイン
新しい Active Directory フォレストとドメインを設定するには、次のものが必要です。
- Microsoft Windows Server を実行する 1 つ以上の VM。新しい Active Directory フォレストとドメインのドメイン コントローラとして使用します。
- 名前解決に DNS サービスを実行している 1 つ以上の VM。
詳しい手順については、Windows Server 2012 の新しい Active Directory フォレストをインストールするをご覧ください。
サービスの高い可用性を実現するには、複数のドメイン コントローラと DNS サーバーを設定することをおすすめします。
Active Directory ドメインを設定したら、新しい Active Directory の ID ソースを vCenter に追加できます。
既存の Active Directory フォレスト内の新しい Active Directory ドメイン
既存の Active Directory フォレストに新しい Active Directory ドメインを設定するには、次のものが必要です。
- Active Directory フォレストのロケーションへのサイト間 VPN 接続。
- 既存の Active Directory フォレストの名前を解決する DNS サーバー。
詳細については、Windows Server 2012 の新しい Active Directory 子ドメインまたはツリー ドメインをインストールするをご覧ください。
Active Directory ドメインを設定したら、新しい Active Directory の ID ソースを vCenter に追加できます。
vCenter に ID ソースを追加する
- プライベート クラウドの権限を昇格します。
- プライベート クラウドの vCenter にログインします。
- [Choose certificate] > [Administration] を選択します。
- [Single Sign On] > [Configuration] を選択します。
- [Identity Sources] タブを開き、[+Add] をクリックして、新しい ID ソースを追加します。
- [Active Directory as LDAP Server] を選択し、[Next] をクリックします。
- 環境の ID ソース パラメータを指定し、[Next] をクリックします。
- 設定を確認し、[Finish] をクリックします。
次のステップ
- プライベート クラウドの権限を昇格させる方法を学習する。
- プライベート クラウドでの VMware について詳しく学習する。