Active Directory を使用するための vCenter ID ソースを設定する

VMware vCenter は、vCenter にアクセスするユーザーの認証に対して、複数の ID ソースをサポートしています。プライベート クラウド vCenter を Active Directory で認証するように設定して、VMware 管理者が vCenter にアクセスできるようにします。設定が完了すると、CloudOwner ユーザーは ID ソースのユーザーを vCenter に追加できます。

Active Directory ドメインとドメイン コントローラは、次のいずれかの形に設定できます。

  • オンプレミスで実行されている Active Directory ドメインとドメイン コントローラ
  • プライベート クラウドで実行される新しい Active Directory ドメインとドメイン コントローラ

ID ソースを追加する前に、一時的に vCenter 権限を昇格させます。

ID ソース オプション

オンプレミスの Active Directory をシングル サインオン ID ソースとして追加する。

オンプレミスの Active Directory をシングル サインオン(SSO)ID ソースとして設定するには、次のものが必要です。

  • オンプレミスのデータセンターからプライベート クラウドへのサイト間 VPN 接続
  • vCenter と Platform Services Controller(PSC)に追加された、オンプレミス DNS サーバーの IP。

次の表は、オンプレミスの Active Directory ドメインを vCenter の SSO ID ソースとして設定する際に必要な情報を示しています。

設定 説明
名前 ID ソースの名前。
ユーザーのベース DN ユーザーのベース識別名。
ドメイン名 ドメインの FDQN(example.com など)。このフィールドに IP アドレスを入力しないでください。
ドメイン エイリアス ドメイン NetBIOS 名。SSPI 認証を使用している場合は、Active Directory ドメインの NetBIOS 名を ID ソースのエイリアスとして追加します。
グループのベース DN グループのベース識別名。
プライマリ サーバーの URL ドメインのプライマリ ドメイン コントローラの LDAP サーバー。

形式 ldap://hostname:port または ldaps://hostname:port を使用します。通常、ポートは LDAP 接続の場合は 389、LDAPS 接続の場合は 636 です。Active Directory マルチドメイン コントローラのデプロイにおいて、ポートは通常、LDAP の場合は 3268、LDAPS の場合は 3269 です。

プライマリまたはセカンダリ LDAP の URL で ldaps:// を使用する場合、Active Directory サーバーの LDAPS エンドポイントの信頼を確立する証明書が必要です。
セカンダリ サーバーの URL フェイルオーバーに使用されるセカンダリ ドメイン コントローラの LDAP サーバーのアドレス。
証明書の選択 Active Directory LDAP サーバーまたは OpenLDAP サーバーの ID ソースで LDAPS を使用するには、URL テキスト ボックスに ldaps:// を入力した後に表示される [証明書の選択] ボタンをクリックします。セカンダリ サーバーの URL は必要ありません。
ユーザー名 ユーザーとグループのベース DN に対する読み取り専用権限以上を持つドメインのユーザーの ID。
パスワード ユーザー名で指定されたユーザーのパスワード。

SSO の ID ソースの詳細については、VMware のドキュメントをご覧ください。

プライベート クラウドに新しい Active Directory を設定する

プライベート クラウドに新しい Active Directory ドメインを設定して、SSO の ID ソースとして使用できます。Active Directory ドメインは既存の Active Directory フォレストの一部にすることも、独立したフォレストとして設定することも可能です。

新しい Active Directory のフォレストとドメイン

新しい Active Directory フォレストとドメインを設定するには、次のものが必要です。

  • Microsoft Windows Server を実行する 1 つ以上の VM。新しい Active Directory フォレストとドメインのドメイン コントローラとして使用します。
  • 名前解決に DNS サービスを実行している 1 つ以上の VM。

詳しい手順については、Windows Server 2012 の新しい Active Directory フォレストをインストールするをご覧ください。

サービスの高い可用性を実現するには、複数のドメイン コントローラと DNS サーバーを設定することをおすすめします。

Active Directory ドメインを設定したら、新しい Active Directory の ID ソースを vCenter に追加できます。

既存の Active Directory フォレスト内の新しい Active Directory ドメイン

既存の Active Directory フォレストに新しい Active Directory ドメインを設定するには、次のものが必要です。

  • Active Directory フォレストのロケーションへのサイト間 VPN 接続。
  • 既存の Active Directory フォレストの名前を解決する DNS サーバー。

詳細については、Windows Server 2012 の新しい Active Directory 子ドメインまたはツリー ドメインをインストールするをご覧ください。

Active Directory ドメインを設定したら、新しい Active Directory の ID ソースを vCenter に追加できます。

vCenter に ID ソースを追加する

  1. プライベート クラウドの権限を昇格します。
  2. プライベート クラウドの vCenter にログインします。
  3. [Choose certificate] > [Administration] を選択します。
  4. [Single Sign On] > [Configuration] を選択します。
  5. [Identity Sources] タブを開き、[+Add] をクリックして、新しい ID ソースを追加します。
  6. [Active Directory as LDAP Server] を選択し、[Next] をクリックします。
  7. 環境の ID ソース パラメータを指定し、[Next] をクリックします。
  8. 設定を確認し、[Finish] をクリックします。

次のステップ