Active Directory を使用した認証の構成
Google Cloud VMware Engine では、vCenter と NSX-T がオンプレミスの Active Directory をユーザー認証の LDAP または LDAP ID ソースとして使用するように構成できます。設定が完了すると、vCenter と NSX-T Manager にアクセス権を付与して、プライベート クラウドの管理に必要なロールを割り当てることができます。
始める前に
このドキュメントの手順では、最初に次の作業を実施することを想定しています。
- オンプレミス ネットワークからプライベート クラウドへの接続を確立します。
- オンプレミスの Active Directory の DNS 名前解決を有効にします。
- レガシー VMware Engine ネットワーク: プライベート クラウドで DNS 転送ルールを作成して、オンプレミスの Active Directory の DNS 名前解決を有効にします。
- VMware Engine 標準ネットワーク: VMware Engine ネットワークへの DNS バインディングを構成することで、オンプレミスの Active Directory の DNS 名前解決を有効にします。
次の表は、オンプレミスの Active Directory ドメインを vCenter と NSX-T の SSO ID ソースとして設定する際に必要な情報を列挙したものです。SSO ID ソースは、次の情報を収集してから設定します。
情報 | 説明 |
---|---|
ユーザーのベース DN | ユーザーのベース識別名。 |
ドメイン名 | ドメインの FDQN(例: example.com )。このフィールドには IP アドレスを入力しないでください。 |
ドメイン エイリアス | ドメイン NetBIOS 名。SSPI 認証を使用している場合は、Active Directory ドメインの NetBIOS 名を ID ソースのエイリアスとして追加します。 |
グループのベース DN | グループのベース識別名。 |
プライマリ サーバーの URL |
ドメインのプライマリ ドメイン コントローラの LDAP サーバー。
プライマリまたはセカンダリ LDAP の URL で |
セカンダリ サーバーの URL | フェイルオーバーに使用されるセカンダリ ドメイン コントローラの LDAP サーバーのアドレス。 |
証明書の選択 | Active Directory LDAP サーバーまたは OpenLDAP サーバーの ID ソースで LDAPS を使用するには、URL フィールドに「ldaps:// 」を入力した後に表示される [証明書の選択] ボタンをクリックします。セカンダリ サーバーの URL は必要ありません。 |
ユーザー名 | ユーザーとグループのベース DN に対する読み取り専用権限以上を持つドメインのユーザーの ID。 |
パスワード | ユーザー名で指定されたユーザーのパスワード。 |
vCenter に ID ソースを追加する
- プライベート クラウドの権限を昇格します。
- プライベート クラウドの vCenter にログインします。
- [Home] > [Administration] を選択します。
- [Single Sign On] > [Configuration] を選択します。
- [Identity Sources] タブを開き、[+Add] をクリックして、新しい ID ソースを追加します。
- [Active Directory as LDAP Server] を選択し、[Next] をクリックします。
- 環境の ID ソース パラメータを指定し、[Next] をクリックします。
- 設定を確認し、[Finish] をクリックします。
NSX-T に ID ソースを追加する
- プライベート クラウドで NSX-T Manager にログインします。
- [System] > [Settings] > [Users and Roles] > [LDAP] の順に移動します。
- [Add identity source] をクリックします。
- [Name] フィールドに、ID ソースの表示名を入力します。
- ID ソースの [Domain Name] と [Base DN] を指定します。
- [Type] 列で、[Active Directory over LDAP] を選択します。
- [LDAP Servers] 列で、[Set] をクリックします。
- [Set LDAP Server] ウィンドウで、[Add LDAP Server] をクリックします。
- LDAP サーバー パラメータを指定し、[Check status] をクリックして、NSX-T Manager から LDAP サーバーへの接続を確認します。
- [Add] をクリックして、LDAP サーバーを追加します。
- [Apply] をクリックし、続いて [Save] をクリックします。
オンプレミスの Active Directory を ID ソースとして使用するために必要なポート
オンプレミスの Active Directory をプライベート クラウド vCenter の ID ソースとして構成するには、次の表に示すポートが必要です。
ポート | ソース | 宛先 | 目的 |
---|---|---|---|
53(UDP) | プライベート クラウド DNS サーバー | オンプレミス DNS サーバー | オンプレミスの Active Directory ドメイン名の DNS ルックアップをプライベート クラウド vCenter サーバーからオンプレミス DNS サーバーに転送するために必須。 |
389(TCP/UDP) | プライベート クラウド管理ネットワーク | オンプレミスの Active Directory ドメイン コントローラ | ユーザー認証のためにプライベート クラウド vCenter サーバーから Active Directory ドメイン コントローラへの LDAP 通信に必須。 |
636(TCP) | プライベート クラウド管理ネットワーク | オンプレミスの Active Directory ドメイン コントローラ | ユーザー認証のためにプライベート クラウド vCenter サーバーから Active Directory ドメイン コントローラへのセキュアな LDAP(LDAPS)通信に必須。 |
3268(TCP) | プライベート クラウド管理ネットワーク | オンプレミスの Active Directory グローバル カタログ サーバー | マルチドメイン コントローラのデプロイでの LDAP 通信に必須。 |
3269(TCP) | プライベート クラウド管理ネットワーク | オンプレミスの Active Directory グローバル カタログ サーバー | マルチドメイン コントローラのデプロイでの LDAPS 通信に必須。 |
8000(TCP) | プライベート クラウド管理ネットワーク | オンプレミス ネットワーク | プライベート クラウド ネットワークからオンプレミス ネットワークへの仮想マシンの vMotion に必須。 |
次のステップ
SSO ID ソースの詳細について、次の vSphere と NSX-T のデータセンターのドキュメントを確認します。